změny ochrany osobních údajů

Moderátoři: Zastupitele - komunalni, Zastupitele - krajsti

Uživatelský avatar
Patrik.Dolezal
Člen KS Jihomoravský kraj
Příspěvky: 893
Registrován: 04 srp 2009, 17:13
Profese: pirát
Bydliště: Brno
Dal poděkování: 2449 poděkování
Dostal poděkování: 1188 poděkování

změny ochrany osobních údajů

Příspěvek od Patrik.Dolezal » 05 bře 2017, 10:57

Ahoj, může někdo napsat jak připravujete aplikaci Nařízení Evropského parlamentu a Rady EU 2016/679 - přijímání pověřenců (vnitřní pracovní pozice nebo outsourcing? - nějaká kooperace nebo městské spol. samostatně?, etc.), jak jste na tom celkově s přípravou nových procesů, a tak dál a podobně, díky.

Edit: http://eur-lex.europa.eu/legal-content/ ... 79&from=CS

Uživatelský avatar
Patrik.Dolezal
Člen KS Jihomoravský kraj
Příspěvky: 893
Registrován: 04 srp 2009, 17:13
Profese: pirát
Bydliště: Brno
Dal poděkování: 2449 poděkování
Dostal poděkování: 1188 poděkování

Re: změny ochrany osobních údajů

Příspěvek od Patrik.Dolezal » 10 dub 2017, 23:40

BUMP :) anébřž soudím, že k tomu nikdo nic nemá.

Pokud vím, z tendru MPSV ( https://mpsv.ezak.cz/contract_display_2712.html ) by mělo něco vypadnout v létě a na podzim plánuje ministerstvo školení pro municipality.

ALE je to věc která zaslouží pozornost a přípravu - měla by to být přece Pirátská parketa - a není od věci být připraven, aspoň navrhnout dobré pověřence.

Připojím do OT zprávu, kterou jsem zpracoval pro starosty MČ a RMB:


OFFTOPICGeneral Data Protection Regulation – minimum nové evropské právní úpravy ochrany osobních údajů z pohledu veřejnoprávních institucí a orgánů

Základním předpisem je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. Doplňujícími předpisy pak jsou Směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti a Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.
Nařízení již vstoupilo v platnost a je účinné, tedy přímo použitelné, od 25. května 2018. V případě Směrnic jsou členské státy povinny uvést v účinnost předpisy nezbytné pro dosažení souladu nejpozději do 6. května 2018 (Směrnice trestněprávní), respektive 25. května 2018 (Směrnice o evidenci cestujících).
Z působnosti těchto předpisů je vyňato zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie (např. činnosti týkající se národní bezpečnosti), a zpracování osobních údajů prováděné orgány, institucemi a jinými subjekty EU.


Cíle GDPR
Nová právní úprava obecně stanoví přísnější podmínky zpracování osobních údajů, jako například povinnost jmenovat pověřence pro ochranu osobních údajů a zároveň reaguje na technologický vývoj a novou judikaturu (do jara 2016). Z toho vychází její zaměření především na tři oblasti.
První je rozšířený výčet chráněných údajů a způsobů jejich zpracování. Nově je výslovně uvedeno, že za osobní údaje mohou být považovány i tzv. síťové identifikátory jako například adresy internetového protokolu či identifikátory cookies.
Druhou oblastí jsou práva subjektů údajů, jejichž osobní údaje jsou zpracovávány. Nařízení obecně posiluje práva fyzických osob.
Třetím záměrem je usnadnit volný pohyb osobních údajů v rámci jednotného digitálního trhu EU. Hlavními principy jsou zákonnost, férovost a transparentnost, omezení účelem, minimalizace dat, přesnost, omezení uchovávání, integrita a důvěrnost, odpovědnost správce a povinnost prokazování.


Hlavní povinnosti
Správce i zpracovatel dat musí:

1. Znát veškerá data osobních údajů (OÚ) se kterými nakládá a kde všude je má.
2. Uchovávat jen minimálně potřebné množství OÚ dle poskytnutého souhlasu subjektu údajů (SÚ).
3. Zabezpečit provoz správy dat.
4. Být schopen podat informace subjektům údajů a ÚOOÚ
- o datech
- o procesech kterými data prochází
- o aplikacích které data využívají
- o zárukách, pokud jsou data předávána do třetích zemí (čl.46 Nařízení)
5. Zpřístupnit SÚ údaje, opravit údaje vč. výmazu a poskytnout SÚ kopii ve formě o jakou požádá.
6. Mít pověřence pro ochranu osobních údajů.

