Quo vadis GDPR?

Primárním cílem nařízení na ochranu osobních údajů, zkr. GDPR je ochrana občanů a jejich zájmů, nikoliv jen soukromí.

Ovšem kam toto nařízení za ten více jak rok od doby nabytí účinnosti dospělo, stojí minimálně za vážné zamyšlení.

Štítky:
celý článek

GDPR: Co internet jednou schvátí, nikdy nenavrátí

Od jisté doby je třeba vždy počítat s tím, že veškeré informace, které poskytneme třetí straně, nebo nedej bože dokonce sami nahrajeme na nějakou sociální síť, mohou být následně zneužity.

A je naprosto naivní se domnívat, že nějaké nařízení typu GDPR či jiná regulace tomu může zabránit.

Štítky:
celý článek

GDPR jako vstupenka do blázince

Chtělo by se mi použít známý slogan „Svět se zbláznil, držte se …“, ale nebylo by to přesné.

Bezpečností informací se profesionálně zabývám cca 20 let a mnohokrát jsem se divil nevědomosti lidí snižujících bezpečnost informací vedoucí i k úniku informací a nyní zažívám zdánlivý opak, kdy jakoby z důvodu vyšší bezpečnosti osobních údajů dochází k ohrožení dostupnosti služeb (to lze ještě chápat), ale občas i k ohrožení fyzické bezpečnosti lidí.

Štítky:
celý článek

GDPR za pět minut dvanáct aneb k nařízení zaujměte naprosto pragmatický přístup

Zpracovávejte a uchovávejte jen nezbytně nutná data po nezbytně nutnou dobu.

Zpracovávejte jen nezbytně nutné informace, používejte je jen za účelem, za jakým jste je získali, chraňte je, aby jich nemohlo být zneužito, a odstraňte je v okamžiku, kdy už daný účel pomine.

Štítky:
celý článek

Proč někteří podnikatelé GDPR vůbec neřeší?

Byť se blíží termín nabytí účinnosti GDPR, tak jsem zaznamenal, že stále dost malých a středních podnikatelů není připraveno a neprovedli dokonce ani základní analýzu toho, jaké osobní údaje a kde zpracovávají.

Někteří z nich, nemaje povinnost jmenovat DPO, se dokonce nechali slyšet, že to příliš řešit nebudou a nechají tomu vzhledem k vágní definici a spornému výkladu pojmu přiměřenosti bezpečnostních opatření volný průběh, a udělají jen to nejnutnější a ono to nějak dopadne.

Štítky:
celý článek

GDPR: Šifrování vás před únikem citlivých informací a pokutou neochrání

Také vám váš DPO doporučuje šifrovat citlivé informace při přenosu přes internet a v úložišti?

Tak doporučení je to jistě chvályhodné, jenže problém je, že šifrování dat v úložišti vás v zásadě ochrání jen v jednom jediném případě, a to když vám někdo ukradne celý počítač anebo se ho zbavíte a nesmažete bezpečně data na něm uložená.

Štítky:
celý článek

GDPR: Monitoring činností zaměstnanců a jejich elektronické komunikace

Zaměstnavatel je oprávněn monitorovat činnost zaměstnance i jeho elektronickou komunikaci.

Monitoring je možný a může být prováděn i bez souhlasu zaměstnance, protože jsou jím chráněny zájmy zaměstnavatele. Nicméně zaměstnanec musí být o rozsahu a způsobu kontroly informován.

Štítky:
celý článek

GDPR: Kdy není potřeba souhlas ze strany zaměstnance se zpracováním osobních údajů?

Na tuto otázku je celkem jednoduchá odpověď. V okamžiku, kdy zaměstnanec nemá možnost volby.

Pokud zaměstnanec nemá možnost volby, tak je jeho souhlas zbytečný a je zde jiný právní titul, který zpravidla legalizuje zpracování jeho osobních údajů.

Štítky:
celý článek

GDPR: Proč ani vysoké sankce nemusí vést k včasnému informování o úniku osobních údajů?

Od nařízení na ochranu osobních údajů si mnozí slibují, že díky vysokým sankcím, které organizacím hrozí v případě, že nesplní požadavky v něm uvedené, bude v jejich zájmu jednat v souladu s těmito požadavky.

Můžeme jen doufat, že ve většině případů tomu tak skutečně bude, ovšem můžeme o tom i celkem úspěšně pochybovat.

Štítky:
celý článek

GDPR: nařízení na ochranu osobních údajů deformuje trh

Bez ohledu na rozsáhlost zpracování a zisk musí organizace, pokud chce být v souladu s nařízením GDPR, přijmout určitá bezpečnostní opatření organizační a technické povahy.

Pravděpodobnost hrozby, míra zranitelnosti, velikost dopadu a tudíž i riziko však v případě všech organizací zpracovávajících osobní údaje není stejně velké.

Štítky:
celý článek