Rubrika: Systémy řízení
Zaměstnavatele z GDPR hlava bolet nemusí
Dle vyjádření Evropské komise podniky údajně rozvíjejí kulturu dodržování předpisů v oblasti ochrany osobních údajů a občané jsou si čím dál více vědomi svých práv. Většina členských států zavedla podpůrný právní rámec pro ochranu osobních údajů. V České republice jím je zákon č. 110/2019 Sb., o zpracování osobních údajů. Přehled zásadních změn a výjimek jsme přehledně shrnuli na našich webových stránkách 
. Mohlo by se zdát, že vše funguje…
Nicméně protože opakování je matka moudrosti a názory ÚOOÚ se vyvíjí (ostatně i naše), podíváme se na GDPR z pohledu zaměstnavatele, protože personální agenda představuje v mnoha organizacích nejrozsáhlejší oblast zpracování osobních údajů.
Nač si tedy má dát zaměstnavatel pozor, aby ho z GDPR nebolela hlava?
Pro účel zpracování osobních údajů v rámci personální agendy není žádoucí vyžadovat po zaměstnanci podepsání souhlasu.
Projděte si vzory pracovních smluv, dotazníky/formuláře, zda v nich není souhlas se zpracováním osobních údajů zapracován nebo zda nějaký souhlas se zpracováním osobních údajů po zaměstnancích nepožadujete.
Provádíte-li zpracování osobních údajů, protože vám to ukládá zákon, smluvní vztah nebo se jedná o váš oprávněný zájem (pozor aby jste byli v souladu s oprávněným zájmem zaměstnance), souhlas nepotřebujete. Naproti tomu zasíláte-li zaměstnancům elektronickou výplatní pásku na soukromý e-mail, evidujete soukromá telefonní čísla pracovníků pro urychlené obsazení směny nebo používáte fotografie zaměstnanců pro marketingové účely či jsou obsaženy ve firemním adresáři nebo vnitropodnikové aplikaci, potom se bez souhlasu neobejdete.
Jaké náležitosti by měl souhlas obsahovat, se dovíte zde . Nebo můžete mrknout na náš souhlas se zpracováním osobních údajů za účelem zasílání obchodních sdělení .
Jedno z nejčastěji vytýkaných porušení GDPR je nedostatečné informování zaměstnanců o tom, jak jsou jejich osobní údaje zpracovávány.
Zaměstnancům musí být prokazatelným způsobem předány informace o správci jejich osobních údajů, účelu zpracování, právním základu pro zpracování, komu jsou osobní údaje předávány a v jakém rozsahu, o době, po kterou budou osobní údaje zpracovávány. V neposlední řadě je potřeba zmínit i práva, která subjekt údajů/zaměstnanec v oblasti ochrany osobních údajů má. O těch jsme psali zde .
Mimochodem dle GDPR musíte vhodným způsobem informovat všechny subjekty údajů, jejichž osobní údaje zpracováváte tedy rovněž: zákazníky, obchodní partnery, návštěvníky vašich webových stránek, účastníky marketingových kampaní atd. Rozsah informací je stanoven článkem 13 GDPR .
Monitorujete-li služební vozidla pomocí GPS, a to v rozsahu potřebném pro ochranu a správu majetku, pak je to oprávněný zájem zaměstnavatele.
Pokud umožňujete zaměstnanci využívat vozidlo i pro soukromé účely, je potřeba vzájemná práva a povinnosti upravit dohodou o použití vozidla. Je nezbytné zaměstnance na použití GPS sledování upozornit, a to prokazatelným způsobem. Zaměstnavatel je i nadále oprávněn zpracovávat osobní údaje pro stanovený účel jímž je ochrana a správa majetku, evidence jízd, prokázání bezpečnostních přestávek atd., ale nesmí docházet k intenzivní či stálé kontrole zaměstnanců, která by narušovala jejich soukromí.
Jako u všech zpracování i zde platí, že data lze zpracovávat pouze po dobu odpovídající účelu, a to i přesto, že spousta provozovatelů systémů tuto povinnost nereflektuje. Údaje o soukromých jízdách je nezbytné považovat za důvěrné a ideálně nepřístupné. Nezapomínejme, že odpovědnost za zpracování má vždy správce osobních údajů.
Dle zákoníku práce zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat – například sledovat množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. Sledování nesmí být systematické a založené na ruční kontrole údajů a dat.
V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance informovat.
Zaměstnavatel je oprávněn vyžadovat od uchazeče o zaměstnání informace o trestněprávní bezúhonnosti, jestliže to ukládá právní předpis pro výkon určité pracovní pozice (policisté, hasiči, zdravotní sestry, učitelé, advokáti atd.) či je pro to dán dle zákoníku práce věcný důvod spočívající v povaze práce, jež má být vykonávána a je-li tento požadavek přiměřený.
Plošné vyžadování doložení bezúhonnosti u všech typů prací není v souladu s GDPR ani s pracovněprávními předpisy.
Co se uchovávání Rejstříku trestů týče, dle názoru ÚOOÚ je možné po účelem zpracování odůvodněnou dobu výpis či na základě výpisu učiněné poznámky uchovávat. Avšak my dodáváme, že již jeden den po vystavení výpisu je tento dokument zastaralý a údaje v něm uvedené nemusí odpovídat aktuálnímu stavu. Tudíž je na zvážení, zda existuje relevantní důvod pro jeho uchovávání.
V České republice jsou stále více využívány technologie založené na identifikaci osoby prostřednictvím biometrického údaje (obvykle otisku prstu). GDPR však biometrické údaje považuje za zvláštní kategorii osobních údajů, čili citlivý údaj, kde jsou nastavena přísnější pravidla pro zpracování.
Je-li účelem zpracování kontrola vstupu, přítomnosti a přístupů zaměstnanců s ohledem na zabezpečení provozu proti přístupu neoprávněné osoby, jedná se o oprávněný zájem zaměstnavatele a není potřeba vyžadovat po zaměstnancích souhlas.
To ovšem není případ evidence docházky s využitím této technologie. Tam už bude potřeba souhlas získat, a protože ten musí být dán dobrovolně, měl by zaměstnavatel zajistit i jiný způsob evidence docházky, kde k použití biometrického údaje nedochází.
Poskytování benefitů zaměstnavatelem často souvisí s předáním osobních údajů zaměstnance třetí straně, tedy jinému příjemci, jež benefit zajišťuje. Ale ani toho se není potřeba bát, neboť zpracování osobních údajů pro tento účel vychází z dohody o poskytnutí benefitu.
Právním účelem je tedy plnění smlouvy, a to i v případě, že se k poskytnutí benefitu zaměstnavatel zavázal v kolektivní smlouvě nebo právo na benefit stanovil vnitřním předpisem.
Opět ale nesmíme zapomínat na výše uvedený čl. 13 GDPR a zaměstnance informovat o předání osobních údajů poskytovateli benefitu a též i o rozsahu předaných údajů.
Je potřeba nezapomínat na práva subjektů údajů. Jedním z nich je i přístup k informacím, a to i v případě bývalých zaměstnanců. Vzhledem k tomu, že i po skončení pracovního poměru jsou osobní údaje dále zpracovávány, může se stát, že subjekt údajů svého práva využije, a to třeba i včetně práva na poskytnutí kopie zpracovávaných osobních údajů.
