prezentace ze semináře "Směrnice GDPR nejen v kontextu spisové služby (Seminář)"

1. Obecné nařízení o ochraně
osobních údajů do praxe:
návod na čtení
PhDr. Miroslava Matoušová, ÚOOÚ
Praha 26. dubna 2017

2. Základní charakteristika
Část I.

3. Pilíře
• Kontinuita (zásady a klíčové instrumenty)
• Přesnější a podrobnější úprava práv subjektu
údajů
• Propracovanější a náročnější pravidla pro
správce a zpracovatele
• Sjednocený nezávislý dozor
• Prováděcí unijní i vnitrostátní předpisy,
omezení rozsahu povinností/práv předpisy

4. Konstrukční základy
ochrany osobních údajů v ON
• Zásady zpracování osobních údajů (rozšířené)
• Záměrná a standardní ochrana
• Přístup založený na riziku
• Panevropský (EU) dosah
• Nezávislý dozor
• Vymahatelnost

5. Zásady zpracování os. údajů
• zákonnost, korektnost a transparentnost
• účelové omezení
• minimalizace údajů
• přesnost (osobních údajů)
• omezení uložení
• integrita a důvěrnost
• odpovědnost

6. Nové nástroje ochrany
• pověřenec pro ochranu osobních údajů
• ohlašování případů porušení zabezpečení
osobních údajů dozorovému úřadu a oznamování
téhož dotčeným subjektům údajů
• mechanismus jediného kontaktního místa
• mechanismus jednotnosti

7. Sjednocení dozoru
• ON výslovně upravuje nezávislost, podmínky pro členy,
úkoly a pravomoci (vč. vyšetřovacích) dozorových úřadů a
vzájemnou spolupráci dozorových úřadů,
• Evropský sbor pro ochranu osobních údajů jako subjekt
Unie s právní subjektivitou k dosahování jednotnosti
v prosazování a vymáhání pravidel (mechanismus
jednotnosti)
• Jednotné sankce (podmínky ukládání správních pokut
s horní hranicí 20 mil. EUR, nebo - pouze u podniků - 4%
ročního obratu za předchozí finanční rok)

8. Konstrukční základy ochrany
Část II

9. Záměrná a standardní ochrana
• S přihlédnutím ke stavu techniky, nákladům na provedení,
povaze, rozsahu, kontextu a účelům zpracování i k pravdě-
podobným rizikům pro práva a svobody fyzických osob, jež
s sebou zpracování nese, zavede správce jak v době určení
prostředků pro zpracování, tak v době zpracování samotného
vhodná technická a organizační opatření, jejichž účelem je:
• provádět zásady ochrany údajů účinným způsobem a
• začlenit do zpracování nezbytné záruky, tak aby splnil
požadavky tohoto nařízení a ochránil práva subjektů údajů.

10. Záměrná a standardní ochrana (2)
• vhodná technická a organizační opatření:
• minimalizace zpracování osobních údajů,
• co nejrychlejší pseudonymizace osobních údajů,
• transparentnost s ohledem na funkce a zpracování osobních
údajů,
• umožnění subjektům údajů monitorovat zpracování osobních
údajů a
• umožnění správcům vytvářet a zlepšovat bezpečnostní prvky
(zhotovitelé produktů, služeb a aplikací)

11. Záměrná a standardní ochrana (3)
• povinnost posuzovat vliv jednotlivých
zpracování a vyžádat si předběžnou konzultaci
u dozorového úřadu
• povinnost posouzení pro systematické a rozsáhlé
vyhodnocování osobních aspektů, na němž se
zakládají rozhodnutí s právními účinky, pro rozsáhlé
systematické monitorování veřejně přístupných
prostorů a rozsáhlé zpracování citlivých údajů

12. Transparentnost
• Transparentnost regulatorního rámce
– Dozorové úřady vůči správcovské i obecné
veřejnosti
• Transparentnost zpracování
– Správci vůči subjektům údajů
• Správci vůči dozorovým úřadům

13. Záměrná a standardní ochrana a
transparentnost
• Kodexy chování (dodržování schváleného
kodexu chování)
• Osvědčení o ochraně osobních údajů, pečetě a
známky (dodržování schváleného mechanismu
pro vydávání osvědčení)

14. Přístup založený na riziku
• Klíčem k nastavování povinností pro správce je
rizikovost, která je samozřejmě dovozována
z rozsahu zpracování, zpracovávaných
osobních údajů (citlivé údaje)a používaných
technologií.

