GDPR

Z PWiki
Přejít na: navigace, hledání

Co je GDPR

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, která má zvýšit ochranu osobních dat občanů. GDPR začíná platit 25. 5. 2018!

Cíle GDPR

  • Modernizovat - soulad s technologii
  • Sjednotit pro celou EU
  • Zvýšit ochranu fyzických osob
Bez souhlasu můžeme zpracovávat jen data, která jsou ze zákona povinná.

Co požaduje náš zákon, na to souhlas mít nemusíme - vše se řídí jen českými zákony.

Osoby

Správce údajů

Určuje kdo má k čemu přístup, jak se s údaji nakládá, má zodpovědnost za správnost postupů vzhledem ke směrnici. Je vhodné mít s ním vyjasněný právní vztah písemně.

Zpracovatel údajů

Zpracovává údaje, třídí je, pracuje s nimi. Je vhodné mít s ním vyjasněný právní vztah písemně.

Subjekt údajů

Dříve osoby. Jedná se o koncového člověka, o kterém sbíráme údaje.


Legislativa

Zákony České republiky jsou nadřazeny nařízení Evropské unie (GDPR)

Hierarchie

(Sestupně)

  1. Zákon ČR
  2. Nařízení EU (GDPR)
  3. Veřejný zájem - novináři, televize, rádia...
  4. Oprávněný zájem (pro použití typu oprávněného zájmu je nutné vypracovat balanční test)
  5. Zájem organizace - zde je nutný souhlas subjektu údajů, který JE ODVOLATELNÝ

Směrnice pro práci s osobními údaji

Každý by si měl vytvořit svoji. Je důležité pamatovat na základní otázky:

  • JAK se bude s údaji pracovat?
  • KDE to bude uložené
  • KDE se s tím bude pracovat
  • KDO bude údaje vidět a pracovat s nimi


Otázky k tvorbě směrnice a kontroly ochrany osobních údajů

  • Znáte svá data?
  • Kde jsou?
  • Proč je zpracováváte?
  • Kdo co s nimi dělá?
  • Znáte rizika?
  • Umíte rizika vyřešit?
Ideální je nemít v žádných dokumentech data, která vysloveně nepotřebujeme!

Typy osobních údajů

  • Finanční (majetek, pohyby na účtu, účty, karty...)
  • Sociální (práce, nákupy, rodina, přátelé, zvyky, zájmy...)
  • Základní (jména, data narození, rodná čísla, adresy, fotky, biometrika...)
  • Zdravotní (geny, nemoci, léky, nemoci...)
  • ICT (pohyby po virtuálním prostoru, IP adresy, cookies, emaily, přístupová hesla...)

Souhlas

Je nutné mít přesně popsáno a speciálním podpisem (tzn. nemůže souhlas nemůže být vnímán jako podpis smlouvy, přihlášky apod., ale musí být speciálně odsouhlaseny např. v dodatku pod čarou jednotlivé položky) odsouhlaseno:

  • Jasně a přesně identifikovaná data, která chceme zpracovat
  • Jak budou data zpracovávána, kde budou uložena
  • Proč data zpracováváme
  • Kdo k datům bude přistupovat
Souhlasy musíme mít i od dětí ve věku, kdy jsou schopny posoudit důsledky svého jednání. V současné době národní legislativa není vypracována, ale nejspíše se bude jednat o věkovou hranici 15 let.
V případě neudělení souhlasu a následném nepřijetí subjektu do organizace je nutné uvést jasný důvod (vztahující se k činnosti organizace). Tedy buď s ohledem na platné zákony ČR (EU), nebo s ohledem např. na bezpečnost práce, zdravotní rizika, dohledatelnost zákonných zástupců apod. (chci vědět medikaci, jméno, příjmení dítěte a kontakt na rodiče, ale už nepotřebuji vědět sexuální orientaci a náboženské vyznání).

Podoba souhlasu

  • Svobodný (dobrovolný)
  • Transparentní (k čemu souhlas je, co reálně bude jeho funkcí - lze tím odůvodnit nepřijmutí člena - např. nejsme schopni zajistit oddělenou fotodokumentaci, bezpečnost dítěte, když neznám medikaci apod.)
  • Informovaný (subjekt dostal předem všechny informace - o rozsahu údajů, komu mohou být zpřístupněny - např. hlavnímu spolku - poučení o přístupu k údajům, právu na opravu a výmaz - včetně poučení o důsledích takového výmazu) a jednoznačný
  • Udělen prohlášením (je často neprokazatelné) nebo zjevným potvrzením (písemně, skrze e-maily)
  • Subjekt údajů musí učinit akci (zaškrtnout souhlas)

