DopadyGDPRnainformačnísystémyaevidencielektronickýchdokumentů
Ing.RobertPifflPoradcenáměstkaministravnitraproICT
Poznámkakprezentaci• Prezentacebylazpracovánavýhradněpropotřebyosobníprezentaceautorapřisoučasném
slovnímvýkladuproworkshopsArchivydne18.1.2018
• Bezpředchozíhosvoleníautoranenímožnéprezentaci,anijejíčástvyužítprojiný,nežvýšeuvedenýúčel.Prezentacecitujenikolivdoslovně,alevodpovídajícímkontextu
• Prozjednodušeníproblematikyjsouvybíránypříklady,splňujícíurčitépodmínky,nelzetedyjakkolivvyvozovat,žebynížeuvedenéplatilovždyavevšechkombinacíchrůznýchživotníchsituacíelektronickýchdokumentů
• Prezentaceobsahujevětšímnožství“slides“jakopodkladovýmateriálpronáslednéstudiumúčastníkůmakceuvedenévprvnímodstavci.Nevšechny„slides“budouprotokomentovány.
• Prezentacezohledňujestavk15.1.2018
ÚVOD
Nařízeníazákony• NováEvropskálegislativa
– existujícínařízeníeIDASaGDPR– připravovanénařízení„jednotnádigitálníbránaproposkytování
informací,postupů,asistenčníchslužebaslužebprořešeníproblémů“• Novánárodnílegislativa
– právnípředpisysouvisejícísnovýmieOPsčipem– právnípředpisysouvisejícísnařízenímeIDASaGDPR
• Zákon„oslužbáchvytvářejícíchdůvěru“+ zákon„oelektronickéidentifikaci“• Zákonoochraněosobníchúdajů– nový• Souvisejícíprávnípředpisy– četnénovelizace
Legislativa=podmínkyprocíle• NovánařízeníEUapředpisynanárodníúrovni
– vytvářízákladníajednotnépodmínkyprodosaženíefektivnějšíhofungovánízejménae-governmentu vEU
– akcelerátorapříležitostnarozvojdigitálníchslužebproobčany– efektivnívyužitínovýchnástrojůmusívéstkesníženínákladůnaISVSa
nenaopak– důslednostkontrolyefektivityIT– GDPRsohledemnazměnupřístupukochraněosobníchúdajůzajistí
bezpečnějšíITsystémy=zvýšenídůvěryobčanůkjejichvyužívání– nutnozapracovatnavzděláváníazvýšenípočítačovégramotnosti
všechvrstevobyvatelstva
PRÁVNÍPŘEDPISYPřehledvybranýchprávníchpředpisů,anebvymezujemehřiště
AktuálnísituacevČR&eIDAS• Nařízeníč.910/2014„o elektronickéidentifikacia službáchvytvářejících
důvěruproelektronickétransakce navnitřnímtrhua ozrušenísměrnice1999/93/ES“(dálejen„eIDAS“)
• KEvropskémunařízenípřipraviloMinisterstvovnitradvazákladnízastřešujícízákony:– Zákonaoslužbáchvytvářejícíchdůvěruproelektronickétransakce– Návrhzákonaoelektronickéidentifikaci
• Výslednýstavjenařízeníadvavnitrostátní„zastřešující“právnípředpisyprooblastnařízeníeIDAS
JednotnádigitálníbránaEU• NávrhNAŘÍZENÍEVROPSKÉHOPARLAMENTUARADY,kterým
sezřizujejednotnádigitálníbránaproposkytováníinformací,postupu,asistenčníchslužebaslužebprořešeníproblémůz2.5.2017– pravidlaprozřízeníaprovozjednotnédigitálníbrány– zásada„pouzejednou“– pravidlaprohlášenípřekážeknavnitřnímtrhu– předpoklad–2rokyadaptačnílhůta– on-lineřešenízákladníchživotníchsituací
JednotnádigitálníbránaEU• Bránaposkytujepřístupkinformacímo:
– právech,povinnostech,pravidlechapostupech– asistenčníchslužbáchaslužbáchprořešeníproblémůaodkazůmnatyto
služby
• SpolečnéuživatelskérozhranímusíbýtdostupnévevšechúředníchjazycíchEU
• Požadavkynaon-linepostupy• Úložištěodkazů• Zpětnávazba– tlaknarozvoje-governmentu včlenskýchstátech
AktuálnísituacevČR&GDPR• NařízeníEvropskéhoparlamentuaRady(EU)2016/679zedne27.dubna
2016oochraněfyzickýchosobvsouvislostisezpracovánímosobníchúdajůaovolnémpohybutěchtoúdajůaozrušenísměrnice95/46/ES(obecnénařízeníoochraněosobníchúdajů)
• KEvropskémunařízenípřipraviloMinisterstvovnitranávrhnanovéhozákonaoochraněosobníchúdajů– probíhávnějšípřipomínkovéřízení
• Výslednýstavbudenařízeníanovýzákonmístoč.101/2000Sb.,nařízenímáúčinnostod25.5.2018
ÚOOÚ- web• NawebuÚOOÚjesekce„ObecnénařízeníEU(GDPR)
– cesta: Titulnístránka > Základníodkazy > ObecnénařízeníEU(GDPR)• DokumentypřeloženépracovnískupinyWP29
– vodítkakprávunapřenositelnostúdajů– vodítkakfunkcipověřenceproochranuosobníchúdajů– vodítkaprourčenívedoucíhodozorovéhoúřadu
• DokumentvangličtiněpracovnískupinyWP29– vodítkakposouzenívlivunaochranuosobníchúdajů
ÚOOÚ- web• Knařízeníužitečnédokumenty
– rejstříkkobecnémunařízenínaochranuosobníchúdajů– převodnítabulka:zákonnaochranuosobníchúdajůx obecnénařízení
naochranuosobníchúdajů• Obecnénařízeníoochraněosobníchúdajůvotázkáchaodpovědích• OdkaznawebEvropskékomise
– EuropeanCommission-JusticeandConsumers>Newsroom>Dataprotection
• StanoviskoWP29knávrhunařízeníePrivacy
Nařízeníanárodníprávo• Podlečlánku288SmlouvyofungováníEvropskéunie- nařízeníjsoupřímo
použitelnávzemíchEU.Soudnídvůrupřesňujevrozsudkuzedne14.prosince1971vevěciPoliti,žesejednáoúplnýpřímýúčinek
• Zásadapříméhoúčinkuumožňujejednotlivcůmbezprostředněsedovolávatevropskýchopatřenípřednárodnímneboevropskýmsoudem
• !!!Nařízenímajípřednostpředvnitrostátnímiprávnímipředpisy!!!