15. Přístup založený na riziku (2):
zabezpečení zpracování
•S přihlédnutím ke stavu techniky, nákladům, povaze, rozsahu,
kontextu a účelům zpracování i k různě pravděpodobným a
různě závažným rizikům pro práva a svobody, jež s sebou
zpracování nese, zavede správce jak v době určení prostředků
pro zpracování, tak v době zpracování vhodná technická a
organizační opatření a začlení do zpracování nezbytné záruky.
•Při posuzování úrovně bezpečnosti se zohlední zejm. rizika ze
zpracování (náhodné/protiprávní zničení, ztráta, pozměňová-
ní, neoprávněné zpřístupnění osobních údajů, neoprávněný
přístup).

16. Přístup založený na riziku (3): ohlašování a
oznamování porušení zabezpečení os. údajů
• Porušení zabezpečení ohlásí správce bez zbytečného odkladu
a pokud možno do 72 hod. od okamžiku, kdy se o něm
dozvěděl, dozorovému úřadu, ledaže je nepravděpodobné, že
by mělo za následek riziko pro práva a svobody fyzických osob.
• Pokud je pravděpodobné, že porušení bude mít za následek
vysoké riziko /…/, oznámí správce porušení bez zbytečného
odkladu subjektu údajů. Oznámení se nevyžaduje, jestliže:
a) náležitá technická a organizační ochranná opatření byla použita u údajů
dotčených porušením, zejm. ta, která činí údaje nesrozumitelnými pro
kohokoli, kdo není oprávněn k nim mít přístup, např. šifrování;
b) správce přijal následná opatření, která zajistí, že vysoké riziko /…/ se již
pravděpodobně neprojeví.

17. Přístup založený na riziku (4): Posouzení vlivu
• Pokud je pravděpodobné, že určitý druh zpracování, zejm. při využití
nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a
účelům zpracování bude mít za následek vysoké riziko pro práva a svobody,
provede správce před zpracováním posouzení vlivu zamýšlených operací
zpracování na ochranu osobních údajů.
• Posouzení je nutné zejména v těchto případech:
a)systematické a rozsáhlé vyhodnocování osobních aspektů fyzických osob,
které je založeno na automatizovaném zpracování, včetně profilování, a na
němž se zakládají rozhodnutí s právními účinky nebo mají na fyzické osoby
podobně závažný dopad;
b) rozsáhlé zpracování zvláštních kategorií údajů (citlivé)nebo údajů
týkajících se rozsudků v trestních věcech a trestných činů;
c) rozsáhlé systematické monitorování veřejně přístupných prostorů.

18. Přístup založený na riziku (5):
Předchozí konzultace
• Správce konzultuje před zpracováním s dozorovým úřadem,
pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že
by dané zpracování mělo za následek vysoké riziko v případě, že
by správce nepřijal opatření ke zmírnění tohoto rizika.
• Pokud se dozorový úřad domnívá, že by zamýšlené zpracování
porušilo toto nařízení, zejména pokud správce nedostatečně
určil či zmírnil riziko, upozorní na to správce a případně
zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od
obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých
pravomocí.

19. Přístup založený na riziku (6):
Pověřenec pro ochranu osobních údajů
Správce a zpracovatel jmenují pověřence pro ochranu
osobních údajů v každém případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou
soudů jednajících v rámci svých soudních pravomocí;
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích
zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům
vyžadují rozsáhlé pravidelné a systematické monitorování subjektů
údajů;
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém
zpracování zvláštních kategorií údajů a osobních údajů týkajících se
rozsudků v trestních věcech a trestných činů.

