Od 25.5 2018 vstoupí v platnost nový zákon o ochraně osobních údajů, který bude zohledňovat požadavky nařízení Evropského parlamentu a Rady EU, jinak nazvaný i GDPR (General Data Protection Regulation). Přináší velké změny a podnikatele čekají nové povinnosti, za které v případě neplnění hrozí likvidační pokuty.
Osobní údaj je informace, která přímo nebo nepřímo identifikuje konkrétní fyzickou osobu (např. Jméno a příjmení, rodné číslo, číslo občanského průkazu nebo pasu). Co se týče emailu nebo telefonního čísla je to složitější. Záleží, zda se dá přímo spojit s konkrétní osobou (obecné telefonní čísla do organizací nebo obecné emaily do kategorie osobních údajů nespadají). Další typy osobních údajů::
Oznamovací povinnost porušení ochrany osobních údajů:
Porušení osobních údajů podle GDPR znamená porušení bezpečnosti, která vede k náhodnému či protiprávnímu zničení, ztrátě, změně, neoprávněnému sdělení osobních údajů, které se přenášejí, uchovávají nebo jinak zpracovávají, nebo neoprávněný přístup k nim. Tento incident je třeba nahlásit do 72 hodin od zjištění úřadu na ochranu osobních údajů ČR.
Je možnost vyhnout se informování dotčených jednotlivců zavedením vhodných bezpečnostních opatření.
Odpovědná osoba
V případě, že organizace nemá určenou odpovědnou osobu, má povinnost informovat Úřad pro ochranu osobních údajů ČR o systémech obsahující osobní údaje (např. newsletter).
Organizace si mohou zajistit odpovědnou osobu i prostřednictvím právnické osoby. Tím se organizace částečně vyhne byrokracií.
Odpovědnou osobu musí mít následující instituce:
Zvýšení pokut
Maximální výše pokuty bude 20 milionů eur, případně 4% celosvětového firemního obratu z předchozího roku, podle toho, která pokuta je vyšší. Kromě finanční pokuty může být nařízeno i výmaz osobních údajů, zákaz zpracování, oznámení porušení ochrany osobních údajů dotčené osobě nebo pozastavení toku dat příjemci ve třetí zemi.
Přísnější požadavky na udělení souhlasu při zpracování osobních údajů.
Souhlas musí být poskytnut jasným projevem vůle, s jednoznačným vyjádřením souhlasu dotčené osoby se zpracováním osobních údajů. Tento souhlas je nutné vědět prokázat v případě potřeby.
Uživatel má právo na vymazání (právo být zapomenut)
V případě, že uživatel požádá o vymazání svých údajů, musí poskytovatel posoudit, zda je jeho požadavek vhodný (např. pokud byly získány nezákonně, údaje se nepoužívají na správný účel, nebyl poskytnut rodičovský souhlas). Pokud je požadavek vhodný má poskytovatel měsíc na vymazání údajů (ve složitých případech 3 měsíce). Kromě toho musí poskytovatel informovat i jiné zpracovatele, kteří tyto údaje zpracovávají. V případě pokud by se jednalo o velmi finančně a technicky náročný proces, nemusí se tomuto požadavku vyhovět.
Soukromí jako standard
Ochrana soukromí musí být komplexně zvažována už při návrhu nových projektů. Provozovatel musí určit vhodná technická a organizační opatření pro každou formu zpracování. Všechny nové projekty z hlediska IT by měly být šifrované, měli by se vytvářet pravidelné zálohy a hlavně by se mělo předem určit, které informace jsou nezbytné a které ne.
Přenositelnost údajů
Uživatel bude moci požádat o přenos dat od svého původního provozovatele k novému. Původní provozovatel bude muset jeho žádosti vyhovět a přenést údaje v co nejkratší době (maximálně 1 měsíc) a bezplatně (jedná se například o přesun emailů od jednoho provozovatele k druhému). Žádost ale musí být přiměřená a opodstatněná. Transfer musí být samozřejmě zajištěn, jinak hrozí únik dat, incident a pokuta.
Nové požadavky pro smlouvu se zprostředkovatelem
Pro zprostředkovatele (např. účetní, právníci) přibude nová povinnost přepracovat smlouvy, tak aby zahrnovaly:
Je doporučeno, aby zprostředkovatelé nasadili šifrování, antivirovou ochranu a aby používali zabezpečenou komunikaci.
Pravidlo „one-stop-shop“
Pravidlo, které se týká poskytovatelů, kteří fungují ve více státech. GDPR určuje, kdo řeší dozor nad danou společností - vedoucí dozorčí orgány a vedoucí orgány. Vedoucí dohlížitel v Česku je Úřad pro ochranu osobních údajů ČR.
Mezinárodní přenosy dat
GDPR zásadně nemění byrokracii, která je spojena s přenosem osobních údajů mimo území Evropské unie. Podle cílové země kam osobní údaje putují bude nutné podepisovat různé vícestránkový smlouvy a dohody.
Následující článek:
"Jaké jsou možnosti společností splnit požadavky GDPR?"
ZDROJE:
www.eset.sk
Nařízení Evropského parlamentu a rady (EÚ) 2016/679
Den Země, který se každoročně slaví 22. dubna, je mezinárodní svátek věnovaný naší planetě. Je to den, kdy si připomínáme krásu a křehkost Země a naši zodpovědnost za její ochranu.
Zobrazit vícMMOG/LE V6 je logistický hodnotící nástroj, který pomáhá automobilovým společnostem získat větší transparentnost ohledně schopností a efektivity jejich dodavatelského řetězce. Tento nástroj umožňuje dodavatelům provádět samo-hodnocení a kontinuální zlepšování. Aktuální verze 6 obsahuje vylepšení v oblastech digitální transformace, plánování kapacit, ESG odpovědnosti, krizového řízení, kybernetické bezpečnosti a hodnocení SCM u subdodavatelů a nových účastníků...
Zobrazit vícUmělá inteligence (AI) způsobila revoluci v mnoha odvětvích, ale její rychlý růst přinesl i obavy týkající se etiky, soukromí a bezpečnosti. Právě k řešení těchto výzev navrhla Mezinárodní organizace pro normalizaci a Mezinárodní elektrotechnická komise normu ISO/IEC 42001.
Zobrazit vícOba standardy poskytují řadu bezpečnostních kontrol, které pomáhají organizacím chránit své informace. NIST a ISO/IEC 27001 jsou kompatibilní a navzájem se doplňují. NIST poskytuje technické detaily pro implementaci bezpečnostních kontrol, které jsou doporučeny v ISO/IEC 27001.
Zobrazit víc