INTERNET a POČÍTAČE

....... instalace a servis i vaší kanceláře

  • Základní příručka k GDPR
    Přehled základních pojmů a informací vztahujících se k obecnému nařízení.
  • Desatero zpracování pro správce
    Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.
  • Desatero omylů
    Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).
  • Dokumenty
    Dokumenty vztahující se k obecnému nařízení (směrnice, návrhy zákonů, brožury).
  • Jak začít - opravdu jednoduše
    Zmapujte, jak nakládáte s osobními údaji, udělejte inventuru osobních údajů, analyzujte rizika a vypracujte Záznamy o činnostech zpracování (zde je tabulka)
  • Otázky a odpovědi
    Nejčastější otázky k obecnému nařízení, na které je dotazován Úřad pro ochranu osobních údajů.
  • Pokyny Pracovní skupiny WP29
    Pracovní skupina WP29 vydává a veřejně diskutuje materiály, které mají čtenáři maximálně vysvětlit a co nejblíže ho seznámit s jednotlivými částmi a oblastmi obecného nařízení.
  • GDPR a role ÚOOÚ
    Shrnutí role Úřadu pro ochranu osobních údajů v souvislosti s obecným nařízením.
  • Důležité odkazy
    V této rubrice naleznete odkazy na metodiky a instituce, kde je oblast GDPR důležitým tématem.

Když je osobní údaj fotka, můžu vyvěsit fotku s lidmi z kanceláře na Facebooku? Moderní trend je být maximálně otevřený, ukazovat, jak to ve firmě vypadá a kdo tam pracuje…. Zaměstnanec k tomu musí dát souhlas, ten nemusí být pouze explicitní (písemný), může být i implicitní, to znamená vyplývající z kontextu.Pokud pár lidí poprosíte, že si uděláte fotku na Facebook a oni vám zapózují, je to v pořádku. Pokud na firemní akci chodí fotograf a lidé se vědomě nechávají fotit, je to také OK. Ovšem snímky by měly posloužit jako reportáž z akce. V případě, že je použijete pro náborovou reklamu, už to je jiný účel, než se kterým lidi při focení počítali.

Je problém, pokud na Facebooku zaměstnance najdu fotky a udělám z nich koláž na nástěnku? Například chci představit nováčky ve firmě a trošku ukázat, kdo jsou i v soukromém životě.V zásadě by k tomu měl zaměstnanec vždy dát souhlas, případně byste měli fotky získat od něj, ne je stahovat z internetu. To není ani tolik otázka zákona pro ochranu osobních údajů, případně GDPR, ale spíš obecná ochrana soukromí.

(Zdeněk Bajer z firmy Datacruit a Vojta Chloupek z advokátní kanceláře Bird & Bird vysvětlili, co GDPR obnáší a na co si dát pozor.)

Povinnost jmenovat pověřence pro ochranu osobních údajů je dána správci a zpracovateli pouze v případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů při výkonu jejich soudních pravomocí
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování subjektů údajů
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
(čl. 37 odst. 1 Obecného nařízení - http://www.privacy-regulation.eu/cs/37.htm)

V rámci bežné činnosti elektronických obchodů, která nejčastěji spočívá v prodeji zboží či služby, se nebude jednat o naplnění ani jedné z výše uvedených podmínek a tudíž jmenovat pověřěnce pro ochranu osobních udajů nebude třeba.

Relevantním kritériem pro povinné jmenování pověřence u elektronických obchodů bude bod b) a c). Doporučuji nahlédnout do dokumentu pracovní skupiny WP29, který konkrétně definuje pojmy "hlavni činnosti, rozsáhlé zpracování, pravidelné a systematické monitorování" a provést interní analýzu, zda je nebo není nutné pověřence jmenovat.
(https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463)

1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.

2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.

3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.

4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.

5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.

6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.

7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.

8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.

9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).

10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

 

Opět klamavá a zaručená informace, převzato ze stránek Úřadu pro ochranu osobních údajů:

27. 2. 2018 - Úřad pro ochranu osobních údajů je nucen podat dementi desinformací v článku na téma likvidačních sankcí za volně dostupnou wi-fi síť, který byl publikován deníkem E15 ve čtvrtek 22. února 2018.
 
Článek „Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty“ obsahuje řadu nepravdivých tvrzení (odkaz na článek zde).
Zásadní informací pro veřejnost je, že ani GDPR, ani unijní regulace soukromí a elektronických komunikací nevyžaduje wi-fi síť zabezpečit, tj. zaheslovat. Ochrana soukromí totiž vychází z oprávnění na informační sebeurčení subjektu údajů. Osobní údaje patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne; výjimky stanoví právní předpis. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť, je to na jeho vůli.

V této souvislosti je třeba zdůraznit, že přenos dat se řídí GDPR toliko podpůrně. Primární regulací je směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která byla do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) a zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).

Číst dál: Nepravdy o wi-fi v souvislosti s GDPR

Sledování pouze v legitimních případech

Evropský soud vyložil právo na soukromí v jeho nejširším záběru, podle kterého se soukromý život promítá i do na první pohled „nesoukromých“ sfér. Jakékoliv sledování zaměstnanců je možným zásahem do základního lidského práva na ochranu soukromí a jako takové bude přípustné pouze, pokud bude dostatečně prokázán jeho legitimní důvod. V případě snaha o zvýšení bezpečí osob a ochrana majetku, nebyly podle  práva shledány jako dostatečné důvody. Co si z popsaného případu vzít? Provozujete-li kamerové systémy na pracovišti, uvědomte si, že musíte vyhovět nejen požadavkům ze zákoníku práce, ale stáváte se i správcem osobních údajů, a musíte tak reflektovat příslušnou právní regulaci a blížící se nařízení o ochraně osobních údajů (GDPR) se vás tak pravděpodobně dotkne i v této rovině.

