GDPR: Poslanci chtějí, aby neziskovky a veřejné subjekty pokuty neplatily
Hospodářská komora se vyhrazuje proti záměru lidovců a pirátů, aby neziskové organizace a veřejné subjekty nemusely platit pokuty za nedodržování ochrany osobních údajů ukládané nařízením GDPR.
Podrobnosti v tiskové zprávě dostupné zde: https://www.komora.cz/tiskova_zprava/opravdu-potrebuji-verejne-subjekty-neziskovky-unikovou-cestu-gdpr-podnikatele-pritom-budou-pokutovani-bez-pardonu-podle-hospodarske-komory-nehoraznost/
17. duben 2018
Návrh zákona o zpracování osobních údajů byl schválen vládou a zamíří do poslanecké sněmovny
Vláda projednala a schválila podobu navrhovaného zákona o zpracování osobních údajů, který zamíří do Poslanecké sněmovny.
Zákon vychází z GDPR, které pro členské státy Evropské unie umožňuje upravit určité výjimky či odchylky. Předmětem diskuzí je tak zejména možnost snížení pokut za porušení předpisů pro veřejné subjekty.
Návrh zákona je k dispozici zde: https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW5
Protože návrh musí nyní projít celým legislativním procesem, pravděpodobně nebude přijat včas do 25. května 2018, kdy nabývá účinnosti samotné GDPR.
22. březen 2018
S účinností GDPR končí oznamovací povinnost správců
Vedle všech povinností, které GDPR přináší, také jedna důležitá povinnost odpadne a po účinnosti GDPR, tedy od 25. května 2018, se již nebude předem oznamovat zpracování osobních údajů u Úřadu pro ochranu osobních údajů.
Tuto povinnost pak v zásadě nahrazují pravidla pro vedení záznamů o činnostech zpracování a posouzení vlivu na ochranu osobních údajů, jejichž provádění bude klíčové pro případné prokazování souladu zpracování s GDPR.
Více informací je k dispozici zde: https://www.uoou.cz/s-nbsp-ucinnosti-gdpr-konci-oznamovaci-povinnost-spravcu/d-28855
2. březen 2018
Nové pokyny WP 29
Skupina WP 29 na svém únorovém zasedání (https://www.uoou.cz/informace-z-nbsp-unoroveho-plenarniho-zasedani-wp29/d-28761) schválila řadu nových dokumentů - pokynů k implementaci GDPR:
- pokyny pro oznamování případů bezpečnostních incidentů,
- pokyny k automatizovanému zpracování a profilování
- pokyny pojednávající o akreditaci
- metodické dokumenty k předávání osobních údajů podle čl. 45 (rozhodnutí o odpovídající ochraně), dva dokumenty k předávání podle čl. 47 (závazná podniková pravidla) a k předávání na základě výjimek podle čl. 49.
Dokumenty, jejichž cílem je usnadnit implementaci GDPR, jsou dostupné zde: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
27. únor 2018
GDPR a územně samosprávné celky
Ministerstvo vnitra zveřejnilo systémovou analýzu ochrany osobních údajů v krajích (dostupná zde: http://www.mvcr.cz/gdpr/clanek/systemova-analyza-kraju.aspx). Soubor dokumentů shrnuje, jaké osobní údaje jsou v krajích zpracovávány, na základě jakých titulů, v jakých systémech a zejména, kde vznikají nesoulady se současným nastavením ochrany osobních údajů a co je třeba napravit. Analýza je velice podrobná a prakticky zaměřená a přehledně shrnuje problémy, jimiž se musí samosprávné celky zabývat, a navrhuje pro ně řešení.
Pro obce Ministerstvo vnitra rovněž zveřejnilo „check-list“, který má sloužit jako základní metodika v přípravách na GDPR (dostupný zde: http://www.mvcr.cz/gdpr/clanek/kontrolni-seznamy-checklisty-pro-obce.aspx).
26. únor 2018
Předávání osobních údajů do třetích zemí (se zvláštním důrazem na USA)
Základním předpokladem předávání do třetích zemí je dodržení zásady zákonnosti, tedy je zejména potřeba mít jeden z tzv. právních titulů pro zpracování osobních údajů. Pokud tomu tak je, pak musí správce/zpracovatel postupovat jak v souladu s obecnými podmínkami Nařízení, která platí při jakémkoliv zpracování osobních údajů (tedy i v rámci EU), tak i dodatečné podmínky stanovené pro předávání do zemí mimo EU tak, aby nebyla znehodnocena úroveň ochrany fyzických osob – subjektů údajů podle tohoto Nařízení.
Zajištění dostatečné úrovně ochrany v praxi znamená především to, že je možné předávat osobní údaje pouze do těch zemí, kde je zajištěna dostatečná právní ochrana osobních údajů, resp. musí správce/zpracovatel přijmout takové instrumenty, které tuto ochranu zajistí.
