Search
Generic filters
Exact matches only
Filter by Custom Post Type
Zkuste vyhledat např.   Gramatika, Čeština, Pravopis

Kdy a jak se slaví svátek Den ochrany osobních údajů?

Hello 0

Za ustanovení osobních údajů jakožto údajů soukromých / osobních by měl být rád každý nás. Každoroční připomínka Dne ochrany osobních údajů je v naší elektronické době naprosto nutná. Pro současné informační a komunikační technologie jsou osobní údaje a informace o nás základními stavebními kameny. Lidé jako účastníci komunikace, ale i ti, jichž se důsledky této komunikace týkají (mnohdy negativně), mají na základě ústavně zakotveného práva na soukromí a ochranu osobních údajů možnost se nejen chránit, ale i bránit za podpory nezávislých institucí, kterými jsou Úřad pro ochranu osobních údajů a soudy

Kdy se slaví Den ochrany osobních údajů?

Tento den se slaví dne osmadvacátého ledna (28.1.).

Historie vzniku – proč se slaví Den ochrany osobních údajů?

Právě před 38 lety, 28. ledna 1981, přijala ve Štrasburku Rada Evropy tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů. Na počest této události slaví Evropa od roku 2007 Den ochrany osobních údajů. Cílem této úmluvy, ze které se později v ČR ustanovil Zákon o ochraně osobních údajů má jasný cíl, a to zaručit každé osobě, na území kterékoliv smluvní strany, bez ohledu na její národnosti či místo jejího pobytu, právo na soukromý život. V ČR dohlíží na naplnění ustanovení Zákona o ochraně osobních údajů Úřad na ochranu osobních údajů a může se na něj obrátit kterýkoliv občan, pokud má podezření, že jsou jeho práva na soukromí omezena či je nevhodně zacházeno s jeho osobními údaji.

Právě na tento dokument navázaly specializované zákony na ochranu osobních údajů i obecné nařízení (GDPR), které lépe odpovídá nadnárodnímu rámci ochrany osobních údajů a mezinárodní spolupráci, jehož jádro tvoří Evropská unie a k němuž se řada dalších států přibližuje.

Jak probíhají oslavy na Den ochrany osobních údajů?

U nás v ČR si tento den připomíná hlavně úřad Úřad pro ochranu osobních údajů, který při této příležitosti pořádá například přednáškové turné, krajské úřady pořádají přednášky, prezentace a diskuse na téma ochrany osobních údajů. V rámci ČR se do oslavy dne zapojily také vytipované střední školy v krajských městech, kde přednášející mluvili o tématu ochrany osobních údajů se studenty a učiteli. Již tradičně vyhlašuje Úřad pro ochranu osobních údajů soutěž pro děti a mládež „Moje soukromí! Nekoukat, nešťourat!“.

GDPR (General Data Protection Regulation)

Dne 25.5.2018 vstoupilo v platnost nové Obecné nařízení o ochraně osobních údajů, ke jemuž se zažila zkratka GDPR (General Data Protection Regulation), je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

Přijato bylo ještě o dva roky dříve, na jaře roku 2016, takže všechny organizace měly poměrně dost času na to, aby se novým pravidlům a postupům pro zpracování osobních dat připravily. Ale jak je vidno ze samotné praxe, tak na to malé a střední firmy dost kašlou. Velké jsou naopak tím snadným terčem pro podobné úřady.

Vznik GDPR v té době výrazně změnil pravidla zpracování osobních údajů a mělo sloužit také ke zvýšení ochrany osobních údajů jednotlivých subjektů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů (GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu).

GDPR však zavedlo také celou řadu nových procesů a institutů, které měly organizacím napomoci k dosažení souladu s danými pravidly, jako například posouzení dopadu do ochrany osobních údajů (data protection impact assessment), vedení záznamů o zpracování, řízení porušení zabezpečení dat či jmenování pověřence pro ochranu osobních údajů.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

V ČR dohlíží na naplnění ustanovení Zákona o ochraně osobních údajů Úřad na ochranu osobních údajů a může se na něj obrátit kterýkoliv občan, pokud má podezření, že jsou jeho práva na soukromí omezena či je nevhodně zacházeno s jeho osobními údaji.

Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracovávání osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty.

GDPR je v celé EU jednotně účinné od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Nový zákon o ochraně osobních údajů bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

To, že nová pravidla byla přijata formou evropského nařízení, znamená především jejich jednotnou platnost ve všech státech EU, aby  je národní vlády a zákonodárci nemohli jakkoli ohýbat a přizpůsobovat místním zájmům nebo lobbistům.

Období od dubna 2016, kdy bylo GDPR schváleno, do května 2018, kdy začalo být účinné, bylo určeno k důkladné přípravě. Během této doby museli všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji. Během tohoto období museli přijmout jednotlivé státy EU prováděcí zákon, jímž upřesní více než padesát bodů, které GDPR svěřuje do jejich národní pravomoci.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB).

Společně se zavedením GDPR byly uvedeny v platnost také astronomické pokuty za porušování pravidel.

Jaké sankce hrozí firmám, které budou GDPR ignorovat

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Podle GDPR, které je přímo účinné ve všech členských státech Evropské unie, lze za porušení především procesních nástrojů (posouzení dopadu, jmenování pověřence, řízení incidentů atd.) uložit pokut až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší) a její výše závisí na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

V případě porušení základních pravidel a povinností pro zpracování dat, např. stanovení rozsahu, doby uchování, právního titulu ke zpracování nebo vyřizování podnětů dotčených osob (právo na přístup, právo na výmaz apod.) pak dotčené organizaci hrozí pokut až do výše 20 milionů EURO nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která z těchto hodnota je vyšší.

Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR. Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry a reputačním rizikům způsobeným nesprávným zacházením s osobními údaji.

A jak tomu je u nás? Podle předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů, bylo možné za příslušné delikty, například zpracování osobních údajů bez právního důvodu, jejich špatné zabezpečení atd., uložit pokutu do výše 10 milionů korun. Úřad pro ochranu osobních údajů se za 18 let účinnosti tohoto zákona k horní hranici sankce nepřiblížil. Nejvyšší pokuty, které podle starého zákona uložil, se pohybovaly v rozmezí 2-3 milionů korun.

Druhá věc je však samotné vymáhání, respektive uplatňování těchto pokut v praxi – schválně se zkuste zamyslet, jestli o nějakém subjektu z ČR víte. Asi vás nenapadne ani jedna. Je to nejspíše proto, že se tolik obávané hrozby drastických a likvidačních pokut za prohřešky pro případné viníky zkrátka nikde neprojevily. I ty největší hříšníky zatím přišly tyto pokuty „jen“ na stovky tisíc korun (pokud se bavíme o situaci v ČR).

V čem organizace při aplikaci GDPR v praxi nejčastěji chybují?

To si můžeme ukázat na několika známých případech, ze kterých je jasně zřetelné v čem organizace při aplikaci GDPR v praxi chybují, resp. jaké případy porušení považují evropské dozorové úřady za nejvážnější.

Řada evropských dozorových úřadů ale již v minulosti neváhala a sáhla k nebývale vysoké pokutě.

Doposud nejvyšší pokuta byla udělena francouzským úřadem CNIL v lednu 2019, která dosahovala 50 milionů EU (cca 1,3 miliardy korun) a nedostal ji nikdo jiný, než Google – což je jedna z firem, na kterou měla být podobná opatření mířena asi především. 🙂

Spousta vlastníků webů neoslovuje inzerenty. Asi první zásadní chyba. Představa, že o váš web bude zájem jen tak a inzerenti vám budou chtít utrhat sami ruce, je naprosto mylná. Inzerenti se vám ozvou až v případě, že váš web bude mít nějakou historii, návštěvnost, bude se o něm mluvit atd. To nebude hned tak. Proto se...

Důvodem je podle úřadu pochybení při nakládání s osobními údaji uživatelů. Konkrétně hlavním problémem podle francouzského úřadu podmínky, ve kterých firma seznamuje své uživatele s podmínkami použití jejich osobních dat. Společnost Google podle francouzského úřadu CNIL porušuje GDPR ve dvou hlavních ohledech. Samotní uživatelé druhého nejpoužívanějšího mobilního operačního systému Android podle úřadu nemají dostatečně snadno dostupné informace o tom, jak firma s jejich osobními daty nakládá.