20. Přístup založený na riziku (7): Předávání osobních
údajů do třetích zemí a mezinár. organizacím
• Hodnocení třetí země (Komise): zásady právního státu,
standardy lidských práv, nezávislý dozor, mezinárodní závazky.
• Předávání založená na vhodných zárukách
• Výjimky: subjekt údajů byl informován o možných rizicích,
která pro něj v důsledku absence rozhodnutí o odpovídající
ochraně a vhodných záruk vyplývají, a k navrhovanému
předání vydal svůj výslovný souhlas
• Předání, která nejsou opakovaná a týkají se pouze
omezeného počtu subjektů údajů, lze uskutečnit pro účely
závažných oprávněných zájmů správce, pokud nad těmito
zájmy nepřevažují zájmy/práva a svobody subjektu údajů

21. Přístup založený na riziku (8): záznamy
o činnostech zpracování
• Povinnost vést záznamy o činnostech zpracování se
nepoužije pro podnik nebo organizaci zaměstnávající méně
než 250 osob, ledaže zpracování, které provádí, pravděpodob-
ně představuje riziko pro práva a svobody subjektů údajů,
zpracování není příležitostné, nebo zahrnuje zpracování
zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo
osobních údajů týkajících se rozsudků v trestních věcech a
trestných činů uvedených v článku 10.

22. Přístup založený na riziku (9):
pseudonymizace
• osobní údaje již nemohou být přiřazeny konkrétnímu
subjektu údajů bez použití dodatečných informací,
uchovávaných odděleně a technická a organizační
opatření zajišťují, že nebudou přiřazeny identifikova-
né/identifikovatelné fyzické osobě
• vhodná záruka:
– snižuje rizika pro práva subjektu údajů
– změkčuje některé povinnosti správců (a zpracovatelů):
práva subjektu údajů podmíněna schopností správce
subjekt údajů identifikovat

23. Specifika veřejné správy v ČR
Část V

24. Zásada zákonnosti (1)
• Zpracování je zákonné, pouze pokud a pouze v odpovídajícím
rozsahu:
• c) zpracování nezbytné pro splnění právní povinnosti,
která se na správce vztahuje;
• e) zpracování nezbytné pro splnění úkolu prováděné-
ho ve veřejném zájmu nebo při výkonu veřejné moci;
• Členské státy mohou zachovat/zavést konkrétnější
ustanovení tím, že přesněji určí konkrétní požadavky
na zpracování a jiná opatření k zajištění zákonného a
spravedlivého zpracování.

25. Zásada zákonnosti (2)
• Zpracování je zákonné, pouze pokud a pouze v odpo-
vídajícím rozsahu:
• f) zpracování je nezbytné pro účely oprávněných
zájmů příslušného správce/třetí strany - netýká se
zpracování prováděného orgány veřejné moci při
plnění jejich úkolů

26. Posouzení vlivu
• Při výkonu oprávnění (samosprávná působ-
nost) a povinností (samosprávná i přenesená
působnost) nemají instituce veř. správy
povinnost podle čl. 35 a 36
• Adaptační zákon provede čl. 35(10): posouzení
vlivu na ochranu osobních údajů je a bude
součástí obecného posouzení dopadů
v souvislosti s přijetím právního základu

27. Zabezpečení zpracování
S přihlédnutím ke stavu techniky, nákladům na
provedení, povaze, rozsahu, kontextu, účelu zpracování,
rizikům pro práva a svobody fyz. osob, provedou
správce a zpracovatel vhodná technická a organizační
opatření, odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit důvěrnost, integritu, dostupnost
a odolnost systémů a služeb;
d) pravidelného testování, posuzování a hodnocení
účinnosti zavedených opatření

28. Zabezpečení zpracování (2)
• Správce a zpracovatel přijmou opatření pro
zajištění toho, aby jakákoliv fyzická osoba,
která jedná z pověření správce nebo
zpracovatele a má přístup k osobním údajům,
zpracovávala tyto osobní údaje pouze na
pokyn správce, pokud jí jejich zpracování již
neukládá právo Unie nebo členského státu.