Doporučujeme po skončení pracovního poměru zaměstnance uchovávat v organizaci/informačních systémech jeho osobní údaje pouze v nezbytném rozsahu.
A když jsme u přístupu k osobním údajům, je potřeba zajistit i jejich zabezpečení. Neponechávat fyzickou dokumentaci volně přístupnou, stejně tak i elektronickou databázi, a mít přehled o oprávněných osobách, jež mohou osobní údaje zpracovávat. Zpracováním je myšleno vše, co lze s osobními údaji dělat, tedy i nahlížet, kopírovat, likvidovat, předávat atd. U předávání osobních údajů dejme pozor, v jakém rozsahu a komu osobní údaje předáváme. Například údaj o členství v odborové organizaci patří mezi zvláštní kategorie osobních údajů/citlivé, a jeho zpracování podléhá přísnějším pravidlům.
Poslední myšlenka, kterou je vhodné zmínit, je povinnost realizace pravidelných školení ochrany osobních údajů pro všechny zaměstnance, kteří s osobními údaji přichází do styku.
O tom, že byli pracovníci proškoleni, je potřeba mít vyhotoven záznam.
Společnost Q – COM se dlouhodobě zabývá systémy řízení.
Ochrana osobních údajů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že GDPR není primárně otázkou investic do technologií či záležitost IT oddělení. Klíčové je především vhodné nastavení procesů, nezbytné používání zdravého selského rozumu a nejdůležitější pravidelné vzdělávání pracovníků.
Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně ochrany osobních údajů, ale i informací a dalších aktiv zákazníka.
Cítíte, že GDPR je Vaše slabina a nevíte, jak na to?
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.
| Neváhejte nás kdykoliv kontaktovat |
Novinky z Úřadu pro ochranu osobních údajů
V případě porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu tuto skutečnost ohlásit Úřadu, a to do 72 hodin od okamžiku zjištění. Pokud není lhůta dodržena, musí být současně s ohlášením uveden důvod zpoždění. Ohlášení je možno zaslat do datové schránky qkbaa2n nebo na adresu elektronické pošty posta@uoou.cz či fyzicky poštou na adresu Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7.
Zpracovatel je povinen zaslat ohlášení správci na dohodnuté kontaktní údaje správce.
Úřad pro ochranu osobních údajů zveřejnil formulář, který je možno pro ohlášení porušení zabezpečení osobních údajů použít. Ke stažení zde .
Obecné nařízení o ochraně osobních údajů upravuje oblast vydávání osvědčení o ochraně osobních údajů. V rámci českého překladu byla použita poněkud odlišná terminologie. Osvědčením se myslí certifikát o ochraně osobních údajů, tedy dokument vydaný certifikačním orgánem, kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.
Nebude povinností žádat o vydání certifikátu, ale jeho existence může zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením. Rovněž je možno očekávat usnadnění nákupu produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením, které dokládá, že produkt nebo služba je v souladu s Obecným nařízením.
Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů. Tato povinnost mu byla uložena §15 zákona č.110/2019 Sb., o zpracování osobních údajů.
Úřad pro ochranu osobních údajů připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení), nyní se čeká na posouzení ze strany Evropského sboru pro ochranu osobních údajů.
V současné době tedy nelze žádat o akreditaci, tudíž ani o vydání osvědčení (certifikátu) k produktu, službě nebo zpracování.
Cítíte, že GDPR je Vaše slabina a nevíte, jak na to?
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.
| Neváhejte nás kdykoliv kontaktovat |
Boj s terorismem – chraňme měkké cíle
Série teroristických útoků ve Francii v listopadu 2015 (střelba v koncertní síni Bataclan a exploze poblíž fotbalového stadionu během zápasu) způsobila, že svět už nebyl nikdy stejný. Minimálně co se pocitu bezpečí týče.
Byť pro teroristy nebyla Česká republika zajímavou destinací, nebylo možno spoléhat se, že tomu tak bude napořád. Proto byl v roce 2016 schválen Systém vyhlašování ohrožení terorismem.
Věděli jste, že aktuální stupeň ohrožení terorismem je u nás na úrovni 1?
Tedy obecné ohrožení vyplývající ze situace v zahraničí, kdy není známa konkrétní hrozba teroristických aktivit na území ČR, ale je potřeba dbát obecné všímavosti. Jedná se o dlouhodobě standardní stav nejnižšího, nikoliv však nulového, ohrožení terorismem.
Zdroj: Stupně ohrožení terorismem. Ministerstvo vnitra České republiky. 2016.
Vládní budovy, velvyslanectví, vojenské a strategicky významné objekty jsou proti útokům dobře chráněny a střeženy – proto dostaly název tvrdé cíle. Naproti tomu měkké cíle potenciálně představují vhodný cíl ozbrojených útočníků či teroristů, jelikož se jedná o místa (objekty, prostory nebo akce) s vysokou koncentrací osob a nízkou úrovní zabezpečení proti násilným útokům.
Měkké cíle čelí široké škále hrozeb různého typu ze strany jednotlivců i skupin s různou motivací. Současným trendem je cílit na veřejná místa se slabým zabezpečením. Vazba na náboženství či národnost hraje stále menší roli. Jednoznačně nejčastějším typem teroristického útoku je bombový útok.
Zdroj:Základy ochrany měkkých cílů – Metodika. Ministerstvo vnitra České republiky. Červen 2016.
České republice se teroristické útoky zatím vyhýbají. To ale neznamená, že si můžeme dovolit nebýt ve střehu, je potřeba být i na takovou eventualitu připraven! Na stát se nelze spoléhat, neboť ochrana měkkých cílů je poměrně mladá disciplína. V tomto ohledu lze řadu kroků přijmout na straně samotných potencionálních cílů útoků, a to nejen v oblasti prevence, kde je třeba zaměřit se na analýzu hrozeb měkkého cíle, ale také na plánování reakce na útok, na detekci podezřelého chování a podobně.
Vhodné nastavení systému ochrany a dobré vyškolení pracovníků měkkého cíle pak vede ke správným reakcím při útoku samotném a eliminaci ztrát na životech.
Společnost Q – COM se dlouhodobě zabývá systémy řízení. Ochrana měkkých cílů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že zvýšení odolnosti měkkého cíle není primárně otázkou investic do technologií či vybavení. Klíčové je především nastavení procesů a koordinace činností personálu a jeho připravenost na násilný útok.
V tomto pojetí je potřeba dbát na přípravu, pravidelná cvičení a vhodné rozdělení úkolů. Nezbytný je rovněž pravidelný audit stavu bezpečnosti a analýzy hrozeb a rizik.
Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně bezpečnosti, která bude cílit nejen na ochranu lidských životů, ale i majetku.
Chraňte životy svých zaměstnanců i klientů…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.
| Neváhejte nás kdykoliv kontaktovat |
Nezodpovědných zaměstnanců přibývá
Rozmohl se nám tady takový nešvar…
Během analýz stavu bezpečnosti u našich klientů stále narážíme na jednu a tutéž problematiku – nezodpovědné chování pracovníků.