Zákonoslužbách• Zákonč.297/2016,oslužbáchvytvářejícíchdůvěruproelektronickétransakce• Zákonč.298/2016,kterýmseměníněkterézákonyvsouvislostispřijetím
zákonaoslužbáchvytvářejícíchdůvěruproelektronickétransakce,zákonč.106/1999Sb.,osvobodnémpřístupukinformacím,vezněnípozdějšíchpředpisů,azákonc.121/2000Sb.,oprávuautorském,oprávechoslužbáchvytvářejícíchdůvěruproelektronickétransakcesouvisejícíchsprávemautorskýmaozměněněkterýchzákonů(autorskýzákon),vezněnípozdějšíchpředpisů
• obapředpisyúčinnostod19.9.2016–konecpřechodnélhůtypropodepisováníapečetění„nekvalifikovanými“19.9.2018
Podepisovánídle297/2016Sb.
Pečetěnídle297/2016Sb.
Časovérazítkodle297/2016Sb.
Pozornadodržování!• Ačkolivjezákonč.297/2016Sb.jižrokplatnýaúčinnýod
19.9.2016taksestálenedodržujeuřadyorganizací!
• Řadaorganizacístáleneplnízákonemstanovenépovinnostizejména:– §5a§6ohledněpodepisováníelektronickýchdokumentů– §8a§9ohledněelektronickýchpečetí(přechodněznaček)– §11ohledněčasovýchrazítek
Zákonoelektronickéidentifikaci• Zákonč.250/2017Sb.oelektronickéidentifikaciz18.8.2017• Zákonč.251/2017Sb.,kterýmseměníněkterézákonyv
souvislostispřijetímzákonaoelektronickéidentifikaciz18.8.2017
• § 2 Prokázánítotožnostisvyužitímelektronickéidentifikace– Vyžaduje-liprávnípředpisnebovýkonpůsobnostiprokázání
totožnosti,lzeumožnitprokázánítotožnostisvyužitímelektronickéidentifikacepouzeprostřednictvímkvalifikovanéhosystémuelektronickéidentifikace (dálejen„kvalifikovanýsystém“).
ZměnazákonaoOP• Novelazákonač.328/1999Sb.oobčanskýchprůkazech
– Vyhlášenavesbírce195/2017dne10.7.2017– změnasouvisejícíchprávníchpředpisů– zavádíjednotnýeOPsčipemjakobezpečnýprostředekpodlenařízení
eIDAS– zavádísevnovele365/2000Sb.tzv.přístup se zaručenouidentitoua
možnostsubjektuúdajůzískatveškeréúdajezISVS
ZměnazákonaoISVS• Zákonč.104/2017Sb.,kterýmseměnízákonč.365/2000Sb.,
oinformačníchsystémechveřejnésprávyaozměněněkterýchdalšíchzákonů,vezněnípozdějšíchpředpisů,zákonč.181/2014Sb.,okybernetickébezpečnostiaozměněsouvisejícíchzákonů(zákonokybernetickébezpečnosti),aněkterédalšízákony– sbírkazákonůčástka39zedne5.4.2017– účinnostod1.7.2017– informačníkoncepceproorgányveřejnésprávy
ZměnazákonaoZR• Zákonč.192/2016,kterýmseměnízákonč.111/2009Sb.,o
základníchregistrech,vezněnípozdějšíchpředpisů,aněkterédalšízákony– sbírkazákonůčástka72zedne17.6.2016– účinnostod1.1.2017– dalšízměnybylyvsouvislostis„eOP“adalšísezákonemo„eID“– cílemjezajištěníNárodníhoboduproidentifikaci,vydávánístátních
identifikačníchapodpisovýchcertifikátůpro„eOP“
ZákonoarchivnictvíaSSL• Zákonč.56/2014,kterýmseměnízákonč.499/2004Sb.,o
archivnictvíaspisovéslužběaozměněněkterýchzákonů,vezněnípozdějšíchpředpisů– sbírkazákonůčástka23zedne7.4.2014
• Navazujícívyhlášky– 259/2012opodrobnostechvýkonuspisovéslužby– 645/2004provádějíněkteráustanovenízákonaoarchivnictvíaspisové
služběaozměněněkterýchzákonů– zveřejněn4.7.2017novýstandardproeSSL
• VěstníkMVčástka57/2017
ZměnanárodníhostandardueSSL• ZměnanárodníhostandarduproeSSL přináší:
– velkézjednodušenístandardu,upřesňujefáze„vzniku“dokumentu-pojemrozpracovanýdokument(koncept)
– podrobněpopisujerozhranímezisystémyeSSL aostatnímiinformačnímisystémy• on-linepropojeníaoff-linepropojení
– vznikádatovýmodel„metadat“dokumentuspisovéslužby
• Pozor– řadaorganizacínemádlouhodoběITsystémyvsouladusnárodnímstandardemprospisovéslužby!