Hlavní zásady

  • Regulovaná data (osobní údaje, citlivé osobní údaje, pseudonymizace)
  • Transparentnost a informovaný souhlas
  • Posílená práva subjektů dat
  • Požadavky na ochranu dat (jak se řeší zabezpečení, chce to posílit bezpečnost s nárůstem členů, povahy práce apod. - důvěrnost, dostupnost, integrita - zajistit proces neustálého zabezpečování a testování)
  • Odpovědnost a řízení rizik (není nutné mít pověřence pro ochranu osobních údajů a není nutné mít záznamy o činnostech zpracování)
  • Hlášení bezpečnostních incidentů (jakékoli porušení zabezpečení ochrany osobních údajů, bez odkladu nutno hlásit Úřadu pro ochranu osobních údajů do 72 hodin)


Principy a fáze ochrany osobních údajů

  1. Posuzovat (citlivost, souvislosti, rizika)
  2. Chránit (zajistit neustálou ochranu)
  3. Odhalovat (detekovat odchylky a porušení)
  4. Hlásit (analyzovat a ohlásit)


Incident management

  1. Útok
  2. Detekce incidentu
  3. Ohlášení incidentu (úřadu a subjektům)


Detekce problému

  1. Kategorizace (čeho všeho se to týká)
  2. Zastavení úniku dat
  3. Komunikace (interně i externě)
  4. Obnovení dat
  5. Ponaučení se

Doporučená opatření před zavedením GDPR

Zrušit sběr zbytečných dat / zpracování dat
Získat souhlasy
Změnit procesy, směrnice
Vyřešit technická a organizační opatření
Omezení přístupu uživatelů k menšímu množství dat
Poučení uživatelů dat
Detekce incidentů

Požadavky GDPR

Právo výmazu
Právo přenositelnosti
Získávání informovaného souhlasu subjektů
Předávání údajů do třetích zemí (mimo Evropskou unii)
Provádění analýz rizik

GDPR - spolek - fyzické osoby

  • Posouzení vlivu na ochranu osobních údajů - jak je zpracovávání osobních údajů rizikové pro fyzické osoby
  • Povinnost ohlašování porušení bezpečnostních údajů dozorovanému úřadu do 72 hodin
  • Zaměstnanci - zpracovávání je na základě zákonných požadavků (zákoník práce + sociální a zdravotní pojištění)
  • Zpracovávání údajů je možné bez souhlasu na základě zvláštního zákona (zákoník práce, zákon o účetnictví, o ochraně veřejného zdraví, o místních poplatcích...)
  • Členové - na základě souhlasu ke zpracování osobních údajů pro účely činnosti spolku


Transparentní účet

  • Je nutné uvést, že je účet transparentní
  • Je nutné uvést, že kdo nechce platit na transparentní účet, ať se domluví individuálně
  • Variabilní symbol nesmí být rodné číslo
  • Není možné klienty vyzývat k uvedení jména / identifikátoru subjektu + účelu platby do popisu platby
  • Ideální je rozdat speciální variabilní symboly pro konkrétní osoby a mít párovací soubor v soukromí


Fotografie

  • Při odvolání souhlasu musíme vymazat veškeré fotografie z internetu i záloh
  • Pokud jde o pevná média rozdaná účastníkům akce, nemusíme je sbírat

Přihláška do organizace

Měla by obsahovat veškeré informace o tom co kam se za osobní informace dostává, jak se s nimi nakládá a poučení o tom, co se děje při neposkytnutí souhlasu a při odvolání souhlasu.

Příklad přihlášky do organizace

Přihlášky na akce

Jak je to s přihláškami na akce? Musí být nějak speciální?

Nemusí a neřeší znovu poučení a souhlasy k nakládání s osobními údaji, neboť to řeší již sama přihláška do organizace (přihláška na tábor pro členy řeší hlavně závazné přihlášení, že dítě pojede, rodič zaplatí, jak je řešeno případné storno a že rodič aktualizuje údaje včetně zdravotních údajů , které se ale již zpracovávají na základě poučení z přihlášky do organizace). Přihlášky na tábory s novým poučením jsou potřeba pro nečleny, tzn. pro děti, co jedou jen na tábor, nebo z jiného důvodu nemají členskou přihlášku do organizace. Pak by měla přihláška na tábor obsahovat vše, co přihláška do organizace. (dle Skautské křižovatky)

Více ke konkrétním dotazům na poli organizacích pracující s mládeží naleznete na Skautské křižovatce