29. Povinnosti zakládající u správce
potřebu vnitřních předpisů
Část V

30. Povinnosti, jejichž plnění si žádá vnitřní
předpis správce
• Komunikace se subjekty
údajů
• Plnění „vnitřních“
povinností správce
• Spolupráce s dozorovým
úřadem
• Platí zejména pokud
nejsou podrobnosti
stanoveny zvláštním
právním předpisem

31. Komunikace se subjekty údajů(1)
• Podle čl. 13 -22 pro výkon práv subjektu údajů
– formy a formáty odpovídající základní komunikaci
– formuláře (?)
– potvrzení totožnosti žádajícího subjektu údajů
– (standardizované) ikony
• Podle čl. 34 – pro plnění oznamovací povinnosti
– šablony (ve všech významech)
– Vazba na záznamy podle čl. 30 a posouzení vlivu podle čl.
35

32. Plnění „vnitřních“ povinností
správce (compliance)
• podle čl. 6 – 12
• Podle čl. 32 (zabezpečení zpracování)
• podle čl. 44 – 49
• vlastní posouzení vlivu na ochranu osobních
údajů podle čl. 35 a případně
• předběžná konzultace podle čl. 36

33. Zabezpečení zpracování
S přihlédnutím ke stavu techniky, nákladům na
provedení, povaze, rozsahu, kontextu, účelu zpracování,
rizikům pro práva a svobody fyz. osob, provedou
správce a zpracovatel vhodná technická a organizační
opatření, odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit důvěrnost, integritu, dostupnost
a odolnost systémů a služeb;
d) pravidelného testování, posuzování a hodnocení
účinnosti zavedených opatření

34. Komunikace s dozorovým úřadem
• Podle čl. 30 (na požádání poskytnout záznamy
o činnostech zpracování)
• Podle čl. 31 na požádání spolupracovat při
plnění úkolů dozorového úřadu
• Podle č. 33 ohlašovací povinnost (zjištěné
porušení zabezpečení)

35. Vnitřní předpis nebo jiná forma
úpravy
• Podle čl. 30 (záznamy o činnostech zpracování)
• Podle čl. 37 - 39 (jmenování pověřence,
postavení a úkoly)
• podle čl. 40 (kodexy chování)

36. Porovnání vybraných povinností
Část IV

37. Zabezpečení osobních údajů
§ 13 zák. 101/2000 Sb.
• Obecná formulace +
konkrétní formulace dílčích
povinností:
– dokumentační povinnost
– 4 povinnosti pro automatizované
zpracování
• Plošná platnost, pouze u obecné
povinnosti přijmout provést
opatření dán prostor
Čl. 32 až 34 nař. 2016/679
• Obecná povinnost
umožňuje zohlednit stav
techniky, náklady na
provedení, kontext a účel
• Nová ohlašovací povinnost
• Nová oznamovací povinnost
• Změkčená dokumentační
povinnost (v čl. 30)

38. Zabezpečení osobních údajů
• elektronické záznamy, které umožní určit a
ověřit, kdy, kým a z jakého důvodu byly os.
údaje zaznamenány nebo jinak zpracovány:
- podle zák. č. 101/2000 Sb. absolutní
povinnost
- podle ON v závislosti na kontextu a účelech
zpracování a rizikům pro práva svobody fyz.
osob
Pozn: povinnost podle čl. 25 směrnice 2016/680

39. Sdružování osobních údajů
§ 5 odst. 1 písm. h) zák. 101
• Správce je povinen
nesdružovat osobní údaje,
které byly získány k
rozdílným účelům
• Nepoužije se pro zpracování
podle § 3 odst. 6
ON explicitně „nezná“
• Sdružování omezeno
zásadami zákonnosti,
korektnosti a
transparentnosti
• Omezení podpořeno pov.
podle čl. 13 a 14 (informace
subjektu údajů)
• Bude platit i pro veřejnou
správu (aktivní legislativa,
projektová činnost)

