Primárním cílem nařízení na ochranu osobních údajů, zkr. GDPR je ochrana občanů a jejich zájmů, nikoliv jen soukromí.
Ovšem kam toto nařízení za ten více jak rok od doby nabytí účinnosti dospělo, stojí minimálně za vážné zamyšlení.
Primárním cílem nařízení na ochranu osobních údajů, zkr. GDPR je ochrana občanů a jejich zájmů, nikoliv jen soukromí.
Ovšem kam toto nařízení za ten více jak rok od doby nabytí účinnosti dospělo, stojí minimálně za vážné zamyšlení.
Od jisté doby je třeba vždy počítat s tím, že veškeré informace, které poskytneme třetí straně, nebo nedej bože dokonce sami nahrajeme na nějakou sociální síť, mohou být následně zneužity.
A je naprosto naivní se domnívat, že nějaké nařízení typu GDPR či jiná regulace tomu může zabránit.
Chtělo by se mi použít známý slogan „Svět se zbláznil, držte se …“, ale nebylo by to přesné.
Bezpečností informací se profesionálně zabývám cca 20 let a mnohokrát jsem se divil nevědomosti lidí snižujících bezpečnost informací vedoucí i k úniku informací a nyní zažívám zdánlivý opak, kdy jakoby z důvodu vyšší bezpečnosti osobních údajů dochází k ohrožení dostupnosti služeb (to lze ještě chápat), ale občas i k ohrožení fyzické bezpečnosti lidí.
Zpracovávejte a uchovávejte jen nezbytně nutná data po nezbytně nutnou dobu.
Zpracovávejte jen nezbytně nutné informace, používejte je jen za účelem, za jakým jste je získali, chraňte je, aby jich nemohlo být zneužito, a odstraňte je v okamžiku, kdy už daný účel pomine.
Byť se blíží termín nabytí účinnosti GDPR, tak jsem zaznamenal, že stále dost malých a středních podnikatelů není připraveno a neprovedli dokonce ani základní analýzu toho, jaké osobní údaje a kde zpracovávají.
Někteří z nich, nemaje povinnost jmenovat DPO, se dokonce nechali slyšet, že to příliš řešit nebudou a nechají tomu vzhledem k vágní definici a spornému výkladu pojmu přiměřenosti bezpečnostních opatření volný průběh, a udělají jen to nejnutnější a ono to nějak dopadne.
Také vám váš DPO doporučuje šifrovat citlivé informace při přenosu přes internet a v úložišti?
Tak doporučení je to jistě chvályhodné, jenže problém je, že šifrování dat v úložišti vás v zásadě ochrání jen v jednom jediném případě, a to když vám někdo ukradne celý počítač anebo se ho zbavíte a nesmažete bezpečně data na něm uložená.
Zaměstnavatel je oprávněn monitorovat činnost zaměstnance i jeho elektronickou komunikaci.
Monitoring je možný a může být prováděn i bez souhlasu zaměstnance, protože jsou jím chráněny zájmy zaměstnavatele. Nicméně zaměstnanec musí být o rozsahu a způsobu kontroly informován.
Na tuto otázku je celkem jednoduchá odpověď. V okamžiku, kdy zaměstnanec nemá možnost volby.
Pokud zaměstnanec nemá možnost volby, tak je jeho souhlas zbytečný a je zde jiný právní titul, který zpravidla legalizuje zpracování jeho osobních údajů.
Od nařízení na ochranu osobních údajů si mnozí slibují, že díky vysokým sankcím, které organizacím hrozí v případě, že nesplní požadavky v něm uvedené, bude v jejich zájmu jednat v souladu s těmito požadavky.
Můžeme jen doufat, že ve většině případů tomu tak skutečně bude, ovšem můžeme o tom i celkem úspěšně pochybovat.
Bez ohledu na rozsáhlost zpracování a zisk musí organizace, pokud chce být v souladu s nařízením GDPR, přijmout určitá bezpečnostní opatření organizační a technické povahy.
Pravděpodobnost hrozby, míra zranitelnosti, velikost dopadu a tudíž i riziko však v případě všech organizací zpracovávajících osobní údaje není stejně velké.