Stručnýčasovýrámec• 2016službyvytvářejícídůvěruvpraxi• 2017právnípředpisyanástrojepřipravenéMV
– NovelazákonaoeOP,zákonoeID– Do31.12.2017úpravavnitřníchsměrnicapravidelproÚeP
• 2018– 25.5.2018nařízeníGDPRvúčinnost– 1.7.2018prvnínovéeOPsčipem– 1.7.2018účinnostzákonaoeID– 29.9.2018účinnostnařízeníeIDAS,termínkÚeP zusneseníVládyČR
• oznámenésystémyeID• usnesenírealizovatmožnostÚeP
– 31.12.2018povinnýpříjemeFA vEvropskémformátuaISDOC5.2avyšší
eIDEU29.9.2018
akceptaceeIDoznámených
eIDCZ 1.7.2018zahájeníNIA
1.7.2020kdetotožnostel.pouzeNIA
ÚeP 31.12.2017interní
směrnice
28.9.2018realizovatmožnost
eFA31.12.2017interní
směrnice
31.12.2018umožnění
příjmuISDOC
2019/2020příjemEUeFA
GDPR 17letplatný101/2000Sb.
25.5.2018účinnostGDPR
BUDEVÍCEE-DOKUMENTŮSrozvojemelektronickýchslužebseměníživotnícyklusdokumentů
Problematikakřešení• Nárůst
– množstvíelektronickýchdokumentů(cojeel.dokument veIDAS)– množstvízpracováníosobníchúdajů
• Rizikaahrozby– zneužitíelektronickýchdokumentůneboosobníchúdajů– zneužitíelektronické„identity“
• Osvětaavzdělanost– musímevíceinformovat,vícemetodickypomáhat– dopadydooblastivzdělávání
Problematikakřešení• „inteligentníelektronickédokumenty“
– s ohledemnamnožstvímusímepředemanalyzovatdopady nadůvěryhodnost,autenticitu,velikost,možnostnáslednéhozpracování,bezpečnostaochranuosobníchúdajů
– e-dokumentyna„front-endu“a„back-endu“• jetřebamaximálnězefektivnitazabezpečit„back-end“provýměnu,sdílení,
zpracováníauchováváníelektronickýchdokumentůzejménaproe-governement,neboťřadaúdajůjezákonemvynucenýchanikolivdobrovolněposkytnutých
• maximálnívyužití„privacy bydesign“,přístupuzaloženéhonariziku,pseudoanonymizace aagregacepředzveřejněním,šifrováníapod.
NĚKTERÉDŮLEŽITÉPOJMY
Pochopeníterminologiejezákladkporozuměníproblémuanávrhusprávnýchřešení
NařízeníeIDASI. podmínkyprouznáváníeIDvrámcioznámenýchsystémůII. pravidlaproslužbyvytvářejícídůvěruzejménau
el.transakcíIII. právnírámecproel.podpisy,el.pečetě,el.časová razítka,
elektronickédokumenty,službyel.doporučenéhodoručováníacertifikačníslužbyproautentizaciinternetovýchstránek
eIDAS&e-dokument• Kelektronickémudokumentu
– „elektronickýmdokumentem“ jakýkoliobsahuchovávanývelektronicképodobě,zejménajakotextnebozvuková,vizuálníneboaudiovizuálnínahrávka;
– elektronickémudokumentunesmějíbýtupírányprávníúčinkyanesmíbýtodmítánjakodůkazvsoudnímasprávnímřízenípouzeztohodůvodu,žemáelektronickoupodobu
– Obecnýpojmemdokumentvzákoněč.499/2004Sb.• §2písmenoe)„dokumentem“každápísemná,obrazová,zvukovánebojinázaznamenaná
informace,aťjižvpodoběanalogovéčidigitální,kterábylavytvořenapůvodcemnebobylapůvodcidoručena;
• §2písmenoo)„metadaty“ datapopisujícísouvislosti,obsahastrukturudokumentůajejichsprávuvprůběhučasu
Elektronickédokumenty• Dokumentyjakonosičinformaceaosobníchúdajů
– pozornavlastnostipodlenárodnílegislativy:499/2004Sb.§3odst.5)„Vpřípadědokumentůvdigitálnípodoběsejejichuchovávánímrozumírovněžzajištěnívěrohodnostipůvodudokumentů,neporušitelnostijejichobsahuačitelnosti,tvorbaa správametadatnáležejícíchktěmtodokumentůmvsouladustímtozákonemapřipojeníúdajůprokazujícíchexistencidokumentuvčase.Tytovlastnostimusíbýtzachoványdodobyprovedenívýběruarchiválií.