Povinnosti pro správce osobních údajů:

Při instalaci kamerového systému by si měl každý zaměstnavatel položit dvě otázky – jednak zda míra zásahu do soukromí „sledovaných“ zaměstnanců nepřevýší míru majetkového či bezpečnostního rizika, jednak zda je připraven a ochoten plnit veškeré povinnosti z práva na ochranu osobních údajů pro něj vyplývající.

HTTPS nebude z hlediska GDPR povinné, rozhodně ne pro všechny. Jedná se pouze o doporučení pro ty, u kterých je zvýšená míra rizika. Je ale nutné zmínit, že nešifrované HTTP nese jistou míru rizika vždycky. "Obecně všechny stránky, které od svých uživatelů sbírají jakékoliv informace, byť jen formou kontaktního formuláře, by proto měly používat HTTPS. U e-shopů to pak logicky platí dvojnásobně," říká Antonín Kozan, zástupce společnosti Alpiro, která nabízí certifikace na webu ssls.cz. SSL/TLS certifikát je podle něj, a v dlouhodobém časovém horizontu dál bude, dostatečným technickým opatřením pro zabezpečení informací přenášených mezi klientským počítačem a serverem. "Podnikatelé by měli od dodavatelů webových stránek už automaticky vyžadovat podporu HTTPS protokolu, a to i když nezabezpečují citlivou komunikaci. I ty nejjednodušší firemní stránky mají totiž většinou alespoň jeden kontaktní formulář, a pokud bude nezabezpečený, budou stránky označené jako nedůvěryhodné," doplňuje Petr Komárek, který je přesvědčen, že dnes už nemá smysl řešit, jestli HTTPS ano, nebo ne a co by se bez něj případně mohlo stát, ale hlavně to, jak tento protokol na firemní stránky nasadit.

Číst dál: Váš e-shop bez HTTPS ?

SSL/TLS otevřený protokol a jedna z nejvíce používaných metod pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem. Zabezpečuje tedy internetové spojení například mezi zákazníkem (jeho prohlížečem) a obchodníkem (webem, na kterém prohlížená stránka nebo e-shop funguje). Prostřednictvím šifrování chrání před zneužitím třeba zadané přihlašovací údaje, informace o platebních kartách a zabraňuje nežádoucím úpravám přenášených informací. Dalo by se namítnout, že spojení GDPR a SSL/TLS certifikátů není zcela správné, protože evropské nařízení o ochraně osobních údajů hovoří o správcích a zpracovatelích a certifikace primárně slouží k zabezpečení dat na cestě mezi serverem a prohlížečem.

Číst dál: certifikáty, GDPR, SSL/TLS protokol

Provozovatelé webů, kteří mají své stránky zabezpečené SSL/TLS certifikáty, dávají najevo, že jim nejsou lhostejní jejich zákazníci, což bezesporu oceňují nejen oni, ale také Google a zároveň mají jistý náskok při splňování povinností vyplývajících z evropského nařízení GDPR.

HTTPS komunikace je podmínkou pro některé nové funkce prohlížečů a v neposlední řadě posiluje SEO faktor webových stránek. Vyhledávač Google už od roku 2015 upřednostňuje výsledky vyhledávání z webů se zabezpečeným protokolem HTTPS. Přesto to spousta provozovatelů internetových obchodů a firemních webů nereflektuje a bez ohledu na SEO svůj byznys dál provozuje na rizikovém HTTP. Zatím Google u stránek HTTPS zobrazuje zelenou ikonu zámku, v případě HTTP pak jen neutrální ikonu. Od července 2018 ale ve své snaze donutit provozovatele webů k přechodu na HTTPS přitvrdí. Uživatelům, kteří vstoupí na nezabezpečené stránky, se v adresním řádku navíc zobrazí varující upozornění, v jakém prostředí se nacházejí.

Samotný Google kdysi uvedl, že HTTPS má pro výsledky vyhledávání velmi malou váhu a ovlivňuje zhruba procento dotazů. Přecházet na něj jen kvůli SEO by tedy bylo téměř zbytečné. Kvůli varování uživatelů už to ale smysl má, protože každý člověk rád pošle informace o sobě nebo nakoupí tam, kde bude více bezpečno. A je tu ještě jeden důvod, který bude aktuální ještě o měsíc dříve. Od 25. května totiž vstoupí v účinnost GDPR.

WP29 vydává dokumenty, které mají poskytnout výklad novinek zaváděných obecným nařízením o ochraně osobních údajů.
Na této stránce naleznete Pokyny a Vodítka. Pokyny (v angličtině Guidelines) jsou oficiálním překladem EK. U neoficiálních, pracovních překladů ÚOOÚ je pro snadné a na první pohled zřetelné odlišení zachován termín Vodítka.

Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation nahradí dnes při zpracování osobních údajů platné právní předpisy České republiky, zejména pak zákonem č.101/2000 Sb., o ochraně osobních údajů, případně zákonem č. 480/2004 Sb., o některých službách informační společnosti, který reguluje zasílání obchodních sdělení klientům, a dalšími právními předpisy,  GDPR nařízení bude přímo použitelné a závazné ve všech členských státech Evropské unie, a to až na výjimky bez nutnosti transpozice do národních právních řádů.
GDPR má za úkol posílit ochranu osobních údajů fyzických osob v Evropské unii a odstranit rozdíly v národních úpravách členských států.
Nařízení Evropské Unie o ochraně osobních údajů zavádí princip takzvané zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy nařízení.
GDPR začne v celé EU platit od 25. května 2018.
GDPR správcům osobních údajů nařizuje zavedení vhodných technických a organizačních opatření tak, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s tímto nařízením.