GDPR: nařízení na ochranu osobních údajů deformuje trh

Bez ohledu na rozsáhlost zpracování a zisk musí organizace, pokud chce být v souladu s nařízením GDPR, přijmout určitá bezpečnostní opatření organizační a technické povahy.

Pravděpodobnost hrozby, míra zranitelnosti, velikost dopadu a tudíž i riziko však v případě všech organizací zpracovávajících osobní údaje není stejně velké.

Rubrika: Bezpečnost
celý článek

GDPR: Povinnost, oprávněný zájem anebo souhlas?

Nejlépe na tom jste, když musíte zpracovávat osobní údaje přímo ze zákona, poté když je zpracování těchto údajů nezbytné pro váš business, a v neposlední řadě když máte souhlas klienta.

Souhlas klienta je vůbec nejproblematičtější, protože může být klientem kdykoliv odvolán.

Rubrika: Bezpečnost
celý článek

GDPR: Co je to osobní údaj

V minulém příspěvku jsem se pokusil stručně shrnout o čem obecné nařízení o ochraně osobních údajů je.

V tomto příspěvku bych se chtěl zamyslet nad tím, co všechno je považováno za osobní údaje. GDPR to samozřejmě nijak exaktně, stejně, jako jiné důležité pojmy, nedefinuje, jak jinak.

Rubrika: Bezpečnost
celý článek

GDPR: Jaká bezpečnostní opatření organizační a technické povahy byste měli zavést

GDPR požaduje, aby za účelem zajištění ochrany informací byla přijata odpovídající bezpečnostní opatření organizační a technické povahy, neuvádí však, která by to měla být.

A to je zásadní problém, protože ďábel GDPR tkví právě v těchto nejasných a vágních definicích.

Rubrika: Bezpečnost
celý článek

GDPR: Otevírá se obrovský prostor pro vyřizování si osobních účtů?

Výše sankcí za nesplnění požadavků jest vysoká. Údajně by měla motivovat dotčené subjekty k tomu, aby braly ochranu osobních údajů vážně.

Nabízí se však otázka, zda této skutečnosti nebude spíš využíváno k vyřizování si osobních účtů mezi zaměstnanci a zaměstnavatelem a dále pak ze strany konkurence k jejímu poškození.

Rubrika: Bezpečnost
celý článek

GDPR: Co je to rozsáhlé zpracování

Problém je, že GDPR vůbec nedefinuje, co přesně se rozumí oním rozsáhlým zpracováním.

Z uváděných příkladů však lze odvodit, že pokud zpracováváte osobní údaje o méně než několika jednotkách tisíc občanů, tak se o rozsáhlé zpracování nejedná, a nemusíte tak jmenovat DPO.

Rubrika: Bezpečnost
celý článek

GDPR: Pozor na to, koho si zvolíte jako pověřence pro ochranu osobních údajů

GDPR požaduje, aby subjekt, který provádí rozsáhlé zpracování osobních údajů, jmenoval tzv. pověřence pro ochranu osobních údajů (Data Protection Officer, zkr. DPO).

A pokud daný subjekt DPO nejmenuje, byť správně měl, tak za to může dostat pokutu. Bez ohledu na skutečnost, zda měl či neměl implementována příslušná bezpečnostní opatření.

Rubrika: Bezpečnost
celý článek

Jak se snadno vypořádat s požadavky GDPR

Nevím, proč se z toho dělá taková věda. Přijde mi to, jako kdyby doteďka nikdo osobní data svých klientů nechránil, ignoroval požadavky Zákona 101 a čekal jen na nějaké nařízení z EU.

Schválně se podívejte na převodní tabulku mezi Zákonem 101 a GDPR, kterou vydal ÚOOÚ. Vidíte někde v prostředním sloupci písmeno „X“?

Rubrika: Bezpečnost
celý článek

GDPR: problematický souhlas se zpracováním osobních údajů

V minulém příspěvku jsem se pokusil stručně shrnout, o čem je obecné nařízení o ochraně osobních údajů.

V tomto příspěvku bych se chtěl zamyslet nad naplněním požadavku, který vyžaduje souhlas se zpracováním osobních údajů.

Rubrika: Bezpečnost
celý článek

GDPR: Obecné nařízení o ochraně osobních údajů

EU vydala Obecné nařízení o ochraně osobních údajů, které čítá několik desítek stran, na kterých poměrně dlouze rozvádí, proč se rozhodla toto nařízení vydat a co si od něho slibuje.

Toto nařízení by mělo vstoupit v platnost v 25. května 2018 a nahradit zákon 101/2000Sb. O ochraně osobních údajů a směrnici EU 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Rubrika: Bezpečnost
celý článek