– elektronickédokumentymohoubýtnosičemosobníchúdajů– dodobyskartačníhořízenínelzerealizovatprávonavýmaz
eIDASx GDPR• Preambule(11)
– TotonařízeníbymělobýtuplatňovánovplnémsouladusezásadamiochranyosobníchúdajůpodlesměrniceEvropskéhoparlamentuaRady95/46/ES.Vtomtosměrubyse,sohledemnazásaduvzájemnéhouznávánístanovenouvtomtonařízení,mělaautentizaceproúčelyon-lineslužebtýkatzpracovánípouzetěchidentifikačníchúdajů,kteréjsoupřiměřené,podstatnéarozsahemúměrnéproudělenípřístupukdanéon-lineslužbě.Dálebyposkytovateléslužebvytvářejícíchdůvěruaorgánydohledumělydodržovatpožadavkystanovenévesměrnici95/46/EStýkajícísedůvěrnépovahyabezpečnostizpracování.
– vizdáleičl.5odst.1
eIDASx GDPR• Preambule(31)
– orgánydohledubymělyspolupracovatsorgányproochranuúdajů,napříkladjeinformovatovýsledcíchauditůkvalifikovanýchposkytovatelůslužebvytvářejícíchdůvěru,jestližepodlevšehodošlokporušenípravideltýkajícíchseochranyosobníchúdajů.Totoposkytováníinformacíbysemělotýkatzejménabezpečnostníchincidentuanarušeníbezpečnostiosobníchúdajů.
– ktomudálepakvizčl.14odst.4písm.f)
eIDASx GDPR• Čl.19
– 2.Kvalifikovaníanekvalifikovaníposkytovateléslužebvytvářejícíchdůvěruvyrozumíorgándohleduapřípadnédalšípříslušnésubjekty,jakojsoupříslušnývnitrostátníorgánprobezpečnostinformacíneboorgánproochranuúdajů,okaždémnarušeníbezpečnostineboztrátěintegrity,jezmajívýznamnýdopadnaposkytovanouslužbuvytvářejícídůvěrunebonauchovávanéosobníúdaje,atobezzbytečnéhoodkladuavkaždémpřípadědo24hodinodokamžiku,kdytotonarušenízjistili
– ktomutéžčl.20odst.2
AKTUÁLNÍUDÁLOSTISrpen2017– Leden2018
Aktuálnístav• Srpen/Září2017
– Ministerstvovnitravydalo:• Metodickédoporučeníkpověřenciproobce• Pověřenciochranyosobníchúdajůveslužebníchúřadech–metodickédoporučení
• Novýnávrhzákonanahrazujícízákonč.101/2000Sb.zpracovánípřipomínekzvnějšíhopřipomínkovéhořízení=vtermínuk25.5.2018patrněnebudenovýzákon
• MetodikaGDPRx eSSL• SekceGDPRnawebuMV
DOPADYGDPRGDPRneníREVOLUCEaleEVOLUCE!
Výchozístav• Zákonč.101/2000Sb.oochraněosobníchúdajů
– Správcepovinen§5• stanovitúčel,kněmužmajíbýtosobníúdajezpracovány• stanovitprostředkyazpůsobzpracováníosobníchúdajů• shromažďovatosobníúdajeodpovídajícípouzestanovenémuúčeluavrozsahu
nezbytnémpronaplněnístanovenéhoúčelu• uchovávatosobníúdajepouzepodobu,kterájenezbytnákúčeluzpracování• zpracovávatpouzevsouladusezákonem,udržovatjepřesné• zpracovávatosobníúdajepouzevsouladusúčelem….
• Kdozcelasplňujepožadavkyzákonabudemítsnadnouadaptaci,řadaorganizacíalenesplňujepožadavky!
Pojemosobníúdaj• Zákonč.101/2000Sb.
– osobnímúdajemjakákolivinformacetýkajícíseurčenéhonebourčitelnéhosubjektuúdajů.Subjektúdajůsepovažujezaurčenýnebourčitelný,jestliželzesubjektúdajůpřímočinepřímoidentifikovatzejménanazákladěčísla,kódunebojednohočivíceprvku,specifickýchprojehofyzickou,fyziologickou,psychickou,ekonomickou,kulturnínebosociálníidentitu
• NařízeníGDPR–článek4odst.1)– „osobnímiúdaji“veškeréinformaceoidentifikovanéneboidentifikovatelnéfyzické
osobě(dálejen„subjektúdajů“);identifikovatelnoufyzickouosoboujefyzickáosoba,kteroulzepřímočinepřímoidentifikovat,zejménaodkazemnaurčitýidentifikátor,napříkladjméno,identifikačníčíslo,lokačníúdaje,síťovýidentifikátornebonajedenčivícezvláštníchprvkufyzickéfyziologické,genetické,psychické,ekonomické,kulturnínebospolečenskéidentitytétofyzickéosoby;
DefinicepojmůnařízeníGDPR• Zpracování
– jakýkoliúkonnebosouborúkonůsosobnímiúdaji,kteréjsouprováděnypomocíčibezpomociautomatizovanýchpostupů,jakojeshromažďování,zaznamenávání,uspořádávání,strukturování, uchovávání,přizpůsobovánínebopozměňování,vyhledávání,konzultace,použití,sděleníprostřednictvímpřenosu,šířenínebojakékolijinézpřístupnění,srovnáníčikombinování,jakožiblokování,výmaznebolikvidace
• Pseudonymizací– zpracováníosobníchúdajůtak,žejižnemohoubýtpřiřazenykonkrétnímusubjektu
údajůbezpoužitídodatečnýchinformací,pokudjsoutytododatečnéinformaceuchováványodděleněavztahujísenanětechnickáaorganizačníopatření,abybylozajištěno,ženebudoupřiřazenyidentifikovanéčiidentifikovatelnéfyzickéosobě;
Novépřístupy- GDPR• NařízeníGDPR
– přístupzaloženýnariziku• žesprávcejižodpočátkukoncipovánízpracováníosobníchúdajůmusíbrátv potaz
povahu,rozsah,kontexta účelzpracovánía přihlédnoutk pravděpodobnýmrizikůmproprávaa svobodyfyzickýchosoba tomumusípřizpůsobiti zabezpečeníosobníchúdajů
• Novépovinnosti– ohlašování(oznamování)případůporušenízabezpečeníOÚ,posuzovánívlivunazpracováníOÚ,konzultacesÚOOÚ
– principodpovědnostisprávce• odpovědnostsprávcezadodrženízásadzpracování,kteréjsouuvedenyv článku5
odst.1adoloženísouladu(kodexy,certifikace,záznamyočinnostechzpracování..)