Dle CNIL se uživatel dostane až po několika krocích a musí vykonat kolem 6 akcí, aby se tyto stěžejní informace vůbec dozvěděl. Dle CNIL toto nastává například v případě, kdy se uživatel chce dostat ke kompletním informacím o tom, jak Google využívá jeho data k personalizaci nebo pro geolokační služby. Navíc podle CNIL nejsou dostatečně ani na této finální stránce, na kterou se uživatel pomalu ani sám nedokliká, zcela jasná a vyčerpávající. Jsou tak matoucí a samotný uživatel těmto informacím ani nemůže porozumět.

Google také podle CNIL nezískává od uživatelů Androidu dostatečný souhlas se zpracováním osobních údajů. Podle GDPR má být souhlas informovaný a jednoznačný, ani jednu podmínku ale Google podle úřadu nesplňuje. Informace o využívání dat k personalizaci reklam jsou podle rozhodnutí rozesety po několika dokumentech a uživatel si tak nemůže udělat přesnou představu o rozsahu používání svých osobních dat. Z podmínek podle úřadu není například jasné, že Google zpracovává data uživatele na řadě svých služeb (vyhledávání, YouTube, mapy, Google Play a další) a tím pádem uživatel nemusí chápat, o jak velký objem dat se jedná. Uživatelův souhlas podle CNIL není ani jednoznačný. Když uživatel na Androidu zakládá účet, nedostane hned možnost upravit možnosti zobrazování personalizovaných reklam. Nastavení jsou dostupná až po kliknutí na tlačítko Více možností a souhlas s využitím osobních dat je tu předem zaškrtnut, což podle úřadu požadavkům GDPR nevyhovuje. Aby byl souhlas uživatele jednoznačný, musel by uživatel možnosti sám aktivně zaškrtnout, říká CNIL. Pokutu ve výši 50 milionů eur pak úřad vysvětluje jednak tím, že prohřešky podle něj závažně porušují základní zásady GDPR, a také tím, že jde o dlouhodobé porušování pravidel, které pokračuje až do těchto dní.

Dalším známým příkladem aplikace pokut za porušení pravidel GDPR patří únik osobních údajů u aerolinek British Airways.

Těm unikly v roce 2018 osobní údaje více než 400 000 jejich klientů. Případ byl o to závažnější, že se dostaly ven také údaje o karetních datech jejich klientů. Britský dozorový úřad na základě toho případu původně avizoval, že může uložit pokut až do výše 183 milionů britských liber (téměř 5,5 miliardy korun), ale po následném složitém vyjednávání se britskými aerolinkami dohodnul na uložení pokuty ve výši 20 milionů liber (cca 600 milionů korun).

Dalším hříšníkem se stala oděvní gigant H&M, které hamburský úřad na ochranu dat uložil pokutu ve výši 35,3 milionů EUR (zhruba 950 milionů korun) za protiprávní zpracování osobních údajů zaměstnanců.

V celém případu šlo o to, že společnost H&M zpracovávala osobní údaje svých zaměstnanců, a to ve velmi velkém rozsahu.

Vedoucí management zmíněného servisního střediska sbíral informace o osobním životě svých zaměstnanců, a to včetně citlivých osobních údajů. Management tak například pořádal pohovory se zaměstnanci, kteří se vraceli z dovolených a požadoval po nich informace o tom, co na dovolené dělali, s kým se setkali nebo zda pociťovali symptomy nějaké nemoci. Tato praxe pak probíhala minimálně již od roku 2014. O těchto a dalších údajích, které management od zaměstnanců získal, se následně vedly velmi rozsáhlé a podrobné záznamy. Společnost tak měla díky těmto záznamům přehled o osobním životě zaměstnanců, včetně jejich rodinných příslušníků. Tyto informace pak byly uchovávány za účelem sledování vývoje v životě zaměstnanců, vyhodnocování individuálních pracovních výkonů atd. Profil zaměstnance byl také využíván pro jeho další potenciální pracovní zařazení.

