Posts Tagged ‘osobní data’
Vztah správce a zpracovatele při zpracování osobních údajů
Při některých úkonech zpracování osobních úkonů může správce využít služeb jiného subjektu – zpracovatele. Správce by měl vždy využívat služeb takového zpracovatele, který je schopen poskytnout dostatečné záruky technických a organizačních opatření, tak aby byla zajištěna ochrana zpracovávaných osobních údajů a práva subjektu údajů.
Zpracovatel v rámci činnosti pro správce může provádět pouze takové zpracovatelské operace, kterými jej správce pověřil, nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
Vztah mezi správcem a zpracovatelem osobních údajů musí být ošetřen smluvně. Smlouva musí obsahovat dobu trvání zpracovávání osobních údajů, předmět a účel zpracování, typ osobních údajů a povinnosti a práva správce i zpracovatele.
Uzavřením smlouvy se zpracovatelem se správce nezbavuje odpovědnosti za zpracování osobních údajů.
V případě porušení zabezpečení osobních údajů musí správce nahlásit na ÚOOÚ do 72 hodin od okamžiku zjištění možnost rizika pro subjekt údajů. Kdežto zpracovatel je povinen porušení neprodleně nahlásit správci a ne na ÚOOÚ.
Každý správce i zpracovatel osobních údajů by měl mít jasno o svých právech a povinnostech. Určitě se vyplatí požádat o radu zkušené odborníky. Jak nakládat s osobními údaji a zajistit smluvní vztah mezi správcem a zpracovatelem poradí proškolení pracovníci ze společnosti ANERI s.r.o. v Liberci.
http://dataosobni.cz/2018/11/22/vztah-spravce-a-zpracovatele-pri-zpracovani-osobnich-udaju/
Zabezpečení elektronických dokumentů s osobními údaji
Osobní údaje v počítačích a ostatních elektronických zařízeních musí být zabezpečeny tak, aby byl k těmto datům znemožněn přístup neoprávněným osobám.
Přístup k osobním údajům v počítači může mít vždy pouze pracovník pověřený s danými údaji pracovat. Přístup k údajům by měl být zabezpečen na základě správně zvoleného hesla. U velkých a složitých systémů je nutné zajistit elektronické záznamy, které umožní ověřit, kdo a kdy data s osobními údaji užíval.
Zabezpečení dat s osobními údaji musí být zajištěno i při jejich převážení. Např. nenechávat počítače či datové nosiče bez dozoru v autě.
Osobní údaje je nutné chránit i při jejich zasílání elektronickou poštou. Doporučuje se soubory s větším množstvím dat s osobními údaji nebo s citlivými osobními údaji zasílat šifrované.
Posílání prostých e-mailů používaných v běžné komunikaci s obchodním partnerem není dle vyjádření ÚOOÚ porušením zákona.
Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.
http://dataosobni.cz/2018/10/19/zabezpeceni-elektronickych-dokumentu-s-osobnimi-udaji/
Jak je to s osobními údaji vedenými ve veřejných rejstřících přístupných na internetu?
Na internetu lze v dostupných veřejných rejstřících najít řadu osobních údajů. Každé zpracování osobních údajů však musí mít podle nařízení GDPR určitý právní základ. Osobní údaje uvedené na internetu například v obchodním rejstříku nebo v katastru nemovitostí jsou zveřejněné ze zákonných důvodů – plnění právní povinnosti.
Zákonem stanovená veřejnost určitého rejstříku však neznamená, že v takovémto rejstříku zveřejněné osobní údaje lze dále neomezeně zpracovávat či distribuovat.
Pro každé zpracování osobních údajů musí mít správce podle nařízení GDPR určitý právní důvod. S osobními údaji povinně zveřejněnými ve veřejně přístupných rejstřících nelze jen tak nakládat. Veřejnost osobních údajů sama o sobě totiž neznamená možnost jejich dalšího neomezeného zpracovávání.