GDPRaveřejnáspráva• Novépovinnosti
– záznamy,prokazovánísouladu,pověřenec,řešeníincidentů,DPIA
• Žádostisubjektů– nárůstžádostíovýkonpráv
• Pozornezapomenoutnazaměstnance– zpracováníúdajůzaměstnanců
• Dopadynasmlouvy(iexistující)
Záměrnáastandardníochrana• Spřihlédnutímkestavutechniky,nákladůmnaprovedení,
povaze,rozsahu,kontextuaúčelůmzpracováníikpravdě-podobnýmrizikůmproprávaasvobodyfyzickýchosob,ježssebouzpracovánínese,zavedesprávcejakvdoběurčeníprostředkůprozpracování,takvdobězpracovánísamotnéhovhodnátechnickáaorganizačníopatření,jejichžúčelemje:– provádětzásadyochranyúdajůúčinnýmzpůsobema– začlenitdozpracovánínezbytnézáruky,takabysplnilpožadavky
tohotonařízeníaochránilprávasubjektůúdajů.
Záměrnáastandardníochrana• vhodnátechnickáaorganizačníopatření:
– minimalizacezpracováníosobníchúdajů,– conejrychlejšípseudonymizace osobníchúdajů,– transparentnostsohledemnafunkceazpracováníosobníchúdajů,– umožněnísubjektůmúdajůmonitorovatzpracováníosobníchúdajůa– umožněnísprávcůmvytvářetazlepšovatbezpečnostníprvky
(zhotoviteléproduktů,služebaaplikací)
Záměrnáastandardníochrana• povinnostposuzovatvlivjednotlivýchzpracováníavyžádatsi
předběžnoukonzultaciudozorovéhoúřadu• povinnostposouzeníprosystematickéarozsáhlé
vyhodnocováníosobníchaspektů,naněmžsezakládajírozhodnutísprávnímiúčinky,prorozsáhlésystematickémonitorováníveřejněpřístupnýchprostorůarozsáhlézpracovánícitlivýchúdajů
Přístupzaloženýnariziku• Základpro nastavovánípovinnostísprávcejerizikovost
– dovozovánaz rozsahuzpracování,zpracovávanýchosobníchúdajů(citlivéúdaje)apoužívanýchtechnologií
• Spřihlédnutímkestavutechniky,nákladům,povaze,rozsahu,kontextuaúčelůmzpracováníikrůzněpravděpodobnýmarůznězávažnýmrizikůmproprávaasvobody,ježsebouzpracovánínese– zavedesprávcejakvdoběurčeníprostředkůprozpracování,takvdobě
zpracovánívhodnátechnickáaorganizačníopatřeníazačlenídozpracovánínezbytnézáruky.
Posouzenívlivu• Posouzeníjenutnézejménavtěchtopřípadech:– systematickéarozsáhlévyhodnocováníosobníchaspektůfyzickýchosob,kteréjezaloženonaautomatizovanémzpracování,včetněprofilování,ananěmžsezakládajírozhodnutísprávnímiúčinkynebomajínafyzickéosobypodobnězávažnýdopad– rozsáhlézpracovánízvláštníchkategoriíúdajů(citlivé)neboúdajůtýkajícíchserozsudkůvtrestníchvěcechatrestnýchčinů
– rozsáhlésystematickémonitorováníveřejněpřístupnýchprostorů
Předáváníúdajů- cizina• Hodnocenítřetízemě(Komise)
– zásadyprávníhostátu,standardylidskýchpráv,nezávislýdozor,mezinárodnízávazky.
