data protection officer jeho role a postavení ve společnosti...výkladové vodítko – guidelines...

29.5.2017

1

Data Protection Officer jeho role a postavení ve společnosti

Zuzana Radičová Conforum

6. 6. 2017

2

Agenda

Kvalifikační předpoklady a role pověřence osobních údajů

Postavení pověřence pro ochranu osobních údajů

Klíčové úkoly a činnosti pověřence pro ochranu osobních

údajů

2

29.5.2017

2

Pověřenec pro ochranu osobních údajů

3

Pověřenec pro ochranu osobních údajů ((97), čl. 37 – 39 GDPR)

GDPR upravuje:

Jmenování DPO

Postavení DPO

Úkoly DPO


4

Související otázky:

Kdo je povinen DPO jmenovat?

Jak postupovat, pokud jmenovaný nebude?

Koho lze jmenovat?

Interní nebo externí funkce?

Jaké předpoklady musí kandidát na DPO splňovat?

Jaké je organizační a funkční zařazení DPO?

Jaké činnosti má DPO vykonávat?

29.5.2017

3


5

Výkladové vodítko – Guidelines WP 29 (WP 243 rev.01)

http://ec.europa.eu/newsroom/just/item-

detail.cfm?item_id=50083 revidované a přijaté 5. 4. 2017

(vč. FAQ)


6

Role DPO

osoba s odbornými znalostmi v oblasti právních

předpisů a postupů týkajících se ochrany osobních

údajů (97)

nezávislý subjekt, který pomáhá správci zajišťovat a

dokládat soulad s právními předpisy v oblasti ochrany

osobních údajů

kontaktní bod

monitoruje, zda je zajištěn vnitřní soulad s GDPR (97)

„uhelný kámen zásady odpovědnosti a jeho jmenování

může usnadnit dosažení právního souladu a být i

konkurenční výhodou“ (WP29)

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083












29.5.2017

4


7

Povinnost jmenovat DPO

orgány veřejné moci/veřejný subjekt (s výjimkou

soudu v rámci jejich soudní pravomoci)

hlavní činnosti správce spočívají v rozsáhlém

pravidelném a systematickém monitorování subjektů

údajů

rozsáhlé zpracování zvláštních kategorií

údajů/rozsudků v trestních věcech

vyžaduje-li právo EU nebo ČS


8

Povinnost jmenovat DPO

není-li jednoznačné → doložit provedení interní analýzy,

zda je nebo není nutné pověřence ustavit, prokázat

ustanoví-li dobrovolně → podléhá všem povinnostem

podle GDPR

29.5.2017

5


9

Hlavní činnosti (core activities)

souvisí se základními činnostmi správce a nevztahují se

na zpracování osobních údajů jakožto pomocnou

činnost (WP29)

klíčové operace nezbytné k dosažení cílů správce nebo

zpracovatele

nemocnice/soukromá bezpečnostní agentura x

vyplácení mezd/ IT podpora


10

Rozsáhlé zpracování (large scale)

„rozsáhlé operace, jež mají sloužit ke zpracování

značného množství osobních údajů na regionální,

celostátní nebo nadnárodní úrovni, jež by mohly mít

dopad na velký počet subjektů údajů a u nichž je

pravděpodobné, že budou představovat vysoké riziko“

(91)

„zpracování pacientů nebo klientů jednotlivými lékaři,

zdravotníky nebo právníky by za zpracování velkého

rozsah nemělo být považováno…“ (91)

29.5.2017

6


11

Rozsáhlé zpracování (large scale) - Příklady

zpracování cestovních dat jednotlivců používaných MHD

(např. sledování prostřednictvím čipové průkazky)

zpracování údajů o aktuální zeměpisné poloze zákazníků

mezinárodních řetězců rychlého občerstvení pro statistické

účely zpracovatelem zaměřeným na tuto činnost

zpracování zákaznických dat v rámci běžné obchodní

činnosti pojišťovny nebo banky

zpracování osobních údajů vyhledávačem pro potřeby

behaviorální reklamy

zpracování dat (o obsahu, provozních, lokalizačních)

poskytovatelem telefonních služeb


12

Pravidelné a systematické monitorování

monitorování chování subjektů údajů (24)

