Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Zbývá 400 dní: Nová ochrana osobních údajů podle EU - General Data Protection Regulation

19. 04. 2017 13:41:22
Globalizace a technologický rozvoj s sebou přinášejí nejen nové výzvy, ale také nová bezpečnostní rizika. Mezi tato rizika patří i problematika ochrany osobních údajů.

Podobné informace obsahuje i šestý bod vyhlášení Úředního věstníku Evropské unie, kterým EU přijímá „Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů)“. Celý tento dokument se nazývá General Data Protection Regulation (GDPR). Jde o velmi zásadní dokument, který bude mít dopad na všechny instituce, právnické osoby i podnikající fyzické osoby. V dubnu 2017 uplynul přesně rok od přijetí tohoto dokumentu - do jeho aplikace tedy zbývá pouze dvanáct měsíců.

Cílem GDPR je chránit „subjekt údajů“

Co vlastně GDPR znamená v praxi? Hlavním smyslem tohoto nařízení je chránit „subjekt údajů“, tedy toho, kdo poskytuje své osobní údaje. Nařízení hlídá, aby poskytnutí konkrétních údajů bylo odvolatelné. Tedy pokud řeknete/sdělíte/poskytnete někomu své telefonní číslo, tak abyste měl právo toto poskytnutí odvolat a dotyčný subjekt jej nemohl dále využívat. Nařízení se zaměřuje také na ochranu dětí, které neberou v úvahu důsledky, které mohou při poskytnutí údajů nastat. Počítá ale i s jednáním dospělých, kteří například neodolají reklamě, na základě které poskytnou své údaje, a nemyslí v ten okamžik na možná rizika.

Jakou úlohu hraje správce a zpracovatel dat

V rámci nařízení existují tři pojmy (ne zcela nové): „Správce dat“ a „zpracovatel dat“. Správcem dat je subjekt, který data shromažďuje pro nějaký účel. Typickým příkladem je sběr emailů pro zasílání novinek či registrace v eshopu za účelem nákupu apod. Zpracovatelem dat se myslí ten, kdo data zpracovává - kdo je ukládá, vyhledává v nich, třídí je nebo maže. Ve většině případů jde o správce počítačové sítě či provozovatele cloudového řešení. Třetím pojmem je „subjekt údajů“ - fyzická osoba, o které zpracovatel data sbírá a správce dat s nimi pracuje. Jedná se o všechny údaje, které identifikují nebo mohou identifikovat konkrétní fyzickou osobu např. i přes jiný subjekt – jiného zpracovatele či správce dat. Tedy např. jméno, příjmení, datum narození, věk, rodné číslo, pohlaví, osobní stav, fotografie, IP adresy zařízení, emailová adresa, bydliště, číslo klubové karty a další. Správce i zpracovatel pak musí být schopen věrohodně prokázat, že má od daného subjektu souhlas se zpracováním jeho dat. Také pak nesmí po subjektu požadovat data, která nejsou pro konkrétní účel nutná. Tedy nesmí po subjektu chtít např. jeho fotografii, jestliže se jedná např. o provedení rekonstrukce koupelny. A v neposlední řadě není možná ani přenositelnost takových souhlasů, tedy sdílení těchto dat.

Práva a povinnosti spojené s regulací pro ochranu osobních dat

Úplnou novinkou však je, že zpracovatel či správce dat musí subjektu na základě jeho žádosti umožnit přístup k datům (ideálně online), které jsou o něm zpracovávány. Navíc má subjekt právo na editaci/výmaz/úplné zapomenutí takových údajů nebo dokonce přenos údajů k jinému správci dat.

Další takovou novinkou je i zabezpečení dat. Organizace bude muset zřídit pozici Data Protection Officer (DPO), která bude zodpovědná za zabezpečení dat v organizaci. Mezi základní úlohy DPO bude patřit odpovědnost za samotné zabezpečení dat či kontrolu oprávnění přístupů k datům a reporting. Tato osoba by měla být interně nezávislá, aby mohla provádět interní audit. Bude odpovědná za eskalaci přestupků na příslušné úřady a samotné subjekty. Tato role je velmi podobná roli ISMS manažera, ale lehce rozšiřuje jeho povinnosti.

Firmám hrozí pokuty

Jednou ze známých věcí kolem GDPR jsou také pokuty. Jejich strop činí 20 mil. eur či 4 % z celkového ročního obratu firmy. V tomto případě bude záležet na tom, která částka bude vyšší. Pokuty budou záviset na klasifikaci dat, která unikla. Výhodu tak budou mít firmy, které mají zavedeno ISMS nebo ISO27001 a s klasifikací dat již pracují.

