data protection officer jeho role a postavení ve společnosti...výkladové vodítko – guidelines...
TRANSCRIPT
29.5.2017
1
Data Protection Officer jeho role a postavení ve společnosti
Zuzana Radičová Conforum
6. 6. 2017
2
Agenda
Kvalifikační předpoklady a role pověřence osobních údajů
Postavení pověřence pro ochranu osobních údajů
Klíčové úkoly a činnosti pověřence pro ochranu osobních
údajů
2
29.5.2017
2
Pověřenec pro ochranu osobních údajů
3
Pověřenec pro ochranu osobních údajů ((97), čl. 37 – 39 GDPR)
GDPR upravuje:
Jmenování DPO
Postavení DPO
Úkoly DPO
Pověřenec pro ochranu osobních údajů
4
Související otázky:
Kdo je povinen DPO jmenovat?
Jak postupovat, pokud jmenovaný nebude?
Koho lze jmenovat?
Interní nebo externí funkce?
Jaké předpoklady musí kandidát na DPO splňovat?
Jaké je organizační a funkční zařazení DPO?
Jaké činnosti má DPO vykonávat?
29.5.2017
3
Pověřenec pro ochranu osobních údajů
5
Výkladové vodítko – Guidelines WP 29 (WP 243 rev.01)
http://ec.europa.eu/newsroom/just/item-
detail.cfm?item_id=50083 revidované a přijaté 5. 4. 2017
(vč. FAQ)
Pověřenec pro ochranu osobních údajů
6
Role DPO
osoba s odbornými znalostmi v oblasti právních
předpisů a postupů týkajících se ochrany osobních
údajů (97)
nezávislý subjekt, který pomáhá správci zajišťovat a
dokládat soulad s právními předpisy v oblasti ochrany
osobních údajů
kontaktní bod
monitoruje, zda je zajištěn vnitřní soulad s GDPR (97)
„uhelný kámen zásady odpovědnosti a jeho jmenování
může usnadnit dosažení právního souladu a být i
konkurenční výhodou“ (WP29)
29.5.2017
4
Pověřenec pro ochranu osobních údajů
7
Povinnost jmenovat DPO
orgány veřejné moci/veřejný subjekt (s výjimkou
soudu v rámci jejich soudní pravomoci)
hlavní činnosti správce spočívají v rozsáhlém
pravidelném a systematickém monitorování subjektů
údajů
rozsáhlé zpracování zvláštních kategorií
údajů/rozsudků v trestních věcech
vyžaduje-li právo EU nebo ČS
Pověřenec pro ochranu osobních údajů
8
Povinnost jmenovat DPO
není-li jednoznačné → doložit provedení interní analýzy,
zda je nebo není nutné pověřence ustavit, prokázat
ustanoví-li dobrovolně → podléhá všem povinnostem
podle GDPR
29.5.2017
5
Pověřenec pro ochranu osobních údajů
9
Hlavní činnosti (core activities)
souvisí se základními činnostmi správce a nevztahují se
na zpracování osobních údajů jakožto pomocnou
činnost (WP29)
klíčové operace nezbytné k dosažení cílů správce nebo
zpracovatele
nemocnice/soukromá bezpečnostní agentura x
vyplácení mezd/ IT podpora
Pověřenec pro ochranu osobních údajů
10
Rozsáhlé zpracování (large scale)
„rozsáhlé operace, jež mají sloužit ke zpracování
značného množství osobních údajů na regionální,
celostátní nebo nadnárodní úrovni, jež by mohly mít
dopad na velký počet subjektů údajů a u nichž je
pravděpodobné, že budou představovat vysoké riziko“
(91)
„zpracování pacientů nebo klientů jednotlivými lékaři,
zdravotníky nebo právníky by za zpracování velkého
rozsah nemělo být považováno…“ (91)
29.5.2017
6
Pověřenec pro ochranu osobních údajů
11
Rozsáhlé zpracování (large scale) - Příklady
zpracování cestovních dat jednotlivců používaných MHD
(např. sledování prostřednictvím čipové průkazky)
zpracování údajů o aktuální zeměpisné poloze zákazníků
mezinárodních řetězců rychlého občerstvení pro statistické
účely zpracovatelem zaměřeným na tuto činnost
zpracování zákaznických dat v rámci běžné obchodní
činnosti pojišťovny nebo banky
zpracování osobních údajů vyhledávačem pro potřeby
behaviorální reklamy
zpracování dat (o obsahu, provozních, lokalizačních)
poskytovatelem telefonních služeb
Pověřenec pro ochranu osobních údajů
12
Pravidelné a systematické monitorování
monitorování chování subjektů údajů (24)
→ všechny formy sledování a profilování na
internetu, pro účely behaviorální reklamy
sledování však není omezeno pouze na prostředí
online
29.5.2017
7
Pověřenec pro ochranu osobních údajů
13
pravidelný
průběžný nebo v pravidelných intervalech a po
určitou dobu se opakující
stále se opakující nebo opakovaný ve stanoveném
čase
neustále nebo pravidelně se vyskytující
systematický
vyskytující se podle určitého systému
přednastavený, organizovaný nebo metodický
uskutečňující se jako součást obecného plánu pro
sběr dat
vykonávaný jako součást strategie
Pověřenec pro ochranu osobních údajů
14
Pravidelné a systematické monitorování -
Příklady
cílení internetové reklamy pomocí emailu
profilování a bodování (skórování) pro účely
posuzování rizik
sledování polohy např. u mobilních aplikací,
kamerové systémy
…
29.5.2017
8
Pověřenec pro ochranu osobních údajů
15
Pověřenec zpracovatele?
