Prezentace na konferenci CIIA
Ochrana osobních údajů Ivo Janda 24. 3. 2010
Obsah
Úvod Základní pojmy Forenzní audit a ochrana osobních údajů – některé aspekty Předání osobních údajů do jiných států
White & Case Ochrana osobních údajů
March 24, 2010
2
Poznámky na úvod Prameny práva na ochranu soukromí Článek 8 Evropské úmluvy o ochraně lidských práv a základních
svobod – právo na respektování soukromého a rodinného života, obydlí a korespondence Směrnice 95/46/EC zavedla standard ochrany osobních údajů v rámci Evropské unie Národní legislativa na ochranu osobních údajů může zavést přísnější pravidla Pracovní právo Telekomunikace a další normy na ochranu soukromí
White & Case Ochrana osobních údajů
March 24, 2010
3
Základní pojmy - definice
Směrnice EU se vztahuje na „zpracování“ „osobních údajů“ “Osobní údaje“ – široká definice s rozšiřujícím výkladem Jakákoliv informace o určené nebo určitelné osobě kterou lze přímo či nepřímo identifikovat, zejména na základě čísla, kódu nebo na základě jednoho či více prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu Příklad: příjmení a křestní jméno poštovní adresa, e-mailová adresa číslo bankovního účtu, číslo kreditní karty telefonní číslo, číslo občanského nebo řidičského průkazu fotografie White & Case Ochrana osobních údajů
March 24, 2010
4
Základní pojmy - definice “Zpracování“ jakákoli operace nebo soubor operací s osobními údaji, které jsou prováděny
automatizovaně nebo jinými prostředky které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky Příklad: shromažďování, ukládání na nosiče informací uchovávání úprava nebo pozměňování používání předávání, šíření, zpřístupňování nebo zveřejňování blokování, výměna nebo likvidace “Správce osobních údajů“ fyzická nebo právnická osoba, která určuje účel a prostředky zpracování osobních údajů “Zpracovatel osobních údajů“ osoba, která zpracovává osobní údaje pro správce osobních údajů
White & Case Ochrana osobních údajů
March 24, 2010
5
Obecné podmínky pro zpracování osobních údajů Předchozí oznámení o zpracování Úřadu pro ochranu osobních údajů („Úřad“) Písemná smlouva mezi správcem a zpracovatelem osobních údajů (např.,
externí auditor) Osobní údaje musí být, inter alia: zpracovány zákonným způsobem zpracovány pro stanovené účely přiměřené, nezbytné pro naplnění stanoveného účelu přesné uchovávány pouze po nezbytně nutnou dobu zpracovány v souladu s právy subjektů údajů zpracovávány bezpečně Zpracování je povoleno, inter alia, pokud: subjekt údajů nezpochybnitelně udělil souhlas; nebo je zpracování nezbytné pro splnění právní povinnosti; nebo je nezbytné pro ochranu práv a právem chráněných zájmů správce White & Case Ochrana osobních údajů
March 24, 2010
6
Právní úprava týkající se prohlídek počítačů / korespondence Zpracování je nezbytné pro splnění právní povinnosti správcem Za „právní povinnost“ se považuje právní závazek uložený právem
EU nebo právem členského státu EU Příklad: Pracovní právo Právo v oblasti daní a sociálního zabezpečení Povinnost uložená právem třetí země se nemusí vždy kvalifikovat jako „právní povinnost“ Příklad: US Sarbanes-Oxley Act
White & Case Ochrana osobních údajů
March 24, 2010
7
Právní úprava týkající se prohlídek počítačů / korespondence Zpracování je nezbytné pro ochranu práv a právem chráněných zájmů správce (nebo třetí
osoby, které jsou údaje sdělovány) Úzký výklad pojmu „nezbytný“ Prevence podvodu, boj proti korupci, bankovní a finanční trestná činnost nebo insider trading mohou představovat oprávněné zájmy správce NICMÉNĚ Vyvažovací test – zájmy společností (firem) proti základním právům subjektů údajů Je potřeba vzít v potaz: přiměřenost závažnost tvrzeného deliktu právo na informace zaručené příslušným osobám časový limit pro uchovávání osobních údajů
White & Case Ochrana osobních údajů
March 24, 2010
8
Monitoring e-mailové pošty/ prohlížení internetu Zachycování (poštovní nebo elektronické) komunikace je obecně zakázáno není zahrnut přístup k již otevřeným e-mailům trestný čin výjimka – oprávnění na základě soudního příkazu – policie, soudy
E-mailové a internetové sledování pouze pokud oprávněný účel (prevence) přiměřené statistické údaje, ne individualizace
Individualizovaný monitoring pouze pokud statistických (anonymizované) údaje naznačují porušování právních
povinností zaměstnanec byl předem informován o možnosti takového monitoringu obsah e-mailu je pracovní (zákaz čtení soukromých e-mailů) White & Case Ochrana osobních údajů
March 24, 2010
9
Předání osobních údajů do třetích zemí Volný pohyb osobních údajů v rámci EU Předání osobních údajů do třetích zemí je povoleno při zajištění
odpovídající úrovně ochrany osobních údajů v těchto zemích Adekvátní ochrana: Kanada, Švýcarsko, Argentina Neadekvátní ochrana: USA
White & Case Ochrana osobních údajů
March 24, 2010
10
Předání osobních údajů do třetích zemí Možná řešení US Safe Harbor Privacy Principles Americká společnost musí splňovat určité požadavky stanovené
Ministerstvem obchodu USA Musí být zařazena na tzv. „safe-harbor“ seznam Smlouva o předání osobních údajů je založena na standardních smluvních doložkách obsažených v rozhodnutích Evropské komise Souhlas subjektu údajů (v některých členských státech vyžadován i souhlas příslušného úřadu pro ochranu osobních údajů) Předání je nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy; pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, apod. (v některých členských státech vyžadován souhlas Úřadu pro ochranu osobních údajů)
White & Case Ochrana osobních údajů
March 24, 2010
11
Poznámky na závěr Je nutné: před zahájením zpracování osobních údajů podat příslušné
oznámení Úřadu pro ochranu osobních údajů uzavřít smlouvu na zpracování údajů se správcem osobních údajů (váš klient) zjistit, zda existují dostatečné právní podmínky pro zpracování údajů (souhlas, oprávněný zájem správce osobních údajů, atd.) zpracovávat osobní údaje pouze pro stanovený účel a způsobem chránícím práva subjektů údajů zajistit, aby předání osobních údajů proběhlo v souladu se zákonem
White & Case Ochrana osobních údajů
March 24, 2010
12
Děkuji Vám za pozornost.
www.whitecase.com White & Case In this document, White & Case means the international legal practice comprising White & Case LLP; a New York State registered limited liability partnership, White & Case LLP, a limited liability partnership incorporated under English law and all other affiliated Ochrana osobních údajůpartnerships, corporations and undertakings.
March 24, 2010
13