ad.2. Souhlas se zpracováním osobních údajů získaný podle současných předpisů bude platný jen tehdy, pokud byl získán v souladu s novými podmínkami. Nově nebude možné udělit souhlas se zpracováním osobních údajů mlčky, tj. například konkludentním jednáním. Souhlas také bude muset být prezentován samostatně od ostatních podmínek předkládaných danému subjektu údajů ke schválení a nebude moci být podmínkou poskytování služby, pokud pro její poskytování nebude zpracování daných údajů pro konkrétní účel nezbytné. V souladu s principem transparence je správce osobních údajů povinen dotčené subjekty informovat o zpracování tak, aby jim byly veškeré informace jednoduše dostupné a srozumitelné a musí být při jejich poskytování užíván jednoznačný a srozumitelný jazyk. Nově je výslovně zakotveno právo subjektu údajů kdykoliv souhlas odvolat, o čemž musí být subjekt údajů informován. Odvolání souhlasu musí být pro subjekt údajů stejně snadné jako jeho poskytnutí.

ad.3. Opatření k ochraně osobních údajů by měla být součástí zpracování již od fáze jeho návrhu. Bezpečnostní opatření a svůj celkový soulad s nařízením bude správce povinen důsledně dokumentovat a na požádání prokázat dozorovému úřadu. V případě narušení bezpečnosti osobních údajů bude povinnost hlásit dozorovému úřadu jakékoli porušení nejpozději do 72 hodin od okamžiku, kdy se správce o porušení zabezpečení dozvěděl. Pokud by porušení zabezpečení mohlo mít za následek vysoké riziko pro práva a svobody subjektů údajů, pak správce musí takové porušení oznámit i subjektům údajů. V případě veřejnoprávních subjektů je dozorovým úřadem i nadále Úřad pro ochranu osobních údajů (ÚOOÚ). Prokázání souladu je nově možné prokázat pomocí dodržování kodexů chování nebo certifikací, které mohou vypracovávat odborné organizace. Není již nutné vždy oznamovat ÚOOÚ záměr zpracovávat osobní údaje, je však stanovena povinnost provést posouzení dopadů na ochranu osobních údajů a v případě významného rizika předběžně záměr konzultovat.

ad.5. Je výslovně uvedeno, že při výkonu práv je nutné vycházet subjektům údajů vstříc a výkon těchto práv jim usnadňovat. Nařízení předpokládá možnost a v některých případech povinnost zřídit za tímto účelem zvláštní kontaktní formuláře či informační linky. SÚ má právo na vyjádření svého názoru, na získání vysvětlení, na napadnutí rozhodnutí a na lidský zásah, pokud jsou data zpracovávána výhradně automaticky. Nově je v čl. 17 výslovně upraveno právo být zapomenut (tzv. výmaz), v čl. 20 nové právo na portabilitu, které umožňuje subjektu údajů požadovat vydání zpracovávaných údajů ve strukturovaném, běžně používaném a strojově čitelném formátu. Dle čl. 22 lze strojově automatizované zpracování s významným dopadem na SÚ provádět pouze s jeho výslovným souhlasem, nebo na základě plnění smlouvy, nebo v případech stanovených zákonem.

ad.6. Veřejnoprávní subjekty jako správci či zpracovatelé dat mají povinnost zřídit pozici pověřence pro ochranu osobních údajů (Data Protection Officer, čl.37). Dle čl.5 nese odpovědnost za správu dat správce, zřízením pověřence se jí tedy nelze zbavit. Pověřenec může svou činnost vykonávat jak v pracovním poměru, tak na základě smlouvy o poskytování služeb. Pověřenec musí být ohledně své činnosti nezávislý, odpovídat pouze nejvyššímu vedení a musí být informován o všech aktivitách správce spojených se zpracováváním osobních údajů. Pověřenec musí splňovat přísné požadavky na kvalifikaci podle čl.39, je vyžadována odborná znalost práva a praxe v oblasti ochrany údajů. Pokud nebude činnost zajišťována formou outsourcingu, je nutné pro pověřence zajistit dostatečnou externí podporu, aby byla zajištěna patřičná úroveň odbornosti při plnění jeho úkolů. Každý správce i zpracovatel je povinen zveřejnit kontaktní údaje svého pověřence a sdělit je dozorovému úřadu.

Pravidla pro outsourcing (nařízení je neupřesňuje, částečně převzato z dalších předpisů EU):
Obecně platí, že správci a zpracovatelé mají možnost zajistit výkon činností, prostřednictvím jejich externího zajištění. Samotným outsourcingem není dotčena odpovědnost správce nebo zpracovatele za plnění povinností stanovených právními předpisy. Pro účely řádného zajištění outsourcingu musí mít správce i zpracovatel písemnou koncepci a zajistit, že při externím zajištění činnosti nedojde ke vzniku nepřiměřeného rizika z důvodu selhání externího poskytovatele, jež by mohlo ohrozit plnění povinností zpracovatele, vedlo by k podstatnému zhoršení řídicího a kontrolního systému, nebo k nepřiměřenému zvýšení operačního rizika.