• Předávánízaloženánavhodnýchzárukách• Výjimky
– subjektúdajůbylinformovánomožnýchrizicích,kterápronějvdůsledkuabsencerozhodnutíoodpovídajícíochraněavhodnýchzárukvyplývají,aknavrhovanémupředánívydalsvůjvýslovnýsouhlas
• Předání,kteránejsouopakovaná,omezenýpočetsubjektůúdajů
– lzeuskutečnitproúčelyzávažnýchoprávněnýchzájmůsprávce,pokudnadtěmitozájmynepřevažujízájmy/právaasvobodysubjektuúdajů
Pseudonymizace• Osobníúdajejižnemohoubýtpřiřazenykonkrétnímusubjektu
údajůbezpoužitídodatečnýchinformací,uchovávanýchodděleněatechnickáaorganizačníopatřenízajišťují,ženebudoupřiřazenyidentifikované/identifikovatelnéfyzickéosobě
• Vhodnázáruka:– snižujerizikaproprávasubjektuúdajů– změkčujeněkterépovinnostisprávců(azpracovatelů):právasubjektu
údajůpodmíněnaschopnostísprávcesubjektúdajůidentifikovat
NovéfunkcevITsystémech• NařízeníGDPRupravujepodrobněji:
– právonaopravudlečlánku16,kdysubjektúdajůmáprávonato,abysprávcebezzbytečnéhoodkladuopravilnepřesnéosobníúdaje
– právonavýmazdlečlánku17,kdysubjektúdajůmáprávonato,abysprávcebezzbytečnéhoodkladuvymazalosobníúdaje,kterésedanéhosubjektuúdajůtýkají
– právonapřenositelnostdlečlánku20,kdysubjektyúdajůjsouoprávněnyzískatosobníúdaje,kteréposkytlysprávcivestrukturovaném,běžněpoužívanémastrojověčitelnémformátuapředatjejinémusprávci
– Povinnostsprávcenapomáhatuplatňovánípráv(on-line,hot-line…)
DopadynaIT• ArchitekturaITřešeníbymělakroměarchitektonickýchpostupůa
shodousNAPobsahovatsohledemnaGDPRzejménapak:
– principy„Privacy bydesign“tj.ochranusoukromíjižodnávrhu• zaměřenénasubjekt,objekt,transakci,systém• proaktivní(prevencenikolivnáprava),minimalismusdat,ochranajižvnávrhu,plnáfunkčnost,bezpečnostodzačátkudokonce,stáláotevřenost(transparentnostaviditelnost),soukromíuživatele
– kontinuálníproces– nejednáseojednorázovýsoulad,aleotrvalýděj
FázeimplementaceGDPR
Udržitelnostsystému
Zajištěníorganizačně-technickýchopatřenívčase
Implementace
Úpravysměrnic,smluv,systémůaorganizačníchopatření
Analýza
Analýzasoučasnéhostavux rozdílyod25.5.2018
DalšídopadyGDPRnaIT• Nutnozajistitvedeníněkterýchnových„agend“
– vrámcieSSL evidovat„požadavky“odsubjektuúdajů– přiobnovědatzezálohkontrolovatoprotievidenciuplatněnýchpráv
navýmaz– některéčinnostilzečástečněnebozcelaautomatizovat
• svyužitímelektronickéidentifikacelzepřipraviton-lineslužbyprořešeníněkterýchsituací
• typickyprávonapřenositelnostlzezcelaautomatizovat
– pozornazáznamyozpracování
DopadynejennaIT• Revidovánísmluvsezpracovateli/externímidodavateli
– jezcelanutnéinventarizovatveškerésmlouvy(jaknainformačnísystémy,takinajinéexterníslužbysouvisejícísčinnostmi,kdesepracujesosobnímiúdaji)
– provéstanalýzusmluvanavrhnoutzměnyvsouvislostisGDPR– možnápomocÚOOÚx pověřenec
• Revidovánísmluvsezaměstnanci– pozornaněkteréagendyvpersonalistice
Dopadynasmlouvy• Problematikarevizesmluvx GDPR
– smlouvymusíjasněnastavitpovinnostiaodpovědnostzapřípadnouškodujednotlivýchsmluvníchstransohledemnazpracováníosobníchúdajů
– proexternízpracovánídoporučenísmluvněupravit,žeexternízpracovatelzpracováváOÚvsouladusnařízenímaobecněplatnýmiprávnímipředpisy
– pozorna“zřetězení“smluv(systémovýintegrátorx skutečnýrealizátorx fyzickéumístěníatd..)
