Týká se GDPR též samostatné působnosti obcí nebo jen výkonu státní správy v přenesené působnosti
Pravidla ochrany osobních údajů se dotýkají kteréhokoli subjektu, který zpracovává osobní údaje způsoby, na něž se vztahuje obecné nařízení o ochraně osobních údajů. Obecné nařízení nerozlišuje podle toho, zda je zpracování prováděno v samostatné nebo přenesené působnosti, ale zda jsou zpracovávány osobní údaje ve smyslu definic obecného nařízení. V případě územních samosprávných celků je tudíž nutné dodržovat GDPR jak při výkonu samostatné tak přenesené působnosti.
Zdroj: MV ČR
Co znamená pojem „hlavní činnosti“ v čl. 37 odst. 1 písm. b) a c) GDPR?
„Hlavní činnosti“ mohou být považovány za klíčové operace pro dosažení cílů správce nebo zpracovatele. Zahrnují rovněž veškeré činnosti, kde zpracování údajů tvoří neoddělitelnou část činnosti správce nebo zpracovatele. Například zpracování údajů o zdravotním stavu, jako například zdravotních záznamů pacientů, by mělo být považováno za jednu z hlavních činností jakékoli nemocnice, a nemocnice proto musejí jmenovat pověřence pro ochranu osobních údajů.
Na druhou stranu veškeré organizace vykonávají určité podpůrné činnosti, například vyplácení svých zaměstnanců nebo standardní činnosti v oblasti podpory informačních technologií. Toto jsou nezbytné podpůrné funkce pro hlavní činnost organizace nebo hlavní podnikatelskou činnost. Přestože jsou tyto činnosti nezbytné nebo zásadní, obvykle jsou považovány za pomocné funkce spíše než za hlavní činnost.
Zdroj: Vodítko WP243, překlad: ÚOOÚ
Může být ředitel IT oddělení pověřencem pro ochranu osobních údajů?
Ne. Obecně platí, že pozice v rámci organizace, které by mohly vést ke střetu zájmů, mohou zahrnovat pozice vedoucího pracovníka, ale také další úlohy nacházející se v organizační struktuře níže, vedou-li tyto pozice a úlohy k určování účelů a prostředků zpracování.
Vodítka WP243 výslovně zmiňují ředitele IT jako příklad osoby ve střetu zájmu. Stejně rozhodl v roce 2016 v Německu bavorský dozorový úřad ohledně pozice „IT manažera“
Co je to „veřejně přístupný prostor“ definovaný v čl. 35 odst. odst. 3 písm. c) GDPR? Je to pouze místo, kde může v určitém okamžiku vstoupit neomezený počet osob, nebo jsou to i učebny ve školách a zkušebny v budovách orgánů veřejné správy?
Co se týče výkladu pojmu „veřejně přístupný prostor“ ve vztahu k článku 35 odst. 3 písm. c) Obecného nařízení, lze odkázat na vodítka pracovní skupiny WP29 k posouzení vlivu na ochranu osobních údajů, ve kterých je na straně 9 v poznámce pod čarou čl. 15 k tomuto pojmu uvedeno:
The WP29 interprets “publicly accessible area” as being any place open to any member of the public, for example a piazza, a shopping centre, a street, a market place, a train station or a public library.
Lze se tak přiklonit k názoru, že to budou jiné prostory než učebny či školy, ty zpravidla nebudou splňovat definici pojmu veřejně přístupný prostor. Veřejně přístupným prostorem je typicky např. nákupní obchodní centrum, ulice, vlaková stanice nebo veřejná knihovna.
Zdroj: GDPR Sekce ÚOOÚ
Jaké nástroje lze pro DPIA využít a jsou nějaké k dispozici on-line?