40. Politické x odborné čtení ON
Část III

41. Definice osobního údaje
• omezení na údaje
identifikující
• rozšíření pojmu
• Definice v § 4 zák. č.
101/2000 Sb., čl. 2 směrnice
95/46/ES a čl. 4 ON
• rozsudky Breyer (C-582/14)
a Scarlet Extended SA (C-
70/10)
• rozsudky Schrems
(C-362/14), Tele2Sverige
(C-203/15), Tele2/Watson
(C-698/15) …

42. Subjekt údajů má kontrolu nad
svými údaji
• Subjektu údajů se nově
přiznává kontrola nad
svými údaji
• Subjekt údajů je
(výlučným) vlastníkem
svých osobních údajů
– (privátní autonomie)
• Souhlas pouze jedním
ze 6 právních titulů
• Rozšířená práva:
přenositelnost
• Detailnější úprava
(výmaz)
• Omezení práv:
– v samotném ON
– přípustné právem
Unie/ČS (čl. 23)

43. Právo být zapomenut
• „Na pravou míru“ uvedeno přímo v ON:
– Čl. 17 Právo na výmaz („právo být zapomenut“)
pokud je dán jeden ze 6 důvodů
– Nepoužije se, při zpracování nezbytném pro jeden
ze 4 důvodů (výkon práva na svobodu projevu a
informace, splnění právní povinnosti, veřejného
zájmu v oblasti veřejného zdraví, pro účely
archivace ve veř. zájmu, vědeckého/historického
výzkumu nebo statistické účely a pro určení, výkon
nebo obhajobu právních nároků)

44. Souhlas subjektu údajů
• zásadní institut evropského modelu ochrany
osobních údajů
• žádost o vyjádření souhlasu jasně odlišena od jiných
skutečností, srozumitelná a snadno přístupná (jasné
a jednoduché jazykové prostředky)
• svobodnost: plnění smlouvy, vč. poskytnutí služby
nesmí být podmíněno souhlasem se zpracováním,
které není pro plnění dané smlouvy nutné
• nevyužit přístup založený na riziku

45. Ochrana cestuje s osobními údaji
• V celé Unii je třeba
zajistit soudržné a
jednotné uplatňování
pravidel ochrany
-preambule (10)
• Podmínky zákonnosti
zpracování: možnost ČS
zavést konkrétnější ust.
podle čl. 6(1)c) a e)
• Omezení rozsahu povinností
a práv podle čl. 5,12-22 a 34
právem Unie/ČS (čl. 23)
• Právo ČS uvádějící právo na
ochranu os. údajů podle ON
do souladu s právem na
svobodu projevu a
informací (čl. 85)

46. Předmět právní úpravy
• Je upravována jen
ochrana fyzických osob
v souvislosti se
zpracováním údajů?
• Ne: upravováno jsou i
jiné aspekty zpracování
osobních údajů.
• Upravovány rovněž
podnikatelské aktivity
spojené se zpracováním
• podmínky zakládající
zákonnost zpracování –
čl. 6(1) nejm. písm. c), e) a f)
• povinnost provést
technická/organizační
opatření k zabezpečení os.
údajů- čl. 32, zejm. odst. 1 písm. b)
• Přenositelnost: předání
přímo jedním správcem
druhému (čl. 20(1) a(2)

47. METODICKÉ DOKUMENTY WP29
S čím správcům pomůže komunita ochránců?

48. Vodítka: vydaná a vydávaná
• První a druhé vydání:
• Pověřenec pro ochranu osobních údajů
• Přenositelnost osobních údajů
• Určení vedoucího dozorového úřadu pro
správce nebo zpracovatele
• První vydání:
• Posouzení vlivu na ochranu osobních údajů a
zjišťování, zda zpracování „bude mít za
následek vysoké riziko“pro účely ON

49. Vodítka: připravovaná
• vydávání osvědčení (certifikace)
• souhlas subjektu údajů
• profilování
• transparentnost
• oznamování porušení (rev. stanoviska 03/2014)
• předávání osobních údajů
• Interní EDPB: správní pokuty, mezinárodní
spolupráce, postup v naléhavých případech

50. www.uoou.cz
https://www.uoou.cz/obecne-
narizeni-eu/ds-3938/p1=3938