Novépožadavkynasmlouvy• DopadnadodavateleITsystémůspřístupemkúdajům• Due diligencepředuzavřením
– Dostatečnézárukyzavedenívhodnýchtechnickýcha organizačníchopatření
• Zpracovánípouzedlepokynůsprávce– VýjimkydleprávaEUačlenskýchstátů– Informováníopožadavcíchzákona
• Bezpečnostníopatření• Součinnostpřizabezpečení,hlášeníincidentů,atd.• Infomačnípovinnost• Audity,včetněprohlídeknamístě
Dopadyvsouvislostech
eSSL …
eID
Webovéslužby
DopadyGDPRx zákonč.250/2017• Zákonč.250/2017oelektronickéidentifikaci
– nenínutnéprováděthodnocenídopadů,návrhzákonaobsahovalhodnocenídopadůnaochranuosobníchúdajů
– správceNIAjeSZR,kvalifikovanýchsystémůjsoukvalifikovanísprávci– rozsáhlézpracováníosobníchúdajů,zpracovávajíauchovávájí seOÚ
• např.§21,§22…
– právonapřenositelnostosobníchúdajů• §21odst.3)„vnárodnímbodusedálemohouvéstúdaje,kteréposkytnedržitel.“
Druhydokumentůadopady
Dokumenty
Strukturované
Automatizovanězpracovávané
Pouzeevidované
Nestrukturovatelné Fulltextovévyhledávání
GDPRaeSSL• §64příjem,označování,evidencearozdělovánídokumentů
– odst.4)„jmennýrejstřík“určenýprovyhledávání,ověřováníaautomatickézpracováníúdajůoadresáchodesílatelůaadresátechdokumentůevidovanýchvevidenci
– jmennýrejstříkmůžepomocivněkterýchpřípadech
• eSSL spodporoufulltextovéhovyhledávání• eSSL jehlavníevidenčnísystém&„řídí“skartačnířízení
– správněstanovenéskartačnílhůtyjsouzákladempronapř.uplatněníprávanavýmaz
GDPRafakturace• DopadyGDPRnafaktury
– fakturymohouobsahovataobvykleobsahujířaduosobníchúdajů• např.vystavil,dálepakadresníčást,kdopřevzalfakturuapodobně
– většinoubudezpracováníspojenosplněnímnějaképovinnosti• např.zákonoúčetnictví,daňovézákonyapodobně• nutnosprávněnastavitskartačnílhůtyadálepakprocesskartačníhořízení
– pokudbudenevhodněnastavenojenutnépočítatsmožnostíuplatněníprávanavýmaz
– vsouvislostisezpracovánímmohoubýtvrámciživotníhocyklufakturypřipojenyosobníúdajezaměstnancůzpracovatele
– uelektronickýchfakturdocházívětšinoukautomatizovanémuzpracování
PrávnídůvodyzpracováníDů
vodyzp
racování
Nazákladěsouhlasu
Plněnísmlouvy
Splněníprávnípovinnostinazákladězákonnépovinnostisoporouvprávu
Ochranaživotnědůležitýchzájmů
Veřejnýzájem,výkonveřejnémoci
DopadynaITaprocesy• RevidovatsouhlasysezpracovánímOU
– např.nelze„před-vyplňovat“nebopodmiňovatpřístupkonlineslužbám
• AnalyzovatchováníITsystémůpodletitulu– nazákladě„souhlasu“– nazákladě„smlouvy“
• pozornaexitstrategii,pokudgenerálnísouhlaspakalespoňnotifikaceanámitka
– nazákladě„právnípovinnostisprávce“• musívyplývatzprávaČRneboEU,pozornasprávněnastavenéskartačnílhůty
– veveřejnémzájmu
NováprávafyzickýchosobPráva
Právovznéstnámitku
Právonavýmaz(býtzapomenut)
Právonaopravu
Právonapřenositelnostúdajů
GDPRmávždydopadynaIT• DopadyGDPRnaITsystémy
– právonapřenositelnostúdajůdlečl.20• vněkterýchpřípadechbudenutnéupravitITsystémyabysenemuselo„dělat“ručně
– právonavýmazdlečl.17• dopadynastrategiizálohováníaobnovydat– kdebylouplatněnoprávonavýmaznelze
přiobnově„obnovit“tatodatadoproduktivníhoprostředí• nepřímédopadynaanalýzuvšechskartačníchlhůtuzpracováníuveřejnoprávních
původců
– právonapřístupkosobnímúdajůmdlečl.15• pozornapř.uSmart-Cities – zapomínásečastonadopadyochranyosobníchúdajů• pozorupředávánídotřetíchzemínebomezinárodnímorganizacím– právonainformace
ovhodnýchzárukách
Právonavýmaz& zálohy
1.• Agenda– evidenceprávnavýmaz
2.• Obnovadatdoneproduktivníhoprostředí,opětovné„smazánídatdleevidenceprávnavýmaz“
3.• Obnovadatpodlebodu2.doproduktivníhoprostředí
POVĚŘENEC
„Nevděkjeznameníslabosti.Nikdyjsemnevidělschopnélidi,kteříbybylinevděčni.“
JohannWolfgangvonGoethe
Kdojepověřenec?• DataProtection Officer - Pověřenecnaochranuosobních
údajů– smyslemtohotoinstitutujezvýšitodpovědnostsprávce,zajistitlepšíplnění
předpisůproochranuosobníchúdajůaroliprostředníkamezisprávcem,subjektemúdajůadozorovýmorgánem
– pověřenecmározvíjetkulturuochranyosobníchúdajůuvnitřorganizaceapomáhatzavádětjejíklíčovéprvky
– pověřenecnepřebíráodpovědnostzasprávce.Správcesámmusípodlečl.24(1)Obecnéhonařízenízajistitidoložit,že(jehozaměstnanci)plnípovinnostipodleObecnéhonařízení
Pověřenec• Pověřenecproochranuosobníchúdajů– článek37
– jmenovánípověřenceü správceazpracovatel
– postavenípověřenceü správceazpracovatelzajistí,abypověřenecnedostávalžádnépokynytýkajícísevýkonuúkolů
– úkolypověřence
• Proorgányveřejnémocipovinnost!
WP29– vodítkaPOOÚ• Vodítkakpověřencůmproochranuosobníchúdajů
– jmenovánípověřence– postavenípověřence– úkolypověřence– příloha– copotřebujetevědět?