CNIL PIA https://www.cnil.fr/en/node/23952
STREAM https://www.acuityrm.com/
Eramba http://www.eramba.org/resources/download/
SimpleRisk https://www.simplerisk.com/download https://github.com/simplerisk
GRC Envelop https://www.grcenvelop.com/features/ https://sourceforge.net/projects/envelop/
CRAMS https://sourceforge.net/projects/xpirm/
Riski https://riski.io/ https://github.com/riski-io/grc
GRC-Ontologies https://github.com/daviddoret/GRC-Ontologies
GGRC Core https://github.com/google/ggrc-core
RiskIQ https://www.riskiq.com/ https://community.riskiq.com/
OWASP Risk Rating Management https://www.owasp.org/index.php/OWASP_Risk_Rating_Management https://github.com/mohammadfebrir/owasp-riskrating
OpenSourceRisk http://www.opensourcerisk.org/ https://github.com/OpenSourceRisk
MONARC http://monarc.lu https://github.com/monarc-project
CASES Diagnostic https://github.com/CASES-LU/diagnostic
Security Risk Assessment SRA Tool https://www.healthit.gov/providers-professionals/security-risk-assessment
Kde lze najít informace o úpravě ochrany osobních údajů v jednotlivých státech EU?
Stránky Evropské komise – DG JUSTICE, kde jsou shromážděny veškeré legislativní předpisy a případová rozhodnutí dotýkající se oblasti ochrany osobních údajů, se nachází zde.
Veškeré informace, vodítka a prováděcí předpisy, včetně kontaktních údajů naleznete také na stránkách jednotlivých národních úřadů pro ochranu osobních údajů:
Národní úřady pro ochranu osobních údajů působící v rámci EU
BELGIE Commission de la proteccion de la vie privée Internet: http://www.privacycommission.be
BULHARSKO Commission for Personal Data Protection Internet: http://www.cpdp.bg
ČESKÁ REPUBLIKA Úřad pro ochranu osobních údajů Internet: http://www.uoou.cz
DÁNSKO Datatilsynet Internet: http://www.datatilsynet.dk
ESTONSKO Andmekaitse Inspektsioon (Inspection of Data Protection) Internet: http://www.aki.ee/en
FINSKO Tietosuojavaltuutetun toimisto (Data Protection Ombudsman) Internet: http://www.tietosuoja.fi
FRANCIE Commission Nationale de l´Informatique et des Libertés Internet: http://www.cnil.fr
CHORVATSKO Croatian Personal Data Protection Agency Internet: http://www.azop.hr/
IRSKO Office of the Data Protection Commissioner Internet: http://www.dataprivacy.ie
ITÁLIE Garante per la protezione dei dati personali Internet: http://www.garanteprivacy.it
KYPR Office of the Commissioner for Personal Data Protection Internet: http://www.dataprotection.gov.cy
LITVA Valstybiné Duomenu Apsaugos Inspekcija (State Data Protection Inspectorate) Internet: http://www.ada.lt
LOTYŠSKO Datu valsts inspekcija (Data State Inspection) Internet: http://www.dvi.gov.lv
LUCEMBURSKO Commission nationale pour la Protection des Données Internet: http://www.cnpd.lu
MAĎARSKO Nemzeti Adatvédelmi és Infotmációszabadság Hatóság Internet: http://www.naih.hu/
MALTA Office of the Data Protection Commissioner Internet: http://www.dataprotection.gov.mt
NĚMECKO Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Internet: http://www.bfdi.bund.de
NĚMECKO – ZEMSKÉ ÚŘADY Internet: http://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
NIZOZEMSKO Autoriteit Persoonsgegevens Internet: https://autoriteitpersoonsgegevens.nl/
POLSKO Biuro Generalnego Inspektora Ochrony Danych Osobowych Internet: http://www.giodo.gov.pl
PORTUGALSKO A Commissao Nacional de Protecçao de Dados Internet: http://www.cnpd.pt
RAKOUSKO Datenschutzbehörde Internet: http://www.dsb.gv.at
RUMUNSKO Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal Internet: www.dataprotection.ro
ŘECKO Hellenic Data Protection Authority Internet: http://www.dpa.gr
SLOVENSKO Úrad na ochranu osobných údajov Slovenskej republiky Internet: http://www.dataprotection.gov.sk
SLOVINSKO Varstvo osebnih podatkov Internet: http://www.ip-rs.si/index.php
ŠPANĚLSKO Agencia espanola de Protección de Datos Internet: http://www.agpd.es
ŠVÉDSKO Datainspektionen Internet: http://www.datainspektionen.se
VELKÁ BRITÁNIE Information Commissioner’s Office Internet: http://www.ico.org.uk