Klidně nechají otevřené okno po odchodu z práce, hlavně že ráno bude na pracovišti čerstvý vzduch. Nezamknou kancelář, „přece se za pár minut vrátí“, ale už jim nedochází, jaké důležité dokumenty, materiály nebo i zařízení by se během těch pár minut mohly z kanceláře ztratit. Bez obav brouzdají po internetu, rozkliknou kdejaký odkaz, stáhnou soubor či otevřou přílohu e-mailu, aniž by se alespoň na chvilku zamysleli nad tím, jestli se náhodou nemůže jednat o škodlivý obsah. Nepřemýšlí nad tím, co by se mohlo stát, a že svým jednáním mohou zaměstnavateli způsobit škodu.
Můžeme mít nastavena sebelepší technická či procesní bezpečnostní opatření, ale jakmile zaměstnanci nedodržují stanovená pravidla, v tu chvíli jsme vynaložili prostředky na jejich zavedení zbytečně.
 |
 |
 |
Výchovou, vzděláním, školením… Je docela jedno, jak to nazveme, ale pracovníkům je potřeba neustále vštěpovat zásady zodpovědného chování a ve stejném duchu bychom měli vychovávat i naše děti.
Kdy začít? První vhodný termín byl včera, druhý je dnes! Protože čím dříve začneme, tím rychleji se nám investovaná energie potažmo peníze začne vracet v podobě poklesu bezpečnostních incidentů, a to nejen v práci, ale i doma.
Pracujeme sice s dospělými lidmi, ale i jim je potřeba opakovat to stejné, co dětem:
 |
zavírat okna, |
|
vypínat elektrospotřebiče, |
|
vnímat rizika a předcházet jim, |
|
zamykat při každém odchodu. |
Doma se takto přece chováme všichni, tak proč ne na pracovišti?
Dětem vysvětlujeme, že nemají s cizími lidmi nikam chodit, že si od nich nemají nic brát a nesdělovat jim své plné jméno, adresu, co dělá tatínek a podobně. I zaměstnancům bychom měli klást na srdce, že informace se nevynáší. A pokud ještě nejsou vázání mlčenlivostí, tak to rychle napravit.
Stejně jako si chráníme offline svět, měli bychom být obezřetní, i když jsme online. Byť se zdá, že jsou tyto dva světy oddělené, není to pravda. Prolínají se a doplňují a mnohdy již nelze určit hranice, kde jeden začíná a druhý končí.
Obdobně jako si zamykáme dům a dáváme pozor, abychom neztratili klíče, měli bychom si ohlídat i svá přístupová hesla do různých aplikací a nikomu je nesdělovat. Tak jako nám přijde normální, že máme několik různých samostatných klíčů – od domu, auta, zahrady, chalupy, garáže – měli bychom i v online světě používat více hesel, ideálně pro každý nástroj jiné. Tak jak si zabezpečíme svůj domov (kvalitní okna, bezpečnostní dveře, trezor, zabezpečovací systém atp.), měli bychom mít zabezpečeny i důležité online nástroje, které využíváme, a to nejen silným heslem, ale i vědomím toho, komu k nim povolujeme přístup či jakou míru zabezpečení nám garantuje poskytovatel nástroje.
Ráno než vyjedeme autem do práce, také nejdřív zkontrolujeme jeho stav, množství paliva, připoutáme se, protože se chceme dopravit bezpečně. Totéž platí i pro technologie, které pro přístup na internet využíváme. Je potřeba mít aktualizovaný operační systém, aktualizované aplikace, antivirový program, firewall, zabezpečený router atd.
Znalosti dětí v oblasti informačních a komunikačních technologií dnes často převyšují znalosti jejich rodičů, ale povědomí o bezpečném a potažmo zodpovědném chování na internetu je u obou skupin minimální. Vypíchli jsme několik důležitých zásad, kterými je vhodné se řídit doma stejně jako v práci nebo ve škole:
|
Aplikace stahujme jen z ověřených zdrojů (na mobilech a tabletech jen z oficiálních appstorů). |
|
Z veřejných úložišť nestahujme zašifrované archivy, mohou být infikovány. Nezašifrované soubory by měly být proskenovány provozovatelem úložiště, ale i zde je na místě obezřetnost. |
|
Soubory sdílejme na úložištích, kde můžeme regulovat přístup přes uživatelský účet – cloudová služba například. Zde jsme však lehce identifikováni, proto nepoužívejme pro sdílení toho, co bychom neměli. |
|
Sdílení obsahu chráněného autorských zákonem, přechovávání dětské pornografie, šíření pornografie, hanobení rasy, etnické či jiné skupiny osob, podněcování k nenávisti, šíření poplašné zprávy, pomluva, vydírání jsou nejčastější trestné činy páchané na internetu. Mějme to na paměti! |
|
Neotevírejme přílohy podezřelých e-mailů, neklikejme bez rozmyšlení na odkazy. |
|
Pro placení online je vhodné mít samostatnou kartu, kterou používejme pouze pro tento účel. Zůstatek na účtu, ke kterému se karta váže, by měl odpovídat sumě, kterou právě hodláme zaplatit. |
|
Na žádosti e-mailem o sdělení pinu, čísla karty, či jiných platebních údajů zásadně neodpovídejme. |
|
Na žádosti e-mailem o sdělení našeho přístupového hesla neodpovídejme. |
|
Pokud žádá o peníze online formou kamarád nebo i naše dítě, zavolejme mu a domluvme se. Krádeže identit se dějí a nikdy nevíme, jestli nejde o podvod. |
|
Pozor na nabídky „ZDARMA“! Pamatujme, že nic není zadarmo. Ne vždy se musí jednat o úhradu penězi. Někdy jsou nám slibovány určité benefity výměnou za naše osobní údaje. Zvažujme, komu je poskytujeme! |
|
Používejme jeden e-mail (oficiální) na komunikaci a druhý e-mail (servisní) na přihlašování do různých služeb. Když nic jiného, nebudeme mít oficiální schránku zaplevelenou balastem, čímž se snižuje pravděpodobnost přehlédnutí důležité zprávy. |
|
Profil na sociální síti by měl být uzavřený, s kontrolou kdo může vidět jeho obsah. Přemýšlejme nad informacemi, které zde sdělujeme a co už bychom neměli. Totéž žádejme i po našich dětech. |
|
Cokoliv, co zveřejníme, i kdyby jen v uzavřené skupině, už nemusí jít ze všech míst smazat a může to být kdykoliv použito proti nám. |
|
Smazané znamená jen tolik, že to je za smazané označené. Nepomůže ani zrušení celého účtu (například na sociální síti). Digitální stopa zůstává, a pokud nebudeme obezřetní, můžeme být brzy snadno vydíratelní. |
|
Ne všechno, co je na internetu napsáno, je nutně pravda. Jak lžou lidé v reálném světě, vyskytují se lži i zde. Včetně toho, že ne každý uživatel je tím, za koho se vydává. Pozor na falešné identity! |
|
Jdeme-li na schůzku domluvenou přes internet a s protějškem jsme se nikdy neviděli, řekněme o tom někomu. |
|
Dodržujme netiketu tj. zásady slušného chování v online světě. Nezveřejňujme nic, co bychom druhému do očí nikdy neřekli. Případně na takové zprávy vůbec nereagujme. Nechceme-li, aby nás někdo fotil v nepříjemné situaci, nedělejme to ani ostatním a takové fotografie nesdílejme, nelajkujme. |
Neměli bychom zapomínat, že verba movent, exempla trahunt, tedy slova hýbají, příklady táhnou. Chceme-li něco naučit naše děti, sami bychom se tak měli chovat, vysvětlovat, ukazovat (nelze se spoléhat na školu).