Tyto záznamy pak byly sdíleny napříč společností. Přístup k nim mělo využít více než 50 manažerů. Zajímavá je i okolnost, která přispěla k odhalení této praxe: v roce 2019 byly v důsledku technické chyby tyto detailní informace na několik hodin zpřístupněny v rámci firemní sítě. Na toto monitorování ze strany H&M se tak vlastně přišlo čirou náhodou, kdy byly z důvodu konfigurační chyby tyto osobní údaje zpřístupněny na několik hodin napříč celou společností (v rámci firemní intranetové sítě). Není překvapivé, že dozorový úřad, který tuto věc řešil, vyhodnotil celou situaci jako obzvlášť intenzivní zásah do osobnostních práv zaměstnanců a nakonec se na základě všech okolností rozhodl udělit velmi vysokou pokutu, která je tak druhou nejvyšší udělenou finanční sankcí za porušení Nařízení GDPR v rámci celé Evropské unie. Úřad vzal nicméně v potaz, že společnost H&M v rámci šetření celé věci spolupracovala a dále že ze své vlastní iniciativy navrhla dotčené zaměstnance finančně kompenzovat, přičemž dále přistoupila k vytvoření celé řady nových pravidel pro zpracování osobních údajů, aby k podobným situacím již nedocházelo.

Kromě základních pravidel, jako je zákonnost a přiměřenost zpracování osobních údajů či jejich zabezpečení, je dalším velkým tématem výkon práv dotčených osob, například práva na přístup, na opravu či na výmaz osobních údajů. To by se dalo ilustrovat na příkladu nizozemského dozorového orgánu DPA (De Autoriteit Persoonsgegevens, který někdy bývá označovaný jen jako AP), který uložil provozovateli úvěrového registru pokutu ve výši 830 000 EUR (cca 23 milionů korun) za to, že dotčeným osobám komplikoval výkon jejich práv. Provozovatel tohoto úvěrového serveru  zpoplatnil přístup zasílání elektronické kopie dat, které o subjektech a jejich osobních údajích zpracovával (v tomto případě se jednalo o data obsahující všechny podklady k jejich kreditnímu skóre, které se používá právě jako jeden z faktorů při schvalování či zamítnutí úvěru).

Informace mohly subjekty získat pouze v papírové podobě a pouze jen jednou ročně. Tento postup byl podle nizozemského úřadu DPA zjevně v rozporu s GDPR, které naopak správcům údajům ukládá povinnost výkon práv subjektu údajů v maximální možné míře usnadňovat a účtovat si v takovém případně pouze skutečně vynaložené náklady.

Na řekněme příliš vstřícný přístup při vyřizování požadavků subjektu údajů na přístup k datům zase doplatil německý telekomunikační operátor 1&1 Telecom GmbH, ketrý si nastavil související proces tak, že postačilo, aby kdokoliv zavolal na jeho informační linku, uvedl jméno a datum narození klienta a bez jakéhokoliv dalšího ověření bylo možné získat poměrně detailní a citlivá klientská data o vaší soukromé osobě. Asi je všem jasné, že přesně takto to fakt vypadat nemá, a proto německý federální úřad tuto přehnanou vstřícnost ocenil pokutou 9,5 milionů EUR (cca 260 milionů korun).

Hodně podobný problém, který je běžný v našich končinách a kterému se ÚOOÚ až tak moc zatím nevěnuje, co se týče pokut (na můj vkus je jich velice málo a ty největší hříšníky zatím stále nikdo moc neřeší), řešil italský úřad DPA. Ten uložil telekomunikačnímu operátorovi Wind Tre SpA pokutu ve výši 17 000 000 EUR (cca 460 milionů korun) za porušení více pravidel při zpracování osobních údajů za marketingovými účely, jednalo se zejména o marketingové oslovování uživatelů bez jejich souhlasu a bez možnosti, jak snadno další komunikaci zabránit (respektive jak se z ní odhlásit). Konkrétně se jednalo o nevyžádané hovory a SMS obsahující marketingové nebo obchodní sdělení. Dále bylo předmětem žaloby také zveřejnění kontaktních údajů ve veřejných telefonních seznamech, ačkoliv k tomu jednotliví zákazníci nedali souhlas.

Za marketingovou komunikaci zasílanou v rozporu s příslušnou regulací uložil na naše poměry vysokou pokutu i český Úřad pro ochranu osobních údajů. Nejmenovanému prodejci ojetých aut dal pokutu 6 milionů korun právě za spamování jeho zákazníků.