Jak se chránit proti krádeži dat

Samotná implementace ochrany dat může být pro řadu firem finančně velmi nákladná a následné pokuty mohou být až likvidační. Nabízí se tak otázka, v čem lze firmám nyní pomoci...? Z pohledu krádeže či ztráty dat může být určitou jistotou či prevencí cloud, ale samozřejmě ne ve všech případech. Budou nutné úpravy aplikací, ve kterých jsou údaje skladovány – počínaje právy, možnostmi nahlížení či editací dat konče. Ve spoustě případů může pomoci automatizace např. při sbírání dat nebo zasílání rekapitulací spravovaných dat daných subjektů.

Zatím se jedná o velmi stručné shrnutí této problematiky, kterou se dále budeme zabývat. Je potřeba např. objasnit, zda se tato informace týká všech organizací. V dalším příspěvku se můžete těšit na několik doporučení, jak se na GDPR připravit.

Autor: Jiří Jinger | středa 19.4.2017 13:41 | karma článku: 9.03 | přečteno: 528x

Další články blogera

Jiří Jinger

Cloud: flexibilita nad zlato ?

Podniky, které dnes musí zaměstnat třicet nových lidí, protože zrovna získaly nový projekt, je musí pozítří rychle propouštět, protože projekt byl zrušen. A situace se v bleděmodrém opakuje za dva měsíce. Jak na to?

1.8.2016 v 8:20 | Karma článku: 6.78 | Přečteno: 238 | Diskuse

Jiří Jinger

CLOUD: Spolehlivé zabezpečení firemních dat ? Já říkám ano !

Když se ohlédneme vývojem trhu IT, cloudové služby se v posledních letech proměnily v jedno z nejrychleji rostoucích odvětví.

25.7.2016 v 0:00 | Karma článku: 4.51 | Přečteno: 111 | Diskuse

Jiří Jinger

Poskytne privátní cloud lékaři více času na pacienta?

Pro řadu lékařů jsou IT technologie tak trochu černou můrou. Tuší, že, kdyby je více využívali, mohly by jim významně pomoci, ale bojí se změny a zejména komplikací, které by jim ubraly drahocenný čas.

18.8.2015 v 12:34 | Karma článku: 4.39 | Přečteno: 407 | Diskuse

Další články z rubriky Věda

Libor Čermák

Za tajemstvím červnových obrazců v obilí

Jaro pomalu končilo a s letním slunovratem se přiblížilo léto. A i toto období bylo zajímavé na výskyt tajuplných obrazců v obilí. O tom přináší informace moje další vydání svého agrosymbolového zpravodalství.

24.6.2017 v 15:46 | Karma článku: 11.62 | Přečteno: 328 |

Jita Splítková

Jejich malý svět

Ti dva pánové měli velké sny a v nich byl malý, maličkatý svět... nanosvět... a jeden z nich o něm sní dál

22.6.2017 v 9:28 | Karma článku: 7.10 | Přečteno: 210 | Diskuse

Dana Tenzler

Velké finále díl 1., Cassini-Huygens a jeho nelehká cesta k Saturnu

Je největší, nejtěžší a nejkomplexnější sondou, jakou kdy NASA vyslala do vesmíru. Za pár měsíců ji čeká velkolepý pohřeb - bude navedena do nitra planety Saturn. Připomeňme si velkolepou misi do vzdálené části sluneční soustavy.

22.6.2017 v 8:00 | Karma článku: 18.34 | Přečteno: 243 | Diskuse

Jiří Turner

Je pan Čermák potomkem lidoopů a mimozemšťanů?

Může to vypadat, že jsem si na pana Čermáka nějak zasedl, ale jelikož jeho smělé teze nelze napadnout přímo v diskusi a jsou patrně i tací, kteří se s nimi ztotožňují, dovoluji si na jeho bizarní článek reagovat vlastním článkem.

21.6.2017 v 17:55 | Karma článku: 19.26 | Přečteno: 819 | Diskuse

Jita Splítková

Správně nastavená ozubená kolečka

V historii vývoje počítačů jsou stovky jmen, připomeňme si některá. Tak třeba - víte kdo byl I.S.Brook?

21.6.2017 v 10:11 | Karma článku: 9.80 | Přečteno: 367 | Diskuse
Počet článků 7 Celková karma 0.00 Průměrná čtenost 399
Jiří Jinger pracuje ve společnosti Sprinx Systems na pozici Head of Application Support Department. Do jeho kompetencí spadají především cloudové služby, bezpečnost a outsourcing IT služeb. Před společností Sprinx Systemss působil jako jednatel společnosti Keystone Czech Republic, Indirect Sales Manager ve společnosti ČMIS a tři roky na pozici Customer Care Manager produktu Helios Orange ve společnosti Asseco Solutions.

Seznam rubrik

Napište mi

Vzkaz autorovi


Zbývá 1000 znaků.


Toto opatření slouží jako ochrana proti webovým robotům.
Při zapnutém javaskriptu se pole vyplní automaticky.


více


Najdete na iDNES.cz

mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.