Chceme-li něco naučit jejich rodiče, naše zaměstnance, vzdělávejme je! Třeba prostřednictvím školení a kurzů společnosti Q – COM:
 |
GDPR nejen pro vedoucí pracovníky, |
|
Zodpovědné chování online i offline, v práci jako doma, |
|
Elektronická komunikace, |
|
Úvod do bezpečnosti informací. |
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.
| Neváhejte nás kdykoliv kontaktovat |
ÚOOÚ udělil první pokuty – nač se chystá dál
Nejaktuálnější zprávou z Úřadu pro ochranu osobních údajů je postup ve věci zpracování osobních údajů v systému Centrálního registru dlužníků České republiky (CERD).
Registr se tváří jako oficiální databáze, avšak provozovatel má sídlo v USA, nemá relevantní data ani partnery. Čerpá z veřejně dostupných databází a případně získává údaje od lidí a firem, kteří se v něm zaregistrovali. Například finanční instituce výpis pořízený z tohoto registru neuznávají, protože provozují vlastní systémy (Bankovní registr klientských informací, Nebankovní registr klientských informací či SOLUS).
Úřad v loňském roce ukončil kontrolu systému CERD a následně zahájil řízení o přijetí nápravných opatření. Správce systému však uložená opatření neprovedl. Úřad se tedy obrátil na poskytovatele služeb pro systém CERD a podařilo se mu vymoct znepřístupnění webové stránky CERD. Správce systému si však zajistil nového poskytovatele služeb, jímž se stala indická společnost, která IP adresy pro systém CERD hostuje na území Ruské federativní republiky. Protiprávní obsah tak dál figuruje na internetu a Úřad přišel o možnost ovlivnit jeho stažení nebo znepřístupnění. Nyní Úřad zahájil řízení o sankci za nepřijetí opatření k nápravě.
Zdroj: www.uoou.cz
Je tomu více než rok, od účinnosti GDPR. Zatímco rok před zavedením nasbíral Úřad pro ochranu osobních údajů 2385 podnětů, za rok od účinnosti jich přišlo 3851. Dle sdělení Úřadu se stížnosti nejčastěji týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejňování osobních údajů na internetu a kamerových systémů. Úřad eviduje 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů.
Zdroj: www.uoou.cz
Úřad pro ochranu osobních údajů udělil již 9 pokut. Na základě zákona o svobodném přístupu k informacím zveřejnil pravomocná rozhodnutí/příkazy, z kterých lze odvodit, že postup úřadu je vskutku mírný a pokuty nejsou likvidační, ostatně jak bylo dříve proklamováno.
Správci osobních údajů byli v některých případech nejprve vyzváni k nápravě a až po jejich nečinnosti přistoupil Úřad k udělení pokuty. Jednalo se o případy neoprávněného zveřejnění osobních údajů, nesplnění informační povinnosti a o pozdní reakci na žádost o opravu osobních údajů. Dále z jednotlivých příkazů vyplývá, že se nevyplácí záměrně zkreslovat skutečnosti, a že správce osobních údajů může dostat pokutu, i když k žádnému bezpečnostnímu incidentu nedošlo.
Chcete-li se dozvědět, zač byly pokuty uděleny, v jaké výši a jaký byl postup Úřadu, navštivte naše webové stránky, kde je všech devět případů shrnuto. Více zde.
Zdroj: www.uoou.cz
Úřad pro ochranu osobních údajů zveřejnil kontrolní plán na rok 2019. Tedy možné typy zpracování osobních údajů, na které se bude především zaměřovat:
|
plnění povinností při zpracování osobních údajů, včetně zvláštních kategorií údajů – otisků prstů při provozování hazardních her, |
|
zpracování osobních údajů (odebraných vzorků) zdravotnickým zařízením, |
|
zpracování osobních údajů při používání cookies, |
|
zpracování osobních údajů v aplikacích resp. informačních systémech využívaných zdravotnickými zařízeními, |
|
zabezpečení osobních údajů u zpracovatele osobních údajů, |
|
zpracování osobních údajů společností vyvíjející a provozující mobilní aplikace, |
|
zpracování osobních údajů v souvislosti s kontrolami jízdních dokladů, navazujícím zpracování osobních údajů a v souvislosti s nákupem časových jízdenek, |
|
zpracování osobních údajů žadatelů o uzavření smlouvy o úvěr při jejím sjednávání online, |
|
zpracování související s rozvojem digitalizace služeb, které občanům poskytují orgány veřejné správy, |
|
zpracování osobních údajů prováděného buď přímo politickými subjekty, nebo za ně, a to se zaměřením jak na vlastní členskou základnu daného subjektu, tak na osoby stojící mimo ni, |
|
zpracování genetických údajů jako zvláštních kategorií údajů u společnosti specializující se na testování DNA. |
Zdroj: www.uoou.cz
Pro naše zákazníky je z výčtu kontrolního plánu nejvíce riziková oblast zpracovatelů, jež pro ně osobní údaje nějakým způsobem zpracovávají. Typicky se jedná o externí dodavatele služeb (např. účetní, personalistka, správce IT, SW služby atd.)
Víte jak a zda vůbec váš zpracovatel zabezpečil osobní údaje, které mu předáváte? Víte, že za zabezpečení osobních údajů odpovídáte vy jako správce? Máte ve zpracovatelské smlouvě podchycenu oblast ochrany osobních údajů v souladu s GDPR? V České republice už máme případ správce osobních údajů, který si „neohlídal“ svého zpracovatele a byl za nedostatečné zabezpečení osobních údajů pokutován.
Představují-li pro Vás zpracovatelé noční můru a nejste si jisti, zda máte osobní údaje dostatečně zabezpečeny, obraťte se na nás. Provedeme analýzu aktuálního stavu a navrhneme vhodná řešení nebo pomůžeme s jejich implementací.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.
| Neváhejte nás kdykoliv kontaktovat |
Přehled pokut udělených ÚOOÚ
Pročetli jsme všech devět zveřejněných rozhodnutí a příkazů Úřadu pro ochranu osobních údajů. Níže naleznete přehled čeho se pokuty týkaly a jaký byl v kostce postup Úřadu.