V tomto kontextu je jistě zajímavé zmínit i to, že správní soud nedávno potvrdil přístup Úřadu, který za šíření nevyžádaných obchodních sdělení nepostihuje jen toho, kdo spam fakticky rozesílá, ale i toho, kdo si od něj rozesílku objedná, pokud nezavede konkrétní a účinné postupy pro kontrolu toho, zda rozesílatel postupuje správně. Nestačí tedy jen více či méně vágní smluvní ujednání, ale skutečný proces založený na zhodnocení rizik a přijetí dostatečných opatření.

Další velká kauza byla v případě Airbnb (služba poskytující sdílený pronájem bydlení), které přiznalo únik dat svých uživatelů.

U Airbnb došlo technické chybě, na jejímž základě byly zpřístupněny osobní informace několika klientů této služby ostatním uživatelům. Konkrétně se mělo jednat o soukromé konverzace (chat zprávy) a na tuto chybu se přišlo až poté, co několik uživatelů Airbnb oznámilo na online fóru reddit.com, že se jim po přihlášení na Airbnb zobrazují osobní zprávy cizích lidí. Airbnb uvedlo, že věc byla rychle vyřešena a že doposud nebylo zjištěno jakékoliv zneužití chybně zveřejněných osobních údajů.

Dále Airbnb uvedlo, že se skutečně mělo jednat pouze o soukromé konverzace části uživatelů této služby, žádná další osobní data (informace o platbách apod.) nebyla předmětem tohoto úniku. Airbnb mělo tento únik následně dle dostupných informací samo nahlásit dozorovému evropskému úřadu (European Data Protection Supervisor).

Je jen otázka, zda bude Airbnb podrobeno vyšetřování, které může vyústit v případné uložení finanční pokuty. Zatím rok od nahlášení tohoto problému se na veřejnost žádné informace o pokutě této společnosti nedostaly.

Je zjevné, že vysoké pokuty za porušení GDPR a souvisejících předpisů jsou již běžnou praxí ve velké řadě evropských států.

Nejvyšší pokuty plynoucí z GDPR byly v evropských státech uděleny v následujících zemích: Itálie, Německo, Francie, Velká Británie, Španělsko a Švédsko. Ve vztahu k těmto zemím je možné hovořit o tom, že jejich regulátoři zaujali velice přísný postup. Na opačném pólu pak nalezneme Estonsko, Lichtenštejnsko, Island, Rakousko, Litvu a Lotyšsko, kde jsou pokuty nejnižší. V případě Estonska zatím v součtu pouhých 408 EUR. Zbylých šestnáct zemí, zahrnujících i Českou republiku, Slovensko či Polsko je pak přibližně uprostřed evropského žebříčku a regulátoři zde stále jen zkouší a učí se, kam až je možné zajít.

Co se týče nahlašování, tak nejvíce porušení osobních údajů (personal data breaches) bylo od účinnosti GDPR nahlášeno v Německu (více než 77 000 porušení) a Nizozemsku, následováno Velkou Británií, Dánskem, Irskem, Polskem, Švédskem a Finskem. Nejméně naopak v Lichtenštejnsku (pouhých 50 porušení), na Kypru, v Chorvatsku, Litvě a Lotyšsku. Opět je Česká republika s 1 031 případů přibližně v polovině spektra. Situace se trošku změní při přepočtení počtu porušení na počet obyvatel (resp. při indikaci počtu porušení na 100 000 obyvatel) – v tu chvíli je nejvíc porušení hlášeno v Dánsku, následně v Nizozemsku, Irsku, Slovinsku, Finsku a na Islandu. Česká republika patři mezi pět nejméně nahlašujících.

Jen ještě jedna zmínka na konec – byť asi důležitá – pokud se organizace působící v České republice podílí na přeshraničním zpracování osobních údajů, například je členem koncernu, jehož mateřská společnost sídlí v Německu, případnou kontrolu by vedl německý dozorový úřad.