platí i pro zpracovatele
„zpracovatel nemusí nutně pověřence jmenovat,
může to však být dobrou praxí“ (WP29)
DPO v rámci zpracovatele by měl rovněž dohlížet
nad činnostmi, které zpracovatelská organizace
vykonává pro sebe jako pro správce (např.
personalistika, IT, logistika)
Pověřenec pro ochranu osobních údajů
16
Podmínky jmenování DPO:
snadno dosažitelný z každého podniku (kontakt
pro zaměstnance správce i subjekty údajů)
odborné znalosti a schopnosti pověřence (úroveň
odborných znalostí, profesní kvality, schopnost
plnit úkoly)
nesmí být ve střetu zájmů
29.5.2017
9
Pověřenec pro ochranu osobních údajů
17
Postavení DPO:
zapojení do veškerých záležitostí ochrany dat
nezbytné zdroje
aktivní podpora od vyššího vedení
peněžní zdroje, infrastruktura, personál
oficiální oznámení
přístup do jiných útvarů
průběžné školení
sestavení týmu
přímo podřízen vrcholovým řídícím pracovníkům
jednání nezávislým způsobem
nesmí být ve střetu zájmů
nesmí být propuštěn ani sankcionován
Pověřenec pro ochranu osobních údajů
18
DPO na smlouvu o poskytování služeb
externí organizace
nutné, aby nebyl ve střetu zájmů
„jasně rozdělit úkoly v pověřencově týmu a určit
jednoho pracovníka jako hlavní kontakt a osobu
pověřenou „péči o zákazníka“ WP 29
29.5.2017
10
Pověřenec pro ochranu osobních údajů
19
Odpovědnost DPO:
„nenese osobní odpovědnost za nedodržování
GDPR/
„Za dodržení souladu s právními předpisy pro
ochranu osobních údajů zůstává odpovědný
správce nebo zpracovatel a musí být schopen
soulad doložit“
„autonomie pověřenců neznamená, že mají
rozhodovací pravomoc“
(WP29)
Pověřenec pro ochranu osobních údajů
20
Úkoly pověřence
monitoring souladu (audity, kontrolní činnosti)
shromažďování informací za účelem zjišťování
zpracovatelských činností
analyzovat a prověřovat právní soulad
zpracovatelských činností
informovat, radit a vydávat doporučení
poradenství na požádání v případě DPIA
….
29.5.2017
11
Pověřenec pro ochranu osobních údajů
21
Úkoly pověřence
spolupráce s dozorovým úřadem
kontaktní místo pro dozorový úřad i subjekty údajů
zvyšování povědomí (proškolování)
Další…
správa záznamů o činnostech zpracování podle čl.
30
role v rámci ohlašování/oznamovaní data
breaches
Pověřenec pro ochranu osobních údajů
22
Úkoly pověřence
může plnit i jiné úkoly a povinnosti (!střet zájmů!)
bere patřičný ohled na riziko spojené s operacemi
zpracování a současně přihlíží k povaze, rozsahu,
kontextu a účelům zpracování
29.5.2017
12
Pověřenec pro ochranu osobních údajů
23
Shrnutí
Děkuji za pozornost!