Zdroj: www.uoou.cz
| Případ 1 |  |
| Porušení | Správce osobních údajů (škola) od roku 2017 do současnosti zveřejňuje prostřednictvím sociální sítě Facebook na svém profilu osobní údaje bývalé zaměstnankyně v rozsahu jméno, příjmení, titul a fotografie a to i přes opakovanou výzvu k jejich odstranění. |
| Pokuta | 10.000 Kč |
| Důvod zahájení řízení | Podnět na ÚOOÚ zaslala bývalá zaměstnankyně e-mailem poté, co 2x e-mailem požádala správce osobních údajů o odstranění svých osobních údajů z facebookových stránek. |
| Průběh řízení | Úřad zaslal správci osobních údajů upozornění na porušení povinností při zpracování osobních údajů s poučením o neoprávněnosti zveřejní a příkazem na odstranění uvedených osobních údajů. Správce však nijak nereagoval. Následně byla správci zaslána datovou schránkou výzva k neprodlené nápravě protiprávního stavu. Opět bez reakce. Následoval telefonát s upozorněním, že byla zaslána datová zpráva, která nebyla vyzvednuta. K odstranění osobních údajů z facebookového profilu ani poté nedošlo. |
| Případ 2 | |
| Porušení | Správce osobních údajů klientů (autopůjčovna) neposkytl informaci o zpracování osobních údajů prostřednictvím GPS lokátorů, které byly umístěny v motorových vozidlech, jež pronajímal. Dále nebyly poskytnuty informace o správci osobních údajů, o účelech zpracování, době uložení osobních údajů, o dalších příjemcích a právním základu pro zpracování atd. |
| Pokuta | 30.000 Kč |
| Důvod zahájení řízení | Podnět na ÚOOÚ zaslal klient autopůjčovny poté, co upozorňoval na nedostatky na autě a zaměstnanec autopůjčovny mu následně udělil smluvní pokutu za překročení povolené rychlosti, přičemž při pronájmu vozidla nebyla nikde uvedena informace, že je vozidlo sledováno pomocí GPS. |
| Průběh řízení | Byla provedena kontrola na místě na jejímž základě Úřad uvedl, že správce osobních údajů nesplnil informační povinnost stanovenou GDPR, neboť o zpracování údajů získaných prostřednictvím GPS lokátorů neinformoval zákazníky vůbec a ve vztahu k ostatním zpracováním (tj. zejména zpracování za účelem splnění smlouvy) informoval zcela nedostatečně. |
| Případ 3 | |
| Porušení | Správce osobních údajů osob zaregistrovaných na internetové adrese (provozovatel online hry) neuzavřel se zpracovatelem osobních údajů smlouvu o zpracování osobních údajů dle GDPR. Dále správce osobních údajů nezajistil osobní údaje hráčů (hráčské jméno, heslo, ID herního účtu, e-mailová adresa, IP adresa) provozované online hry, v důsledku čehož došlo ke zveřejnění těchto údajů na internetu po dobu cca 30 minut. |
| Pokuta | 15.000 Kč |
| Důvod zahájení řízení | Správce – provozovatel online hry zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů s tím, že následky úniku databáze jsou dost možná nulové. Dále správce uvedl, že se jednalo o zneužití ze strany programátora, který údajně data stáhl a poslal konkurenci s tím, že zveřejnění na internetu provedl neznámý pachatel. Správce údajně již podnikl kroky vedoucí k tomu, že se nic podobného nebude opakovat. Úřad dále obdržel podnět od fyzické osoby (provozovatele obdobné hry), která uvedla, že zveřejněnou databázi viděla, upozornila provozovatele, a že už údaje nejsou nikde k dispozici. |
| Průběh řízení | V průběhu řízení bylo zjištěno, že do zpracování osobních údajů byl zapojen další zpracovatel, který data zálohoval na své soukromé cloudové úložiště, čímž došlo k řetězení zpracovatelů, avšak příslušné zpracovatelské smlouvy nebyly uzavřeny. Vše se dělo s plným vědomím správce osobních údajů. Dále měla být uzavřena zpracovatelská smlouva s programátorem v souladu s GDPR. Byla uzavřena pouze smlouva o dílo, která postrádala ustanovení, jež by bylo možno považovat za zpracovatelskou smlouvu. Neznámý pachatel zveřejnil data, jež získal ze zmíněného soukromého cloudového úložiště zpracovatele. Správce osobních údajů nepřijal taková opatření, aby nemohlo dojít k nahodilému či neoprávněnému přístupu k jím zpracovávaným osobním údajům. |
| Případ 4 | |
| Porušení | Správce osobních údajů klientů (zprostředkovatel spotřebitelského úvěru) nezajistil osobní údaje cca 300 klientů v rozsahu jméno, příjmení, rodné číslo, číslo OP, adresa bydliště, telefonní číslo a informace o úvěru. Kopie smluv o spotřebitelském úvěru byly volně uloženy v papírové krabici v prostorách společných garáží bytového domu po dobu minimálně 14 dnů a následně nalezeny v kontejneru. |
| Pokuta | 30.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč |
| Důvod zahájení řízení | Správce osobních údajů zaslal Úřadu pro ochranu osobních údajů ohlášení porušení zabezpečení osobních údajů přibližně 80 klientů. ÚOOÚ obdržel také popis skutečností zjištěných Policí České republiky. |
| Průběh řízení | Správce osobních údajů nedostatečně vyhodnotil rizika pro práva a svobody svých klientů, a ani nepřijal odpovídající bezpečnostní opatření k jejich ochraně, když ponechal krabici s dokumenty volně uloženou v prostorách společných garáží bytového domu, kde k nim měl přístup kdokoli z obyvatel domu. Následně byla krabice nalezena v kontejneru, kam ji odnesla neznámá osoba. Při stanovení sankce bylo přihlédnuto i k přitěžující okolnosti, že správce uvedl zavádějící informaci týkající se počtu odcizených dokumentů s osobními údaji. Ohlásil totiž ztrátu přibližně 80 smluv, ale ve skutečnosti krabice obsahovala smluvní dokumentaci více jak 300 klientů. |
| Případ 5 | |
| Porušení | Správce osobních údajů stěžovatelky neposkytl i přes její žádost žádné informace o zpracování jejích osobních údajů. |
| Pokuta | 10.000 Kč |
| Důvod zahájení řízení | Stěžovatelka zaslala Úřadu pro ochranu osobních údajů podnět, že správce osobních údajů nevymazal na její žádost její osobní údaje ze svých webových stránek a dále jí i přes její žádost neposkytl informace o zpracování jejích osobních údajů. |
| Průběh řízení | Správci osobních údajů byla správním orgánem zaslána výzva k nápravě, tedy odstranění informací z webových stránek a poskytnutí stěžovatelce informace týkající se zpracování jejích osobních údajů. Osobní údaje byly z webových stránek odstraněny, avšak stěžovatelka žádné informace neobdržela. Následně byla správci osobních údajů odeslána výzva ke sdělení, jaké informace o zpracování osobních údajů byly stěžovatelce poskytnuty a k doložení tohoto sdělení. Správce však nereagoval. |
| Případ 6 | |
| Porušení | Správce osobních údajů stěžovatelů neposkytl i přes jejich žádost žádné informace o zpracování jejich osobních údajů. |
| Pokuta | 20.000 Kč |
| Důvod zahájení řízení | Stěžovatel 1 podal podnět Úřadu pro ochranu osobních údajů, jelikož byl správcem kontaktováni v rámci monitorovaného hovoru avšak na jeho opakovanou žádost neobdržel informace o zpracování svých osobních údajů (konkrétně o tom, kde byl získán telefonický kontakt). Stěžovatel 2 byl kontaktováni i poté, co zaslal správci žádost k výmazu osobních údajů. |
