Od 25.5 2018 vstoupí v platnost nový zákon o ochraně osobních údajů, který bude zohledňovat požadavky nařízení Evropského parlamentu a Rady EU, jinak nazvaný i GDPR (General Data Protection Regulation). Přináší velké změny a podnikatele čekají nové povinnosti, za které v případě neplnění hrozí likvidační pokuty.
Osobní údaj je informace, která přímo nebo nepřímo identifikuje konkrétní fyzickou osobu (např. Jméno a příjmení, rodné číslo, číslo občanského průkazu nebo pasu). Co se týče emailu nebo telefonního čísla je to složitější. Záleží, zda se dá přímo spojit s konkrétní osobou (obecné telefonní čísla do organizací nebo obecné emaily do kategorie osobních údajů nespadají). Další typy osobních údajů::
Oznamovací povinnost porušení ochrany osobních údajů:
Porušení osobních údajů podle GDPR znamená porušení bezpečnosti, která vede k náhodnému či protiprávnímu zničení, ztrátě, změně, neoprávněnému sdělení osobních údajů, které se přenášejí, uchovávají nebo jinak zpracovávají, nebo neoprávněný přístup k nim. Tento incident je třeba nahlásit do 72 hodin od zjištění úřadu na ochranu osobních údajů ČR.
Je možnost vyhnout se informování dotčených jednotlivců zavedením vhodných bezpečnostních opatření.
Odpovědná osoba
V případě, že organizace nemá určenou odpovědnou osobu, má povinnost informovat Úřad pro ochranu osobních údajů ČR o systémech obsahující osobní údaje (např. newsletter).
Organizace si mohou zajistit odpovědnou osobu i prostřednictvím právnické osoby. Tím se organizace částečně vyhne byrokracií.
Odpovědnou osobu musí mít následující instituce:
Zvýšení pokut
Maximální výše pokuty bude 20 milionů eur, případně 4% celosvětového firemního obratu z předchozího roku, podle toho, která pokuta je vyšší. Kromě finanční pokuty může být nařízeno i výmaz osobních údajů, zákaz zpracování, oznámení porušení ochrany osobních údajů dotčené osobě nebo pozastavení toku dat příjemci ve třetí zemi.
Přísnější požadavky na udělení souhlasu při zpracování osobních údajů.
Souhlas musí být poskytnut jasným projevem vůle, s jednoznačným vyjádřením souhlasu dotčené osoby se zpracováním osobních údajů. Tento souhlas je nutné vědět prokázat v případě potřeby.
Uživatel má právo na vymazání (právo být zapomenut)
V případě, že uživatel požádá o vymazání svých údajů, musí poskytovatel posoudit, zda je jeho požadavek vhodný (např. pokud byly získány nezákonně, údaje se nepoužívají na správný účel, nebyl poskytnut rodičovský souhlas). Pokud je požadavek vhodný má poskytovatel měsíc na vymazání údajů (ve složitých případech 3 měsíce). Kromě toho musí poskytovatel informovat i jiné zpracovatele, kteří tyto údaje zpracovávají. V případě pokud by se jednalo o velmi finančně a technicky náročný proces, nemusí se tomuto požadavku vyhovět.
Soukromí jako standard
Ochrana soukromí musí být komplexně zvažována už při návrhu nových projektů. Provozovatel musí určit vhodná technická a organizační opatření pro každou formu zpracování. Všechny nové projekty z hlediska IT by měly být šifrované, měli by se vytvářet pravidelné zálohy a hlavně by se mělo předem určit, které informace jsou nezbytné a které ne.
Přenositelnost údajů
Uživatel bude moci požádat o přenos dat od svého původního provozovatele k novému. Původní provozovatel bude muset jeho žádosti vyhovět a přenést údaje v co nejkratší době (maximálně 1 měsíc) a bezplatně (jedná se například o přesun emailů od jednoho provozovatele k druhému). Žádost ale musí být přiměřená a opodstatněná. Transfer musí být samozřejmě zajištěn, jinak hrozí únik dat, incident a pokuta.
Nové požadavky pro smlouvu se zprostředkovatelem
Pro zprostředkovatele (např. účetní, právníci) přibude nová povinnost přepracovat smlouvy, tak aby zahrnovaly:
Je doporučeno, aby zprostředkovatelé nasadili šifrování, antivirovou ochranu a aby používali zabezpečenou komunikaci.
Pravidlo „one-stop-shop“
Pravidlo, které se týká poskytovatelů, kteří fungují ve více státech. GDPR určuje, kdo řeší dozor nad danou společností - vedoucí dozorčí orgány a vedoucí orgány. Vedoucí dohlížitel v Česku je Úřad pro ochranu osobních údajů ČR.
Mezinárodní přenosy dat
GDPR zásadně nemění byrokracii, která je spojena s přenosem osobních údajů mimo území Evropské unie. Podle cílové země kam osobní údaje putují bude nutné podepisovat různé vícestránkový smlouvy a dohody.
Následující článek:
"Jaké jsou možnosti společností splnit požadavky GDPR?"
ZDROJE:
www.eset.sk
Nařízení Evropského parlamentu a rady (EÚ) 2016/679
Rok 2022 bude pro rodinu norem řady ISO/IEC 27000 klíčový. V únoru vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ji bude následovat. Jaký je ale rozdíl mezi těmito dvěma normami? Nač jsou zaměřeny a proč by je měly organizace znát?
Zobrazit vícV článku se dočtete jak se dotkla revize ISO/IEC 27002:2022 normy ISO/IEC 27001. Jaké nastaly hlavní změny a co čeká organizace, které mají zavedenou normu ISO/IEC 27001 nebo plánují zavedení této normy.
Zobrazit vícV současnosti probíhá proces revize ISO/IEC 27001 a ISO/IEC 27002 (aktuální verze byla publikována v roce 2013). Organizace, které se zaměřují na systematický přístup k řízení informační bezpečnosti, už jistě zaregistrovali tuto novinku. ISO / IEC 27002 je opět navržena tak, aby poskytovala rámec pro řízení bezpečnosti informací (podobně jako například: NIST CSF).
Zobrazit vícS rostoucí konkurencí na trhu musí výrobci zvyšovat produktivitu výroby kvalitních výrobků. V dnešní ekonomice se od vás očekává, že budete neustále zlepšovat návratnost celkového kapitálu. Protože je obtížné získat kapitál na výstavbu nových, účinnějších závodů a nákup nových zařízení, často musíte splnit rostoucí výrobní požadavky se současným vybavením a zařízením a současně vedle toho ještě snižovat výdaje.
Zobrazit víc