→ všechny formy sledování a profilování na

internetu, pro účely behaviorální reklamy

sledování však není omezeno pouze na prostředí

online

29.5.2017

7


13

pravidelný

průběžný nebo v pravidelných intervalech a po

určitou dobu se opakující

stále se opakující nebo opakovaný ve stanoveném

čase

neustále nebo pravidelně se vyskytující

systematický

vyskytující se podle určitého systému

přednastavený, organizovaný nebo metodický

uskutečňující se jako součást obecného plánu pro

sběr dat

vykonávaný jako součást strategie


14

Pravidelné a systematické monitorování -

Příklady

cílení internetové reklamy pomocí emailu

profilování a bodování (skórování) pro účely

posuzování rizik

sledování polohy např. u mobilních aplikací,

kamerové systémy

…

29.5.2017

8


15

Pověřenec zpracovatele?

platí i pro zpracovatele

„zpracovatel nemusí nutně pověřence jmenovat,

může to však být dobrou praxí“ (WP29)

DPO v rámci zpracovatele by měl rovněž dohlížet

nad činnostmi, které zpracovatelská organizace

vykonává pro sebe jako pro správce (např.

personalistika, IT, logistika)


16

Podmínky jmenování DPO:

snadno dosažitelný z každého podniku (kontakt

pro zaměstnance správce i subjekty údajů)

odborné znalosti a schopnosti pověřence (úroveň

odborných znalostí, profesní kvality, schopnost

plnit úkoly)

nesmí být ve střetu zájmů

29.5.2017

9


17

Postavení DPO:

zapojení do veškerých záležitostí ochrany dat

nezbytné zdroje

aktivní podpora od vyššího vedení

peněžní zdroje, infrastruktura, personál

oficiální oznámení

přístup do jiných útvarů

průběžné školení

sestavení týmu

přímo podřízen vrcholovým řídícím pracovníkům

jednání nezávislým způsobem

nesmí být ve střetu zájmů

nesmí být propuštěn ani sankcionován


18

DPO na smlouvu o poskytování služeb

externí organizace

nutné, aby nebyl ve střetu zájmů

„jasně rozdělit úkoly v pověřencově týmu a určit

jednoho pracovníka jako hlavní kontakt a osobu

pověřenou „péči o zákazníka“ WP 29

29.5.2017

10


19

Odpovědnost DPO:

„nenese osobní odpovědnost za nedodržování

GDPR/

„Za dodržení souladu s právními předpisy pro

ochranu osobních údajů zůstává odpovědný

správce nebo zpracovatel a musí být schopen

soulad doložit“

„autonomie pověřenců neznamená, že mají

rozhodovací pravomoc“

(WP29)


20

Úkoly pověřence

monitoring souladu (audity, kontrolní činnosti)

shromažďování informací za účelem zjišťování

zpracovatelských činností

analyzovat a prověřovat právní soulad

zpracovatelských činností

informovat, radit a vydávat doporučení

poradenství na požádání v případě DPIA

….

29.5.2017

11


21

Úkoly pověřence

spolupráce s dozorovým úřadem

kontaktní místo pro dozorový úřad i subjekty údajů

zvyšování povědomí (proškolování)

Další…

správa záznamů o činnostech zpracování podle čl.

30

role v rámci ohlašování/oznamovaní data

breaches


22

Úkoly pověřence

může plnit i jiné úkoly a povinnosti (!střet zájmů!)

bere patřičný ohled na riziko spojené s operacemi

zpracování a současně přihlíží k povaze, rozsahu,

kontextu a účelům zpracování

29.5.2017

12


23

Shrnutí

Děkuji za pozornost!

data protection officer jeho role a postavení ve společnosti...výkladové vodítko – guidelines...

Documents