Oblasti ochrany nápadu

Naši partneři
Ochranné známky
Doménový svět
Ochrana vynálezu a technického řešení
Autorskoprávní ochrana
Daňové povinnosti
Ochrana brandu
Zabezpečení a soulad s pravidly pro ochranu osobních údajů
Ochrana nápadu
Naši partneři Ochranné známky Doménový svět Ochrana vynálezu a technického řešení Autorskoprávní ochrana Daňové povinnosti Ochrana brandu Zabezpečení a soulad s pravidly pro ochranu osobních údajů
©2023 Ochrana nápadu. Všechna práva vyhrazena.

Zabezpečení a soulad s pravidly pro ochranu osobních údajů

Obrázek složené závorky

Stále velmi aktuálním tématem je nová koncepce ochrany dat, kterou přineslo Obecné nařízení o ochraně osobních údajů, známé jako GDPR (z anglického „General Data Protection Regulation“).

Odkaz na kompletní znění GDPR je zde k dispozici.

GDPR klade intenzivní důraz na podmínky udělení souhlasu se zpracování osobních údajů. Článek 4 stanovuje, že souhlas musí být:

  • Svobodný
  • Konkrétní
  • Informovaný
  • Jednoznačný
  • Odvolatelný projev vůle
Potřebuji poradit
Žlutý paragraf

Co je vlastně
osobní údaj?

Osobními údaji jsou veškeré informace, které samy o sobě nebo v kombinaci
s jinými informacemi vedou nebo mohou vést k jednoznačné identifikaci fyzické
osoby. Tedy jakákoliv informace týkající se určeného nebo určitelného subjektu
údajů.

Příkladem osobního údaje tedy může být:

  • jméno, adresa;
  • poloha, elektronický identifikátor;
  • zdravotní údaje;
  • příjem;
  • kulturní profil;
  • služební e-mail a telefon vedoucí k identifikaci osoby, apod.

Cílem nařízení GDPR je zamezit únikům a zneužití informací a tím více chránit
osobní údaje obyvatel EU před jejich zcizením a následným zneužitím. Celkově
se pak jedná o součást opatření, které podporuje kybernetickou bezpečnost.
Toto nařízení přináší celou řadu nových pravidel. Jejich platnost a dodržování
musí být správce schopen po dobu zpracování doložit, což může přinést
i administrativní zátěž.

01 / Koho se nařízení týká a jaké povinnosti GDPR zavádí?
  • Nařízení se týká všech subjektů, které pracují s osobními údaji jak svých zaměstnanců, tak klientů a zákazníků. Z toho vyplývá, že osobní údaje eviduje každá organizace a je povinna údaje zabezpečit a chránit. Na velikosti organizace nezáleží.
  • GDPR definuje celý souhrn opatření, které organizace musí zavést, aby splnila dané nároky:
    • zabezpečení organizačními a technickými prostředky veškerá zpracovávání osobních údajů, například pomocí vhodného šifrování a softwarové pseudonymizace osobních údajů (neboli skrytí identity);
    • rozšíření smluv se všemi zpracovateli osobních údajů o nově vyjmenované povinné náležitosti, uvedené v nařízení;
    • přijmout uvnitř organizací kontrolní mechanismy, ať již manuální nebo automatizované, zajišťující zákonné zpracovávání osobních údajů;
    • přijmout vnitropodnikové směrnice a postupy pro posuzování vlivů a ohlašování rizikových zpracovávání osobních údajů Úřadu pro ochranu osobních údajů;
    • zajistit pro organizaci tzv. pověřence ochrany osobních údajů (DPO — Data Protection Officer), speciálního pracovníka, který bude dohlížet nad zpracováváním osobních údajů a komunikací s Úřadem pro ochranu osobních údajů (hlášení úniků nebo pokusů o únik);
    • na základě žádosti zajistit fyzickým osobám:
      • možnost zjištění rozsahu a účelu evidence osobních údajů v dané organizaci;
      • umožnit přenositelnost osobních údajů poskytnutím jejich exportu ve strojově čitelném formátu;
      • tzv. „právo být zapomenut“, což znamená smazání všech osobních údajů, které organizace eviduje (pokud daný účel není podmíněn nadřízené legislativě).
  • Výše uvedená opatření lze zobecnit do těchto povinností:
    • povinnost provádět posouzení dopadu na ochranu osobních údajů;
    • povinnost vést záznamy o zpracováních osobních údajů;
    • povinnost ohlašovat případy narušení bezpečnosti;
    • povinnost jmenovat pověřence pro ochranu osobních údajů, DPO.
02 / Co je třeba udělat, jak GDPR uchopit?
  • Doporučujeme provést uvnitř podniku audit, v rámci kterého se ověří nebo případně odkryjí mezery ve zpracovávání osobních údajů, vyžadující aktualizaci podle nařízení. Odborníci v této oblasti poskytují komplexní služby týkající se revize a realizace jak organizační, tak technické části nařízení. Konkrétně se jedná o oblast těchto služeb:
    • Analýza směrnic a postupů nakládání s osobními údaji;
    • Inventura dat, analýza vstupních dat — výčet dat jaká se zpracovávají a kde jsou uložena. Analýza databází a systémů z pohledu jejich struktury (pseudonymizace) dat, šifrování, řízení přístupů, logování atd.;
    • Návrh opatření — definice pravidel nakládání s osobními údaji, a to jak z procesního hlediska edukace jednotlivých uživatelů, tak konfigurace pravidel ve stávajících systémech nebo zavedení nových. Aktualizace a tvorba nových směrnic, konfigurace přístupů a oprávnění, rekonfigurace systémů za účelem zavedení pseudonymizace dat (proces skrytí identity), šifrování, logování, reportování a dalších technických bezpečnostních opatření;
    • Realizace navržených opatření.
  • Ve většině případů to znamená revizi nebo zavedení klasifikace informací, obsahu a souvisejícího systému pro zabezpečení informací a prevenci jejich úniku:
    • zavedení metodiky třídění dokumentů dle stupně důvěrnosti (např. veřejné, interní, důvěrné, tajné apod.);
    • dle této metodiky je následně dodán systém a v něm konfigurována pravidla, podle kterých je možné s dokumenty zacházet — např. interní a důvěrné dokumenty nemohou opustit síť organizace, jsou šifrovány, je zamezena tvorba screenshotů, jejich nahrání na internet atd.;
    • zároveň vytváření automatizovaných notifikací a záznamů, pokud dojde k pokusu o porušení pravidel.
  • Kombinací výše uvedeného pomohou zajistit Pověřenci ochrany osobních údajů komplexní procesní nástroje:
    • pro evidenci a zpracování žádostí subjektů údajů o výpis, opravu, doplnění či likvidaci osobních údajů;
    • pro zaznamenávání zpracovávání osobních údajů;
    • pro automatizovanou tvorbu strojově čitelných exportů osobních údajů nebo pro reportování a vyhodnocování pokusů o zcizení osobních údajů.

Nevíte si rady?

Rádi pomůžeme váš nápad ochránit
Potřebuji poradit