| Průběh řízení | Správci byla zaslána výzva k neprodlené nápravě protiprávního stavu a to tím, že poskytne stěžovatelům požadované informace, což se nestalo. |
| Případ 7 | |
| Porušení | Zřizovatel odštěpného závodu, jakožto správce osobních údajů klientů, zpracovával při uzavírání smluv s klienty týkajících se poskytování úvěru v elektronické podobě za účelem uzavření a uchování smluvní dokumentace a zjednodušení tohoto procesu též biometrický podpis klientů, který nebyl nezbytný pro uzavření příslušné smlouvy ani pro její plnění. Dále uchovával veškeré záznamy telefonních hovorů s klienty, kteří s ním měli uzavřenou rámcovou smlouvu o poskytování bankovních produktů a služeb nebo smlouvu o úvěru, a to po celou dobu trvání smlouvy a dále po dobu dalších 10 let od splnění veškerých závazků klienta. |
| Pokuta | 250.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč |
| Důvod zahájení řízení | Podkladem pro zahájení řízení je protokol o provedené kontrole odštěpného závodu podle zákona o kontrole a zákona o ochraně osobních údajů na základě kontrolního plánu Úřadu pro rok 2018. Kontrolovaným účastníkem byl odštěpný závod zahraniční banky, který jako takový nemá právní osobnost, proto je účastníkem řízení společnost, která je zřizovatelem tohoto odštěpného závodu (resp. společnost, která prostřednictvím něj podniká na území České republiky). |
| Průběh řízení | Správce osobních údajů nedodržel základní zásadu minimalizace údajů, když shromažďoval a následně uchovával biometrické podpisy svých klientů a dále uchovával zvukové záznamy veškerých telefonních hovorů s klienty po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, přičemž správce žádným způsobem nerozlišoval, zda během hovoru s klientem došlo k uskutečnění obchodu či se jednalo pouze o hovor informativního charakteru/poradenství. (Doklady o uskutečněných obchodech jsou banky a pobočky zahraničních bank povinny uschovávat po dobu nejméně 10 let.) |
| Případ 8 | |
| Porušení | Správce osobních údajů (poskytovatel bankovních služeb) použil osobní údaje subjektu údajů, která byla vedena jako statutární orgán klienta tohoto správce, k založení běžného účtu na jeho jméno, a to bez jeho vědomí. Osobní údaje byly protiprávně zpracovávány až do doby, kdy byl účet zrušen. Správce porušil zásadu zákonnosti, korektnosti a transparentnosti, použil osobní údaje pro nelegitimní účely a ve vztahu k založení a vedení běžného účtu nezajistil dostatečnou kontrolu dodržování vnitřních předpisů upravujících zabezpečení osobních údajů. |
| Pokuta | 80.000 Kč |
| Důvod zahájení řízení | Podkladem pro vydání příkazu je protokol o kontrole podle zákona o kontrole a GDPR. |
| Průběh řízení | Zpracování osobních údajů za účelem založení běžného účtu nelze považovat za korektní ani zákonné, neboť subjekt údajů neuzavřel se správcem osobních údajů smlouvu o zřízení běžného účtu ani o jeho založení nevěděl. Správce osobní údaje zpracovával pro jiný účel, než k jakému byly použity, čímž porušil zásadu účelového omezení. Dále u správce chybí kontrola dodržování interních předpisů, tedy nebylo zajištěno dodržování zavedených technických a organizačních opatření vzhledem k tomu, že správce na existenci vedeného účtu přišel až na základě stížnosti subjektu údajů. Závažnost jednání je zvýšena skutečností, že protiprávní jednání trvalo delší dobu (cca 1 rok a 5 měsíců), a že obviněný je bankou, tedy profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů. |
| Případ 9 | |
| Porušení | Správce osobních údajů (obecně prospěšná společnost) neposkytl svému zaměstnanci i přes jeho e-mailovou žádost žádné informace o zpracování jeho osobních údajů. |
| Pokuta | 5.000 Kč a náhrada nákladů řízení ve výši 1.000 Kč |
| Důvod zahájení řízení | Podkladem pro zahájení řízení byly podněty stěžovatele doručené Úřadu. Stěžovatel od svého zaměstnavatele obdržel potvrzení o zdanitelných příjmech ze závislé činnosti plynoucích na základě dohod o provedení práce, v nichž bylo vyplněno chybné rodné číslo, nebyla vyplněna adresa bydliště a byly uvedeny další nepřesnosti. Stěžovatel žádal o opravu nepřesných a chybných údajů, jeho žádosti však nebylo vyhověno do termínu odevzdání daňového přiznání finančnímu úřadu. |
| Průběh řízení | Úřad zaslal správci osobních údajů výzvu k uvedení operací do souladu s GDPR s tím, že pokud subjekt údajů uplatní své právo na opravu osobních údajů, pak je správce povinen opravit jeho osobní údaje bez zbytečného odkladu. Následně stěžovatel zaslal zaměstnavateli žádost o opravu svých osobních údajů a o vystavení opravených potvrzení, což se nestalo. Správní orgán tedy zaslal správci osobních údajů výzvu k neprodlené nápravě protiprávního stavu s tím, že správce měl správní orgán neprodleně informovat o provedené nápravě a tuto skutečnost doložit. Reakce se dostavila až po stanoveném termínu. |
Zelená pro Zákon o zpracování osobních údajů
Dočkali jsme se! Adaptační zákon k GDPR byl dne 24. 4. 2019 vyhlášen ve Sbírce zákonů, čímž nabyl účinnosti. Celé znění zákona č. 110/2019 Sb., o zpracování osobních údajů, lze nalézt zde.
Zákon upravuje a zpřesňuje Obecné nařízení o ochraně osobních údajů (GDPR), které platí pro jednotlivé členské státy EU automaticky. Zajímá Vás, jaké výjimky se podařilo prosadit? Přinášíme přehled, z našeho pohledu, těch nejdůležitějších:
Při zajišťování chráněného zájmu státu není správce povinen posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů. Chráněným zájmem se rozumí obrana, veřejný pořádek, ochrana práv a svobod, vymáhání nároků aj.
Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů dovršením patnáctého roku věku.
Provádí-li správce zpracování osobních údajů ve veřejném zájmu nebo na základě právního předpisu, může povinné informace (identifikace správce, účely zpracování, příjemci, doba uložení, existence práv, aj. dle čl. 13 nařízení) poskytnut prostřednictvím dálkového přístupu.
Posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením nemusí správce provádět, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
Úřad může upustit od uložení správního trestu v případě uložení opatření k odstranění zjištěných nedostatků. Zároveň může Úřad stanovit přiměřenou lhůtu pro odstranění nedostatků.
Zákon upouští od uložení správního trestu, jedná-li se o orgány veřejné moci a veřejné subjekty.
Řízení zahájená podle zákona č. 101/2000 Sb., která nebyla pravomocně skončena přede dnem nabytí účinnosti tohoto zákona, se dokončí podle zákona č. 101/2000 Sb.
Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabývá účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.
