GDPR
Obsah
- 1 Co je GDPR
- 2 Cíle GDPR
- 3 Osoby
- 4 Legislativa
- 5 Směrnice pro práci s osobními údaji
- 6 Typy osobních údajů
- 7 Souhlas
- 8 Hlavní zásady
- 9 Principy a fáze ochrany osobních údajů
- 10 Incident management
- 11 Doporučená opatření před zavedením GDPR
- 12 Požadavky GDPR
- 13 GDPR - spolek - fyzické osoby
- 14 Transparentní účet
- 15 Fotografie
- 16 Přihláška do organizace
Co je GDPR
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, která má zvýšit ochranu osobních dat občanů. GDPR začíná platit 25. 5. 2018!
Cíle GDPR
- Modernizovat - soulad s technologii
- Sjednotit pro celou EU
- Zvýšit ochranu fyzických osob
| Bez souhlasu můžeme zpracovávat jen data, která jsou ze zákona povinná.
Co požaduje náš zákon, na to souhlas mít nemusíme - vše se řídí jen českými zákony. |
Osoby
Správce údajů
Určuje kdo má k čemu přístup, jak se s údaji nakládá, má zodpovědnost za správnost postupů vzhledem ke směrnici. Je vhodné mít s ním vyjasněný právní vztah písemně.
Zpracovatel údajů
Zpracovává údaje, třídí je, pracuje s nimi. Je vhodné mít s ním vyjasněný právní vztah písemně.
Subjekt údajů
Dříve osoby. Jedná se o koncového člověka, o kterém sbíráme údaje.
Legislativa
Zákony České republiky jsou nadřazeny nařízení Evropské unie (GDPR)
Hierarchie
(Sestupně)
- Zákon ČR
- Nařízení EU (GDPR)
- Veřejný zájem - novináři, televize, rádia...
- Oprávněný zájem (pro použití typu oprávněného zájmu je nutné vypracovat balanční test)
- Zájem organizace - zde je nutný souhlas subjektu údajů, který JE ODVOLATELNÝ
Směrnice pro práci s osobními údaji
Každý by si měl vytvořit svoji. Je důležité pamatovat na základní otázky:
- JAK se bude s údaji pracovat?
- KDE to bude uložené
- KDE se s tím bude pracovat
- KDO bude údaje vidět a pracovat s nimi
Otázky k tvorbě směrnice a kontroly ochrany osobních údajů
- Znáte svá data?
- Kde jsou?
- Proč je zpracováváte?
- Kdo co s nimi dělá?
- Znáte rizika?
- Umíte rizika vyřešit?
| Ideální je nemít v žádných dokumentech data, která vysloveně nepotřebujeme! |
Typy osobních údajů
- Finanční (majetek, pohyby na účtu, účty, karty...)
- Sociální (práce, nákupy, rodina, přátelé, zvyky, zájmy...)
- Základní (jména, data narození, rodná čísla, adresy, fotky, biometrika...)
- Zdravotní (geny, nemoci, léky, nemoci...)
- ICT (pohyby po virtuálním prostoru, IP adresy, cookies, emaily, přístupová hesla...)
Souhlas
Je nutné mít přesně popsáno a speciálním podpisem (tzn. nemůže souhlas nemůže být vnímán jako podpis smlouvy, přihlášky apod., ale musí být speciálně odsouhlaseny např. v dodatku pod čarou jednotlivé položky) odsouhlaseno:
- Jasně a přesně identifikovaná data, která chceme zpracovat
- Jak budou data zpracovávána, kde budou uložena
- Proč data zpracováváme
- Kdo k datům bude přistupovat
| Souhlasy musíme mít i od dětí ve věku, kdy jsou schopny posoudit důsledky svého jednání. V současné době národní legislativa není vypracována, ale nejspíše se bude jednat o věkovou hranici 15 let. |
| V případě neudělení souhlasu a následném nepřijetí subjektu do organizace je nutné uvést jasný důvod (vztahující se k činnosti organizace). Tedy buď s ohledem na platné zákony ČR (EU), nebo s ohledem např. na bezpečnost práce, zdravotní rizika, dohledatelnost zákonných zástupců apod. (chci vědět medikaci, jméno, příjmení dítěte a kontakt na rodiče, ale už nepotřebuji vědět sexuální orientaci a náboženské vyznání). |
Podoba souhlasu
- Svobodný (dobrovolný)
- Transparentní (k čemu souhlas je, co reálně bude jeho funkcí - lze tím odůvodnit nepřijmutí člena - např. nejsme schopni zajistit oddělenou fotodokumentaci, bezpečnost dítěte, když neznám medikaci apod.)
