Richard Otevřel, advokát
ZTRACENI V DATECH ? ZTRACENÁ DATA
Příležitost vs riziko
2
Právo na ochranu soukromí člověk vrozené právo právním řádem garantované nezadatelné právnická osoba právem uznané ekvivalent ochrany osobnosti? různá tajemství… lékařské zpovědní advokátní bankovní 3
Vzájemně si konkurující zájmy, i právní předpisy soukromí jednotlivce vs potřeba interakce s jinými interakce vynucená vs dobrovolná ochrana data společnosti prostřednictvím kontroly → dohledu → monitoringu → sledování → špehování snaha po zefektivnění prodeje prostřednictvím znalostí → zpětné vazby → neobtěžující → profiling → zneužití determinismus (É. Zola) vs svobodná vůle [Minority Report?] kam směřuje svět a právo? katalog lidských práv (včetně práva na soukromí) stíhání trestných činů (odposlechy telefonů), cenzura internetu v různých podobách proporcionalita, adekvátnost, potřebnost 4
Základy • Úmluva o ochraně lidských práv a základních svobod (4. 11. 1950) • Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Štrasburk 28. 1. 1981) + Dodatkový protokol (8. 11. 2001) • Listina základních práv a svobod • Směrnice 95/46/ES (ochrana a předávání) • Směrnice 97/66/ES (telekomunikace) → nahrazeno směrnicí 2002/58/ES (elektronické komunikace) • Směrnice 2000/31/ES (e-commerce) • Směrnice 2006/24/ES (data retention) → zrušeno Soudním dvorem EU od 8. 4. 2014, a tudíž ponecháno na jednotlivých státech • Charta základních práv EU (2007/C 303/01) • občanský zákoník • Zákon 101/2000 Sb., o ochraně osobních údajů • zvláštní předpisy: zákoník práce, zákon o elektronických komunikacích, zákon o některých službách informační společnosti, zákon o zdravotních službách, zákon o základních registrech, a mnoho dalších 5
Základní principy zpracování osobních údajů se souhlasem subjektu údajů nebo na základě zákona (výjimky): plnění nebo vyjednávání smlouvy ochrana práv (vyšší zájem, overriding interest) životně důležité zájmy subjektu údajů ochrana práv a právem chráněných zájmů kohokoliv
zvláštní zákon dodržení právní povinnosti správce oprávněně zveřejněné údaje archivnictví
účelnost přiměřenost korektnost (přesnost) časově omezené (účelem) bezpečnost právo subjektů údajů na přístup a nápravu dohled Úřadu pro ochranu osobních údajů soudní ochrana
veřejní funkcionáři
6
Test proporcionality zpracování dat na základě výjimky – ochrana oprávněných zájmů vhodnost
zdali opatření, omezující základní právo, umožňuje dosáhnout sledovaný cíl – slouží konkrétní údaje k deklarovanému účelu? potřebnost porovnání zvoleného prostředku k ochraně práv s jinými v úvahu připadajícími opatřeními, umožňujícími dosáhnout stejného cíle, avšak nedotýkajícími se základních práv a svobod, respektive zasahujícími do konfliktních práv v menší míře převládnutí (vyvážení) práv tj. posouzení, zda právo na ochranu soukromí převáží nad právem bránit se protiprávní činnosti
7
Důsledky zpracovávání povinnosti správce posouzení rizik plnění pokynů oprávněných osob zabránění přístupu neoprávněných osob zabránění neoprávněné manipulace s daty vystopovatelnost přijmout opatření dokumentace přijatých a provedených bezpečnostních opatření práva subjektů údajů přístup, vysvětlení, oprava, námitky, odvolání souhlasu zpracování = shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování, likvidace 8
Ochrana dat
nebo
9
Důsledky data breach „porušení zabezpečení osobních údajů“ velmi široký pojem mající řadu různých dopadů neoprávněné zveřejnění krádež identity, obchod s daty ztráta, zničení prevenční povinnost (zabránění vzniku škody - § 2900 a násl. ObčZ) zavedení notifikační povinnosti dle nového nařízení (léto 2018) kdy aplikovat? oznámení orgánům dozoru, správci, subjektům údajů odpovědnost za delikt (až 10.000.000 Kč) trestné činy neoprávněné nakládání s os. údaji – až tříletý trest odnětí svobody za nedbalost! přitěžující okolnosti – až osm let porušení tajemství dopravovaných zpráv – dva roky až deset let porušení tajemství listin a jiných dokumentů uchovávaných v soukromí – jeden roky až osm let 10
Data breach response: 7-bodový plán 1. Sestavit tým IT a bezpečnost, právníci, PR, zákaznický servis, vedení 2. Přehodnocení stávajících interních postupů v oblasti ochrany osobních údajů a bezpečnosti 3. Připravit se na spolupráci regulátoři/dozorové orgány, poskytovatelé specifických služeb (forenzní služby, právníci, obnova dat, pojištění odpovědnosti) schopnost poskytnout pomoc okamžitě? 4. Simulace 5. Školení 6. Příprava na vyšetřování, soudní řízení dokumentace, důkazy 7. Financování nejde o jednorázovou záležitost! primární náklady na zajištění spolupráce (viz bod 3) a fungování plánu způsobená škoda, pokuty – sekundární náklady 11
GDPR nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů), kterým se zrušuje směrnice 95/46/ES
první návrh ze dne 25. ledna 2012 [2012/0011 (COD)] GDPR = General Data Protection Regulation (ONoOÚ? ) nahradí směrnici Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů; nevztahu je však na trestní oblast přímá aplikovatelnost – nahradí tak i zákon č. 101/2000 Sb., o ochraně osobních údajů (léto 2018) 12
Zásadní změny podle GDPR 56x vyšší pokuta! 10 nebo 20 milionů EUR nebo 2 až 4 % celosvětového obratu cca 50 oblastí, kde mohou státy aplikovat odchylná pravidla one-stop-shop nové koncepty profilování pseudonymizace narušení ochrany (data breach) princip minimalizace (vhodnost, účelnost, přiměřenost) více povinností pro zpracovatele, společná a nerozdílná odpovědnost výslovné požadavky na kvalitu souhlasu a zákaz jeho spojování s jiným jednáním; souhlas udělený dítětem větší nároky při zpracování na základě oprávněného zájmu (80-90 %) 13
Zásadní změny podle GDPR nově možnost stanovit nový účel v průběhu zpracování (za přísných podmínek) vztah k původnímu účelu kontext zpracování povaha údajů dopady nového zpracování zabezpečení (šifrování, pseudonymizace) možné zpřísnění pro nakládání s výpisy z RT (zaměstnavatelé)
výslovně IP adresy, cookies, RFID detailní pravidla pro zpracování zpracovateli, sub-zpracovateli 14
Zásadní změny podle GDPR podrobnější práva subjektů údajů informační povinnost správců srozumitelnost poučení právo být zapomenut přenositelnost omezení automatizovaných rozhodnutí (výkladové problémy) přičitatelnost hodnocení vlivu na soukromí (podrobné náležitosti) → risk management certifikace? dokumentační povinnost notifikační povinnost → konzultační povinnost data protection officer (Big Data správci) [pověřenec pro ochranu osobních údajů] 15
Děkuji za pozornost! Mgr. Richard Otevřel
[email protected]
© 2015, 2016 Autorská práva vyhrazena