Netýká se některý ze změněných předpisů právě Vás? Zpracovali jsme jejich seznam:
1. Trestní řád;
2. Občanský soudní řád;
3. Zákon o organizaci a provádění sociálního zabezpečení;
4. Notářský řád;
5. Zákon o Vězeňské službě a justiční stráži České republiky;
6. Zákon o České národní bance;
7. Zákon o stavebním spoření a státní podpoře stavebního spoření;
8. Zákon o Ústavním soudu;
9. Zákon o státním zastupitelství;
10. Zákon o Rejstříku trestů;
11. Zákon o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu;
12. Zákon o advokacii;
13. Zákon o veřejném zdravotním pojištění;
14. Zákon o civilním letectví;
15. Zákon o svobodném přístupu k informacím;
16. Zákon o Probační a mediační službě;
17. Zákon o soudech a soudcích;
18. Soudní řád správní;
19. Zákon o podnikání na kapitálovém trhu;
20. Zákon o archivnictví a spisové službě;
21. Zákon o nemocenském pojištění ;
22. Zákon o výkonu zabezpečovací detence;
23. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu;
24. Zákon o Policii České republiky;
25. Daňový řád;
26. Zákon o Generální inspekci bezpečnostních sborů;
27. Zákon o doplňkovém penzijním spoření;
28. Zákon o Finanční správě České republiky;
29. Zákon o Celní správě České republiky;
30. Zákon o mezinárodní justiční spolupráci ve věcech trestních;
31. Zákon o Vojenské policii;
32. Zákon o kybernetické bezpečnosti;
33. Zákon o státní službě;
34. Zákon o ozdravných postupech a řešení krize na finančním trhu;
35. Zákon o hazardních hrách;
36. Zákon o centrální evidenci účtů;
37. Zákon o vysokých školách;
38. Zákon o evidenci obyvatel;
39. Zákon o zdravotních službách.
Co se ještě událo v ochraně osobních údajů?
Kromě dalších udělených pokut, z nichž pro nás nejzajímavější jsou ty, jež udělil český Úřad pro ochranu osobních údajů, stojí za zmínku nečekané rozhodnutí německého soudu, který potvrdil závěr místního orgánu pro ochranu osobních údajů.
Ze závěrů dolnosaského soudu vyplývá, že správce údajů (právnická osoba) porušil ustanovení Obecného nařízení, když ve služebních vozech používal GPS zařízení, a to i přesto, že zaměstnanci byli o této skutečnosti informováni. Co je správci vytýkáno je fakt, že nebyli informováni potažmo nedali souhlas k tomu, že vozidla budou sledována i mimo pracovní dobu.
Výše pokut, jež ÚOOÚ udělil za porušení GDPR k 20. 3. 2019
1. 10.000,- Kč
2. 30.000,- Kč
3. 15.000,- Kč
4. 30.000,- Kč
5. 10.000,- Kč
6. 20.000,- Kč
GDPR neprávem u ledu, ale to se změní
Obecné nařízení o ochraně osobních údajů neboli GDPR je zde s námi již několik měsíců. Správci a zpracovatelé osobních údajů, kteří se rozhodli implementovat jej do své praxe, už většinu potřebných kroků učinili. Ti, kteří se rozhodli GDPR nezabývat, ho zatím bez následků dále úspěšně ignorují. Důvod je jasný…
Chybí nám adaptační zákon o zpracování osobních údajů, který byl minulý týden Senátem vrácen Poslanecké sněmovně s pozměňovacími návrhy. Než bude přijat, nemusíme se žádných sankcí obávat. Ale to jen u nás je téma GDPR opomíjeno. V zahraničí se kolotoč dávno rozjel.
Horkou zprávou ledna bylo, že francouzský úřad udělil společnosti Google pokutu ve výši 50 mil. EUR za nedostatečné informování uživatelů o účelu zpracování osobních údajů. Více…
Teď se pozornost zaměří na poskytovatele streamovacích služeb Amazon Prime, Apple Music, Netfix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Více…
Další kauzy budou následovat. Říkáte si, že to jsou velké ryby, že nás se to netýká? Ale týká. Pokuty se udělují i menším, lokálním organizacím. Jen se o tom tolik nepíše…
I v České republice už proběhly kontroly ze strany Úřadu pro ochranu osobních údajů. Většina jich byla provedena na základě podnětu. Úřad kontroloval například půjčovnu automobilů, oprávněnost instalace kamerového systému před toaletami v obchodním centru, webovou aplikaci insolvenčního rejstříku nebo zabezpečení osobních údajů zpracovávaných v souvislosti s provozováním online hry. A závěry? Tam, kde úřad konstatoval porušení, uložil nápravná opatření a zahájil řízení o přestupku. Více…
Opravdu není radno GDPR zanedbávat!
Naše společnost realizovala několik desítek implementací Nařízení v různém rozsahu od minimalistické verze čítající jen nevyhnutelné kroky až po komplexní zavedení včetně školení odpovědných pracovníků. Tam, kde již bylo GDPR implementováno, nyní realizujeme interní audity.
Ať už se jedná o individuální podnikatelé, menší či větší s.r.o. či a.s. nebo veřejné subjekty školství a státní správy, všude se vyskytují v podstatě shodné chyby a nedostatky.
 |
Organizace nevedou záznamy zpracování osobních údajů nebo nevedou tyto záznamy pro všechna zpracování osobních údajů. |
|
Zaměstnanci nezískali povinné informace o osobních údajích, které o nich organizace zpracovávají. |
|
Subjektům údajů nejsou poskytovány povinné informace o osobních údajích, jež o nich organizace zpracovávají. |
|
Nebyl zveřejněn kontakt na pověřence v případech, kdy má organizace povinnost pověřence jmenovat. |
|
Organizace nedisponují souhlasy se zpracováním osobních údajů pro účely dotačních projektů. |
|
Organizace nedisponují platnými souhlasy se zpracováním fotografií pro marketingové účely (například fotografie na webu). |
|
Zpracovatelské smlouvy neprošly revizí, neobsahují záruky zavedení vhodných technických a organizačních opatření splňující požadavky GDPR. |
|
Do prostor s uloženými osobními údaji je umožněn samostatný přístup neoprávněným osobám (například pracovníkům úklidu). |
|
Dokumenty s osobními údaji jsou nedostatečně chráněny (absence hesel nebo sdílená hesla, fyzická dokumentace je volně přístupná, nezamykají se skříně s uloženými dokumenty). |
|
Pracovníci přicházející do styku se subjekty údajů nejsou seznámeni s postupem pro přijetí požadavku subjektu údajů. |
Vydány nové normy – změny v oblasti BOZP, QMS
 |
ČSN ISO 45001:2018 Systémy managementu bezpečnosti a ochrany zdraví při práci – Požadavky s návodem k použití |
V návaznosti na vydání nové mezinárodní normy ISO 45001 Occupational health and safety management systems – Requirements with guidance for use (Systémy managementu bezpečnosti a ochrany zdraví při práci – Požadavky s návodem k použití), která byla zveřejněna 12. března 2018, byla nyní zveřejněna česká verze této normy ČSN ISO 45001:2018.
Norma nahrazuje stávající normu ČSN OHSAS 18001:2008.