• kdomusímítpověřence• zdrojepropověřence• konfliktzájmů
… adalšídoporučení
Úkolypověřence• Hlavníúkolypověřence:
– Poskytováníinformacíaporadenstvísprávcůmnebozpracovatelůmazaměstnancům,kteříprovádějízpracování,ojejichpovinnostechpodletohotonařízeníadalšíchpředpisůUnienebočlenskýchstátůvoblastiochranyúdajů;
– Monitorovánísouladustímtonařízením,dalšímipředpisyUnienebočlenskýchstátůvoblastiochranyúdajůaskoncepcemisprávcenebozpracovatelevoblastiochranyosobníchúdajů,včetněrozděleníodpovědnosti,zvyšovánípovědomíaodbornépřípravypracovníkůzapojenýchdooperacízpracováníasouvisejícíchauditu;
Úkolypověřence• Dalšíúkolypověřence:
– Poskytováníporadenstvínapožádání,pokudjdeoposouzenívlivunaochranuosobníchúdajů,amonitorováníjehouplatňovánípodlečlánku35;
– Spoluprácesdozorovýmúřadem
– Působeníjakokontaktnímístoprodozorovýúřadvzáležitostechtýkajícíchsezpracování,včetněpředchozíkonzultacepodlečlánku36,apřípadněvedeníkonzultacívjakékolijinévěci.
Pověřenec• Schopnostplnitúkoly:
– postavenívorganizaci– klíčováosobapřirozvojikulturyochranydat,pomáházavádětnařízení– musímítdostatečnousamostatnostazdrojeproefektivnívýkon
funkce– dostupnost(hot-line,osobnídostupnost)– POZORnastřetzájmů– nelzeformálněobejítnapř.navedoucího
pracovníkaITapodobně!
Střetzájmů& pověřenecStřetzájmů:
– určitpracovnímístaneslučitelnásvýkonemfunkcepověřence– sestavitvnitřnípravidlakzamezenístřetuzájmů– začlenitdopravidelobecnějšívysvětlenístřetuzájmů– analyzovatpřípadnýstřetpověřencedlesmlouvy– interníx externí
Pověřenec– konfliktzájmůWP29• Existujeněkolikzárukumožňujícíchpověřencikonat
nezávisle:
– žádnépokynyodsprávcenebozpracovateletýkajícísevýkonuúkolu pověřence
– nemožnostpropuštěnínebosankcionovánívsouvislostisplněnímúkolů
– zajištěnímsprávcemnebozpracovatelem,abyžádnépověřencovyúkolynebopovinnostinevedlykestřetuzájmu
Conesmípověřenec– WP29• PověřenecdledoporučeníWP29
– pověřenecnemůževorganizacizastávatmísto,nakterémbymuselstanovovatúčelyaprostředkyzpracováníosobníchúdajů
– vkonfliktnímpostaveníuvnitřorganizacemohoutypickybýtpozicevevyššímmanagementu(výkonnýředitel,provozníředitel,finančníředitel,zdravotníředitel,vedoucímarke�ngovéhooddělení,vedoucípersonálníhooddělenínebovedoucíodděleníIT),aleipozicenanižšímstupniorganizačnístruktury,pokudvtakovémpostavenídocházíkrozhodováníoúčelechaprostředcíchzpracování
VícesouvisejícíchorganizacíSohledemnacharakternařízeníavýšeuvedenýchdoporučenýchčinností:1. „zastřešujícíorganizace“bymělaresortnímorganizacímposkytnout
minimálněmetodickouakonzultačnípodporuvsouvislostisimplementacínařízeníGDPR;
2. optimálnístanovenípočtupověřencůnaochranuosobníchúdajů(lzemítprovíceorganizací„sdíleného“pověřence,pokudtobudemožnésohledemnacharakterjehofunkce;
3. vrámcicelkulzeustejnýchtypůorganizacízavéststejnépostupy(typickynapříkladproblematikaGDPRuměstaobcí).
Shrnutíkpověřenci• PověřencinenesouosobníodpovědnostzanedodržováníGDPR– vždy
správcenebozpracovatel• Správcenebozpracovatelmajíklíčovouúlohuprovytvářenípodmínek
pověřenci• Musíbýtsnadnodosažitelnýamusíbýtschopenkomunikovatvjazyce
užívanýchorgánůdozoruasubjektemúdajů• Podlečlánku37odst.5musímítprofesníkvalityamusíbýtschopenplnit
úkolydlenařízení• „Pokynykfunkcipověřence…“WP29– z13.12.2016a“Častokladené
otázky“
Shrnutíkpověřenci• MetodikaMVČRproobceobsahujeiobecnádoporučení
– pověřeneczaměstnanec– úředníkdlezákonač.312/2002Sb.,obsazenídle§4anásledujících
– pověřenecexterní- §1746odst.2zákonač.89/2012Sb.– pozornazastupovánívdoběnepřítomnosti– musísplňovatvšechny
předpokladyizástupce
Slovozávěrem„Kdosystematickydodržujeprávnípředpisyzejménavoblastiochranyosobníchúdajů,evidencedokumentůavedeníspisovéslužby,zákonaoslužbáchvytvářejícíchdůvěruproelektronickétransakceamásprávněnastavenésmlouvysITdodavatelinebudemítproblémisohledemnavýraznýnárůstelektronickýchdokumentůasouvisejícínárůstnovýchpovinností.“
„UostatníchmůžebýtGDPRpříslovečnáposledníkapka– protonenechejtenádobupřetéci- stáleještěječasnanápravu!“
DĚKUJIVÁMZAPOZORNOST!Ing.RobertPiffl,e-mail:[email protected]