Ty, jak jsme si výše na několika příkladech ukázali, se rozhodně nezdráhají sáhnout i k vysokým pokutám. A lze důvodně očekávat, že v případě závažných kontrolních zjištění se k nim připojí i náš ÚOOÚ. Investování do kontroly toho, jak daná organizace zpracovává osobní údaje a do případné nápravy nedostatků, se tedy jistě vyplatí. Protože to, že je to zatím pole neorané a že ÚOOÚ zatím nejde všem po krku, neznamená, že tomu tak nebude v budoucnu. 🙂

Jak se vyhnout pokutám?

Z nedávno zveřejněné studie DLA Piper vyplývá že mezi několik hlavních oblastí, kde správci osobních údajů nejčastěji chybují a kde je nutno dávat zvláštní pozor, patří:

  1. Transparentnost – je nutné mít zpracované kompletní, přesné a přehledné oznámení o ochraně osobních údajů a mít je se všemi potřebnými informacemi na jednom místě (viz případ Googlu výše).
  2. Právní základ – je nutné mít ke zpracování souhlas daného subjektu a tento souhlas evidovat (nejčastější špatná evidence záznamů o činnostech zpracovávání o činnostech zpracovávání). Není tedy kupříkladu jasné, kdo dal souhlas, kdy, z jaké IP – zkrátka, abyste to mohli doložit, že opravdu si nevymýšlíte a nejednáte protizákonně.
  3. Nedostatečná implementace zabezpečení – asi nejčastější problém spočívající ve špatném nebo nedostatečném zabezpečení dat, kdy by měla být podrobena v ideálním případě několikafaktorové ochraně. Nejčastější pokuty se pak týkají:
    1. Monitoringu administrátorských účtů (zkrátka má admin přístup neoprávněná osoba nebo osoby, které tyto přístupy s plnými právy ani nepotřebují a útočník se pak dostane ke všem datům skrze tento profil, který právě třeba nikdo nemonitoruje / nehlídá, zda nedošlo k nějaké podezřelé aktivitě).
    2. Monitoring přístupu do databází, které obsahují osobní údaje – souvisí s bodem výše. Je třeba monitorovat přístupy do databází, zda nedochází k jejich nenadálému vytěžování nebo abnormálnímu provozu.
    3. Šifrování osobních údajů – když už data někdo ukradne, šifrování zabezpečí, že budou tato data pro zloděje / útočníka nečitelná nebo nepoužitelná, dokud se mu nepodaří získat šifrovací klíč. Opět je to jedna z dalších vícefaktorových ochran, které mohou následky data leaku zcela zamezit.
    4. Použití vícefaktorové autentizace k předejití neoprávněnému přístupu – nejčastěji útočník jde směrem nejmenšího odporu. Tedy skrze nejslabší článek – kterým je a bude vždy uživatel. Pokud například dojde k tomu, že se vašemu zaměstnanci někdo nabourá do počítače a pokusí se přihlásit do systému, ve kterém spravujete osobní data například vašich klientů, může vícefaktorová autentizace například skrze mobilní kód či token zabránit nejhoršímu.
    5. Logování neúspěšných přihlášení – pokud se vám snaží systém někdo nabourat metodou bruteforce (zkoušení nejčastějších hesel apod.), mechanismus logující tato neúspěšná přihlášení pro vás může být také jedním z prvních varování. Stejně tak, když uvidíte, že u jednoho uživatele dochází k neustálému pokusu o přihlášení, můžete hned začít řešit danou příčinu (a třeba přijdete na to, že to není jen tím, že by se nepamatoval své heslo, ale má v počítači nainstalovaný nežádoucí software).
    6. Manuální kontrola zdrojových kódů – máme něco na webu, co nám sbírá data z formulářů, odchytává hesla apod. Také velice častá chyba, na kterou je někdy dosti složité přijít.
  4. Porušení zásady minimalizace dat a principů ukládání dat – jedním z dalších aspektů, který může být regulátorem pokutován, je zpracovávání příliš velkého množství dat (z nichž může být část i zcela zbytečná) a jejich ukládání na příliš dlouhou dobu, jelikož to zvyšuje riziko úniku. Zjednodušeně řečeno sbírejte jen ta data, který potřebujete k provozu a obsloužení zákazníka – nejenom, že tím ušetříte váš hardware, ale také v případě úniku dat to bude mít možná pro vás méně fatální následky. 🙂
  5. Nedostatečné zajištění přenosu osobních údajů do zahraničí (třetích zemí) – ve velkém množství případů vůbec neprobíhá kontrola, mapping a zhodnocení, nakolik takový přenos představuje ohrožení pro subjekty přenášených osobních údajů. Je nutné rovněž správně implementovat standardní smluvní doložky.
  •  
  •  
  • 1
  •  
  •  
  •  