Norma ČSN ISO 45001:2018 používá stejnou (HLS) strukturu, použitou již v normách ISO 9001, ISO 14001 a ISO 27001. Tato struktura usnadňuje implementaci a integraci jednotlivých norem do systémů managementu organizací. Nová norma vychází ze společných prvků, které využívají ostatní ISO normy pro systémy managementu a používá jednoduchý model Plan-Do-Check-Act (PDCA).
Od 12. března 2018 (datum vydání normy ISO 45001) začíná běžet přechodové období 3 let pro přechod na novou normu ČSN ISO 45001:2018. Stávající certifikáty vydané dle ČSN OHSAS 18001:2008 budou platné maximálně do 12. 3. 2021. (12. 3. 2021 je ukončeno přechodové období pro přechod na novou normu) i v případě, že na stávajícím certifikátu je uvedeno datum pozdější.
 |
ČSN EN ISO 9004:2018 Management kvality – Kvalita organizace – Návod k dosažení udržitelného úspěchu |
Byla vydána tato podpůrná norma, která nahrazuje stávající normu ČSN EN ISO 9004:2010.
Norma poskytuje návod, který má sloužit jako podpora při dosahování trvale udržitelného úspěchu organizace. Poskytuje širší pohled na systémy managementu kvality než norma ČSN EN ISO 9001:2016 a podrobněji rozpracovává některá dílčí témata, jako například management znalostí a inovace. Součástí normy je i tabulka pro sebehodnocení organizace vzhledem k různým úrovním vyspělosti systému managementu kvality.
Norma je vydána převzetím originálu, tj. přetiskem anglické verze normy s doplněním národních informativních prvků.
Čtvrt roku s GDPR aneb žádný boom se nekoná
Nezdá se to, ale je tomu již čtvrt roku, co se celá Evropská unie včetně České republiky horečně připravovala na začátek účinnosti Obecného nařízení o ochraně osobních údajů (známé jako GDPR). První půle letošního roku byla plná obav, temných předpovědí a negativních názorů na tuto problematiku.
S odstupem času lze konstatovat, že po 25. květnu 2018 k žádné tragédii nedošlo. Země se točí dál, politici stále pletichaří a obyčejný lid se s novými pravidly srovnal. Na druhou stranu, nic není ideální. Co zajímavého se tedy u nás za poslední 3 měsíce v oblasti GDPR událo?
Adaptační zákon o zpracování osobních údajů je stále jen ve fázi návrhu.
Vláda předložila návrh zákona poslanecké sněmovně koncem března. Již tehdy bylo zřejmé, že se zákon nestihne projednat do stanoveného květnového termínu. Ani v srpnu na tom nejsme o moc lépe. Návrh zákona neprošel ani druhým čtením, neboť projednávání bylo na schůzi přerušeno a poslanci se krátce na to rozutekli na dovolenou. Návrh zákona se tedy opět na řadu dostane nejdříve v září.
Že nebyl zákon dosud přijat, nás v podstatě může nechat chladnými, protože podstata regulace ochrany osobních údajů je v Obecném nařízení. Navrhovaný zákon pouze upřesňuje některé vybrané případy zpracování osobních údajů, které GDPR připouští a nahradí dosavadní zákon o ochraně osobních údajů.
Jak to tak bývá, většina členských zemí EU své adaptační zákony stihly připravit. Kromě Česka mají zpoždění při přijímání národních norem Belgie, Bulharsko, Kypr, Řecko, Maďarsko, Litva a Slovinsko.
Úřad pro ochranu osobních údajů se nadále považuje za dozorový orgán, i když adaptační zákon nebyl dosud přijat.
Stále častěji se ozývají hlasy, že v ČR panuje jakési bezvládí, jelikož nový zákon o zpracování osobních údajů nebyl dosud přijat a tím nebyl stanoven dozorový úřad nad ochranou osobních údajů. V podobném duchu se vyjádřilo i MPSV ve své tiskové zprávě.
Proti těmto úvahám se však Úřad pro ochranu osobních údajů (ÚOOÚ) důrazně ohradil a trvá na tom, že dozorový úřad v ČR existuje a bude existovat i nadále. Je jím ÚOOÚ, který stejně jako všechny ostatní správní úřady v ČR nemá právní subjektivitu. Je pouhým souborem kompetencí, tudíž je lhostejné, který zákon jej zřizuje, zda zákon o ochraně osobních údajů nebo zákon o zpracování osobních údajů. Podstatná je jeho působnost. Nicméně sama předsedkyně ÚOOÚ Ivana Janů nedávno uvedla, že sankce úředníci nebudou dávat do doby, než bude adaptační zákon účinný.
Navzdory očekávání se se stížnostmi pytel neroztrhl.
ÚOOÚ aktuálně prověřuje několik případů úniků dat, které se týkají většího počtu osob, a spolupracuje s dalšími evropskými dozorovými úřady na řešení některých z nich. Úřad na svých stránkách rovněž uvádí, že od 25. května do druhé poloviny července obdržel téměř 650 stížností v souvislosti s Obecným nařízením o ochraně osobních údajů, což je zhruba trojnásobný nárůst ve srovnání se stejným obdobím loňského roku.
Dle sdělení Andrei Jelinek, předsedkyně nedávno zřízené Evropské rady pro ochranu údajů, byly na mezinárodní úrovni zaregistrovány stížnosti proti velkým institucím. Rakouský právník Max Schrems, dlouhodobý kritik toho, jak Facebook a Google nakládají s daty, podal žalobu právě na zmíněný Facebook, na jeho dvě společnosti Instagram a WhatsApp a jednu na Android, který patří Googlu. Společnosti Facebook i Google tak hrozí pokuta více než 3,5 miliard eur (každé).
GDPR mělo mimo jiné zamezit nevyžádaným obchodním sdělením a zprávám. To se zatím úplně nedaří.
S nástupem GDPR neustaly telefonáty s nabídkami zboží a služeb. Jak uvedl mluvčí ÚOOÚ Tomáš Paták část ze stížností na porušení nových pravidel tvoří oblast telemarketingu či praktiky při vyžadování souhlasu se zpracováním osobních údajů.
E-mailové schránky nejednoho z nás byly doslova zahlceny žádostmi o poskytnutí souhlasu ať už ze strany firem nebo i veřejných institucí. Bohužel zde došlo k nepochopení právního titulu souhlasu. V řadě běžných situací totiž souhlas vůbec potřeba není. Mnohdy se lze opřít o jiný právní titul například smluvní vztah se subjektem údajů, plnění právních povinností správce nebo oprávněný zájem správce a v těchto případech dokonce souhlas nesmí být vyžadován. Stále se nepodařilo vyvrátit mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy se zpracováním osobních údajů vyřešeny.
Zpravodajský server U.S. News and World Report ve svém článku o GDPR uvádí, že přestože mnozí odborníci tvrdí, že může trvat několik let, dokud nebudou schopni posoudit účinnost GDPR, většina věří, že se nakonec podaří vrátit soukromí zpět jejich vlastníkům.
Kostky byly vrženy a první nárazovou vlnu máme za sebou. Teď bude záležet na přístupu občanů, podnikatelů, úřadů i institucí.