Problematika GDPR je velmi obsáhlá a implementace všech nových nařízení do firemních pravidel je pro řadu firem složitý proces. V případě nejasností se určitě vyplatí poradit s odborníky.
Odpovědnost správce osobních údajů dle GDPR
Nové nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů neboli GDPR přináší řadu změn zejména pro správce osobních údajů.
Správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí jejich shromažďování, zpracování a uchování. Pro zpracování osobních údajů musí mít správce právní důvod.
Správce je odpovědný za zabezpečení, správu a veškeré zpracování osobních údajů. Mezi základní povinnosti správce patří zavedení vhodných technických a organizačních opatření, aby zajistil a byl schopen doložit soulad s GDPR. Tato opatření musí revidovat a aktualizovat.
Správce je povinen nahlásit porušení zabezpečení osobních údajů na ÚOOÚ do 72 hodin od okamžiku, kdy se o tom dozví v případě, že incident bude mít za následek riziko pro subjekty údajů.
Na základě principu odpovědnosti musí být správce schopen doložit, že dodržuje zásady pro zpracování osobních údajů po celou dobu trvání zpracování a že zpracovává pouze ty údaje, které jsou nutné pro daný účel zpracování.
http://dataosobni.cz/2018/04/26/odpovednost-spravce-osobnich-udaju-dle-gdpr/
Jaké sankce hrozí firmám za ignorování GDPR
GDPR – nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů se týká všech firem, institucí i spolků, které shromažďují a zpracovávají osobní údaje osob.
Toto nařízení sjednocuje ochranu osobních údajů v celé Evropské unii. Přinese těsnější spolupráci dozorových orgánů a rovnocennou vymahatelnost práva. Srovnatelné budou i pokuty, které hrozí za nedodržování či ignoraci GDPR. Výše pokut se může vyšplhat až na 20 mil. Eur nebo 4% z celkového ročního obratu firmy.
Mimo správních pokut správcům a zpracovatelům osobních údajů hrozí žaloby podané fyzickými osobami s požadavkem na náhradu škody v případě hmotné i nehmotné újmy.
Výše pokut a případná ztráta důvěry může být pro řadu firem až likvidační. Určitě se tak vyplatí učinit nezbytné kroky a s osobními údaji pracovat v soulady s principy a povinnostmi vyplývajícími z GDPR.
http://dataosobni.cz/2018/03/16/jake-sankce-hrozi-firmam-za-ignorovani-gdpr/
Pověřenec pro ochranu osobních údajů – DPO
Od 25. 5. letošního roku vstupuje v platnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů neboli GDPR. Pro řadu firem a institucí tímto vzniká povinnost jmenovat tzv. Pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer).
Povinnost Pověřence jmenovat nastává v následujících případech:
- zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Pokud organizace nemá výslovnou povinnost jmenovat Pověřence a jmenuje jej dobrovolně, budou se na jeho jmenování, postavení a úkoly vztahovat stejné požadavky, jako kdyby bylo jmenování povinné.
Mezi hlavní úkoly DPO bude patřit monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, školení pracovníků, provádění interních auditů a celkové řízení agendy interní ochrany dat.
Pověřenec musí být snadno dostupný jak pro subjekty údajů, tak i pro dozorový úřad, což je v případě České republiky Úřad pro ochranu osobních údajů.
GDPR přináší řadu nových povinností pro všechny firmy a organizace zpracovávající osobní údaje.
Vzhledem k hrozícím pokutám nelze GDPR ignorovat. Menším a středním firmám a organizacím se určitě vyplatí využít zkušeností odborných firem nabízejících pomoc při zavádění GDPR. Jednou z takovýchto firem je společnost ANERI s.r.o. z Liberce. Odborně proškolení a certifikovaní pracovníci společnosti ANERI pomohou se zavedením potřebných opatření a zajistí průběžnou kontrolu plnění nařízení GDPR.
http://dataosobni.cz/zakladni-pojmy/