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Ostatní uživatelé také četli:

Flash mob je poměrně mladý fenomén (údajně se první flash mob objevil v roce 2003). Hlavní myšlenkou je, že se prostřednictvím internetu domluví určitá skupinka lidí, která se následně setká na veřejném místě. Kdyby se pouze setkali, tak by na tom nebylo nic zajímavého, proto se setkají a vykonají nějakou neobvyklou činnost a následně se zase...

Pamatujte si, že azyl se píše vždycky jenom s písmenem z. Původ má v řeckém výrazu asylon, ale v českém jazykovém systému se slovo azyl už plně usadilo a přizpůsobilo se mu. Pravopis slova azyl vychází z české výslovnosti, ve které se vyslovuje azyl s písmenem z. Slovo je kompletně začleněné do českého jazyka, proto se i skloňuje podle standardních...

Ptáte se, jak se píše shora? Nebo ještě težší otázka – jak se píše ze shora? Jste tady správně. Obojí si v tomto článku vysvětlíme a ukážeme na příkladech. Správně je shoraI když při vyslovování slyšíte „z“, pamatujte, že jedinou správnou variantou je shora se „s“. Jedná se o příslovce, které vyjadřuje směr z vyššího místa...

Než se budeme bavit o tom, jestli se píše tiráda nebo tyráda, vysvětlíme si význam tohoto slova, protože ten spoustě lidí není jasný. A vy odteď budete jiní. 🙂 Význam slova tirádaCo to vlastně je tiráda? Bohužel má toto slovo více významů, které si musíme zapamatovat a z kontextu odvodit, o který případ se jedná.Nejčastěji...

Příslovečné spřežky vznikají z ustálených spojeních, u kterých se postupně spojí předložka a podstatné jméno. V tomto případě se však o příslovečnou spřežku nejedná, takže prozměnu je pravopisně špatně. Pravopisně správně je varianta „pro změnu“ – psáno zvlášť V tomto případě si můžeme také pomoci tím, že mezi předložku a podstatné jméno můžeme vložit další slovo. Tím vzniknou...

Výrazy žehlicí i žehlící jsou oba správně, ale každý má jiný význam, na který musíte při psaní pamatovat. Naštěstí tu mám opět pár příkladů ze života, díky kterým si to konečně zapamatujete. Správně je žehlicíŽehlicí s krátkým „i“ je účelovým přídavným jménem, které přibližuje podstatné jméno a popisuje funkčnost nějaké věci – upřesňuje, že je určená...

Je to tu zase. Záludné zdvojení souhlásek „-nn-“. Ale nezoufejte, není to tak složité, jak se na první pohled může zdát. Vysvětlíme si to na příkladech. Správně je pouze každodenní!Abychom si s tímto přídavným jménem hravě poradili, potřebujeme ho rozložit na jednotlivé části, ze kterých vzniklo. Jak to tedy je? Stačí, když identifikujeme základ slova „-den-“,...

Ubikace má dva základní významy. Ubikace může označovat společnou ubytovnu, nebo krytý prostor pro zvířata chovaná v zajetí. V obou případech je pravopisně správně pouze tvar ubikace! Přestože se v ubikaci ubytovává tato dvě slova nemají společný základ, proto není možné psát ve slově ubikace tvrdé „y“. Ubikace pochází pravděpodobně z italštiny, kde se nachází slovo ubicazione (= poloha),...

Leasing je určitá forma financování. Odborně by se dalo říct, že leasing je pronájem movitých nebo nemovitých investic za předem sjednané nájemné. V současné době je velice populární takzvaný operativní leasing. Pravopisně správně je leasing! Slovo leasing pochází z cizího jazyka, proto má pro český jazyk netypickou podobu. Je nutné si zapamatovat, že varianty lízing, lízink, či...
Načíst dalších 10 článků