Shrnutí
Protože nová právní úprava byla přijata formou nařízení, bude přímo použitelná ode dne účinnosti nařízení, bez nutnosti převzetí stanovených pravidel do národních předpisů. Zároveň nařízení oproti stávající právní úpravě zpřísňuje sankce v oblasti ochrany osobních údajů, když stanoví maximální výši pokuty až 20 mil. Eur. Je zřejmé, že do doby než nařízení nabyde účinnosti je nutné vypracovat detailní analýzu činnosti a následně upravit procesy a aktualizovat nejrůznější dokumenty, například politiky ochrany osobních údajů, souhlasy se zpracováním, etc. Hlavními povinnostmi, které budou sledovány okamžitě po vstoupení nařízení v účinnost je zřízení pozice pověrěnce a zákonné souhlasy SÚ se zpracováním údajů. Nezbytným krokem je proto nyní revize všech stávajících udělených souhlasů zpracování OÚ, tak aby byly splněny nové podmínky, nebo ověřit, zda se lze opřít o jiný právní důvod pro zpracování. Dále je nutné upravit způsob, jakým je získáván souhlas subjektů údajů se zpracováváním, pravidelně provádět posuzování dopadu ochrany osobních údajů, začít vést dokumentaci zpracování s patřičnými náležitostmi a samozřejmě zřídit pozici pověřence ochrany osobních údajů.


Vymezení pojmů, zkratky, aj. jsou obsaženy v příloze, případně ve znění Nařízení dostupném na:

http://www.privacy-regulation.eu/cs/


Seznam příloh:

1. Pokyny k funkci pověřence pro ochranu osobních údajů (ÚOOÚ)

2. Pokyny k funkci pověřence pro ochranu osobních údajů – příloha (ÚOOÚ)

3. Pokyny k určení vedoucího dozorového úřadu pro správce nebo zpracovatele (ÚOOÚ)

4. Pokyny k určení vedoucího dozorového úřadu pro správce nebo zpracovatele – příloha (ÚOOÚ)

5. Vodítko k právu na přenositelnost údajů (ÚOOÚ)



+ materiály ÚOOÚ event. pošlu na vyžádání.
Tito uživatelé poděkovali autorovi Patrik.Dolezal za příspěvky (celkem 2):
Tomas.Kolacny, Vit.Jurasek

Uživatelský avatar
Ondrej.Profant
Poslanec Parlamentu ČR
Příspěvky: 7731
Registrován: 22 dub 2009, 23:55
Profese: Poslanec
Bydliště: Praha 8
Dal poděkování: 13739 poděkování
Dostal poděkování: 7441 poděkování
Kontaktovat uživatele:

Re: změny ochrany osobních údajů

Příspěvek od Ondrej.Profant » 04 kvě 2017, 14:39

GDPR samozřejmě sleduji. Obecně je pozitivní. Problém je, že chybí metodiky a firmy se na tom snaží neúměrně vydělat (lhaním státu).
profant.eu, poslanec

Uživatelský avatar
Josef.Kadlecek
Člen KS Praha
Příspěvky: 1571
Registrován: 01 čer 2010, 21:17
Profese: živnostník, řemeslník; dobrý elektrikář
Bydliště: Bráník, Příkrá x U Háje, dřevěný domeček, P4
Dal poděkování: 1523 poděkování
Dostal poděkování: 1385 poděkování

Re: změny ochrany osobních údajů

Příspěvek od Josef.Kadlecek » 11 pro 2017, 00:53

OFFTOPICČím se asi tak rozhodne být psychopat při volbě povolání, pokud má pod čepicí? Inu právníkem bo ekonomem. A pak má být svět dobré místo k žití...
Existuje princip: je hrází pro jakékoli informace, odolává všem argumentům a úspěšně drží lidi ve věčné ignoranci: zavrhnout věc ještě před prozkoumáním
Herbert Spencer, 1820-1903 https://cs.wikipedia.org/wiki/Herbert_Spencer
Za sebe - mám vás všecky rád. Akorát před fanatickými "souložníky teoretiky" mě i u Pirátů naučilo se už mít na pozoru.
Neomylné lidi bez váhání devitalizovat!

Odpovědět

Zpět na „Zastupitelstva - společné potřeby zastupitelů“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host