Nařízení stanoví tři právní důvody pro předávání:
- rozhodnutí o odpovídající ochraně vydané EK (jmenovitě některé státy či území, zahrnujíce v to i rozhodnutí o odpovídající úrovni ochrany v USA – tzv. Privacy Shield)
- předávání založené na vhodných zárukách (např. závazné nástroje mezi orgány veřejné moci, závazná podniková pravidla, standardní smluvní doložky, schválené kodexy chování, dále pak vlastní smluvní doložky schválené dozorovým úřadem apod.); tento důvod je možné použít, pokud se jedná o předávání do země, ve které existuje účinná právní ochrana fyzických osob jakožto subjektů údajů)
- výjimky pro specifické situace (taxativně vyjmenovává Nařízení).
Program Privacy Shield funguje od srpna 2016 na principu volné registrace, což znamená, že se do něj může zaregistrovat jakákoliv společnost v USA a tato nepodléhá žádnému schválení. Je tedy pouze na zapsané společnosti, aby přijala a dodržovala všechna opatření, která jsou podle tohoto programu vyžadována (samozřejmě při možnosti zpětné kontroly ze strany federálních úřadů). Základní zásady Privacy Shield v mnohém, ne však zcela, odpovídají základním zásadám ochrany osobních údajů podle předpisů EU. Z mnohých důvodů, které na tomto místě nebudeme rozebírat, je budoucnost tohoto programu nejistá, a proto se správci/zpracovateli doporučuje mít připraven i jiný právní důvod pro předávání osobních údajů do USA, především – pokud to situace a postavení správce/zpracovatele dovoluje - závazná podniková pravidla, lze uvažovat i o schváleném kodexu chování nebo standardních smluvních doložkách.
22. únor 2018
Odpovědnost správce vs. odpovědnost zpracovatele
Správce odpovídá za dodržování povinností daných nařízením, tedy i za dodržování zásad zpracování (toto musí být správce schopen doložit).
Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat, tzv. zpracovatele, musí však vybrat takového, který poskytuje dostatečné záruky vhodných technických a organizačních opatření; tak, aby zpracování splňovalo požadavky nařízení a byla zajištěna ochrana práv subjektu údajů. Nařízení GDPR stanoví povinně písemnou smlouvu (včetně elektronické formy) nebo jiný právní akt podle práva Unie nebo členského státu mezi správcem a zpracovatelem. Obsahem smlouvy je zejména předmět a doba zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektu údajů a další náležitosti stanovené v čl. 28 odst. 3 nařízení. Správce se přizváním zpracovatele ke zpracování osobních údajů nezbavuje odpovědnosti za zpracování osobních údajů, platí zde tzv. sdílená odpovědnost za zpracování dat. K úniku dat (incidentu) může dojít na straně správce i zpracovatele, proto lze doporučit velmi precizně definovat odpovědnost obou zúčastněných stran ve zpracovatelské smlouvě.
Co se týče práva na náhradu újmy a odpovědnost, je správce zapojený do zpracování odpovědný za újmu, kterou způsobí zpracováním, které porušuje nařízení; zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Pokud je do zpracování zapojeno více správců nebo správce a zpracovatel, nastupuje solidární odpovědnost za porušení povinností.
22. únor 2018
Příspěvkové organizace a jejich povinnosti
Příspěvkové organizace jsou subjekty zřizované územním samosprávným celkem nebo státem, které mají vlastní subjektivitu a vlastní agendu, ve které nakládají s osobními údaji. Nejčastěji budou při jejich zpracování vystupovat v roli správce; může docházet ke sdílení osobních údajů buď více příspěvkových organizací, nebo příspěvkové organizace a zřizovatele, v tomto případě je nezbytné ve smlouvě stanovit jasná pravidla pro nakládání s osobními údaji a vymezit odpovědnost všech zúčastněných.
Pokud příspěvková organizace zejména vystupuje jako orgán veřejné moci (např. škola), je veřejným subjektem (tento je definován v návrhu nového zákona o zpracování osobních údajů, na definitivní znění si však musíme počkat) nebo zpracovává zvláštní kategorii údajů (např. nemocnice), má za povinnost jmenovat pověřence pro ochranu osobních údajů.
22. únor 2018
Slovensko vyhlásilo Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Slovensko vyhlásilo dne 30. 1. 2018 ve Zbierke zákonov Slovenskej republiky Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
19. únor 2018
„DPIA“ – posouzení vlivu na ochranu osobních údajů
Úřad pro ochranu osobních údajů připravil návrh pokynů pro provádění DPIA – tedy povinnosti provést předběžné posouzení vlivu zamýšleného zpracování osobních údajů na ochranu osobních údajů, pokud takové zpracování představuje vysoké riziko pro práva a svobody fyzických osob.
ÚOOÚ připravil podrobná kritéria, podle nichž lze jednoduše posoudit, zda zpracování představuje takové riziko. Mezi tato kritéria patří mimo jiné povaha osobních údajů, rozsah jejich zpracování i povaha správce a systémy zpracování. Součástí pokynů jsou i konkrétní příklady, kdy pro zpracování osobních údajů nebude nutné provádět DPIA, jako např. pro vedení účetnictví, provoz soukromé lékařské ordinace nebo pro používání kamery na osobním vozidle.
10. únor 2018