- Informovaný (subjekt dostal předem všechny informace - o rozsahu údajů, komu mohou být zpřístupněny - např. hlavnímu spolku - poučení o přístupu k údajům, právu na opravu a výmaz - včetně poučení o důsledích takového výmazu) a jednoznačný
- Udělen prohlášením (je často neprokazatelné) nebo zjevným potvrzením (písemně, skrze e-maily)
- Subjekt údajů musí učinit akci (zaškrtnout souhlas)
Hlavní zásady
- Regulovaná data (osobní údaje, citlivé osobní údaje, pseudonymizace)
- Transparentnost a informovaný souhlas
- Posílená práva subjektů dat
- Požadavky na ochranu dat (jak se řeší zabezpečení, chce to posílit bezpečnost s nárůstem členů, povahy práce apod. - důvěrnost, dostupnost, integrita - zajistit proces neustálého zabezpečování a testování)
- Odpovědnost a řízení rizik (není nutné mít pověřence pro ochranu osobních údajů a není nutné mít záznamy o činnostech zpracování)
- Hlášení bezpečnostních incidentů (jakékoli porušení zabezpečení ochrany osobních údajů, bez odkladu nutno hlásit Úřadu pro ochranu osobních údajů do 72 hodin)
Principy a fáze ochrany osobních údajů
- Posuzovat (citlivost, souvislosti, rizika)
- Chránit (zajistit neustálou ochranu)
- Odhalovat (detekovat odchylky a porušení)
- Hlásit (analyzovat a ohlásit)
Incident management
- Útok
- Detekce incidentu
- Ohlášení incidentu (úřadu a subjektům)
Detekce problému
- Kategorizace (čeho všeho se to týká)
- Zastavení úniku dat
- Komunikace (interně i externě)
- Obnovení dat
- Ponaučení se
Doporučená opatření před zavedením GDPR
Zrušit sběr zbytečných dat / zpracování dat
Získat souhlasy
Změnit procesy, směrnice
Vyřešit technická a organizační opatření
Omezení přístupu uživatelů k menšímu množství dat
Poučení uživatelů dat
Detekce incidentů
Požadavky GDPR
Právo výmazu
Právo přenositelnosti
Získávání informovaného souhlasu subjektů
Předávání údajů do třetích zemí (mimo Evropskou unii)
Provádění analýz rizik
GDPR - spolek - fyzické osoby
- Posouzení vlivu na ochranu osobních údajů - jak je zpracovávání osobních údajů rizikové pro fyzické osoby
- Povinnost ohlašování porušení bezpečnostních údajů dozorovanému úřadu do 72 hodin
- Zaměstnanci - zpracovávání je na základě zákonných požadavků (zákoník práce + sociální a zdravotní pojištění)
- Zpracovávání údajů je možné bez souhlasu na základě zvláštního zákona (zákoník práce, zákon o účetnictví, o ochraně veřejného zdraví, o místních poplatcích...)
- Členové - na základě souhlasu ke zpracování osobních údajů pro účely činnosti spolku
Transparentní účet
- Je nutné uvést, že je účet transparentní
- Je nutné uvést, že kdo nechce platit na transparentní účet, ať se domluví individuálně
- Variabilní symbol nesmí být rodné číslo
- Není možné klienty vyzývat k uvedení jména / identifikátoru subjektu + účelu platby do popisu platby
- Ideální je rozdat speciální variabilní symboly pro konkrétní osoby a mít párovací soubor v soukromí
Fotografie
- Při odvolání souhlasu musíme vymazat veškeré fotografie z internetu i záloh
- Pokud jde o pevná média rozdaná účastníkům akce, nemusíme je sbírat
Přihláška do organizace
Měla by obsahovat veškeré informace o tom co kam se za osobní informace dostává, jak se s nimi nakládá a poučení o tom, co se děje při neposkytnutí souhlasu a při odvolání souhlasu.
Příklad přihlášky do organizace
Přihlášky na akce
Jak je to s přihláškami na akce? Musí být nějak speciální?
Nemusí a neřeší znovu poučení a souhlasy k nakládání s osobními údaji, neboť to řeší již sama přihláška do organizace (přihláška na tábor pro členy řeší hlavně závazné přihlášení, že dítě pojede, rodič zaplatí, jak je řešeno případné storno a že rodič aktualizuje údaje včetně zdravotních údajů , které se ale již zpracovávají na základě poučení z přihlášky do organizace). Přihlášky na tábory s novým poučením jsou potřeba pro nečleny, tzn. pro děti, co jedou jen na tábor, nebo z jiného důvodu nemají členskou přihlášku do organizace. Pak by měla přihláška na tábor obsahovat vše, co přihláška do organizace. (dle Skautské křižovatky)
Více ke konkrétním dotazům na poli organizacích pracující s mládeží naleznete na Skautské křižovatce
