• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

GDPR: Ochrana soukromí občanů EU

itbiz
25. 5. 2018
| Články

Ochrana soukromí jednotlivce je jedním ze základních lidských práv, která se řešila již v minulých staletích. Pokud bychom nahlédli do starých biblických textů, určitě bychom již zde nalezli několik zmínek na dané téma. Moderní teorie základních práv a svobod jednotlivce, včetně jejich ochrany, z historického kontextu dvacátého století, vycházejí z Univerzální Deklarace o lidských právech, schválené OSN v roce 1948.
Základní aspekt ochrany soukromí z uvedené deklarace je obsažen v článku 12 dané Deklarace: „Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. Každý́ má právo na zákonnou ochranu proti takovým zásahům nebo útokům.“

Zásadní změna, ohledně ochrany soukromí, ale přichází se zvýšeným nárůstem využívání počítačů začátkem 70. let. Dochází k postupnému zefektivňování shromažďování, procesování a následné výměně dat mezi velkými korporacemi, bankami…

Počítačové technologie, společně s rozvojem telekomunikací, tak otevřely nové možnosti ve zpracovávaní osobních dat také v mezinárodním měřítku. Tento rozvoj přinesl nejen zvýšeni produktivity, ale zároveň měl obrovský dopad také na soukromí jednotlivců. Nárůst mezinárodního obchodu akceleroval totiž také výměnu osobních informací. Citlivé osobní údaje byly transferované volně přes hranice – v nově vznikajícím kybernetickém prostoru. Mezery v právních systémech ohledně ochrany osobních informací jednotlivce si jen málokdo uvědomoval.

Velkou výzvou proto bylo zabezpečit rovnováhu mezi obavami ohledně ztráty osobní svobody jednotlivců (volný pohyb jejich osobních údajů) a možnostmi, jak podpořit rozvoj obchodu v kontextu mezinárodní ekonomiky.

Osobní údaje a soukromí

V tomto směru se Evropská Unie snažila přes schválenou obecní směrnici 95/46 ES o ochraně osobních údajů, vytvořit novodobý „harmonický koncept“ principu ochrany soukromí jednotlivců v moderní informační společnosti, kde fyzické hranice pro volný pohyb dat, již nejsou relevantní. Bohužel místo jednotného kompaktního evropského standartu o ochraně osobních údajů, vzniklo na základě dané směrnice několik značně diverzifikovaných a nekompatibilních lokálních právních klonů. Navíc mnohé z nich byli neefektivně implementované v jednotlivých krajinách evropského společenství.

V posledních měsících ale slyšíme ze všech stran o něčem více specifickém, než je ochrana soukromí. Ze všech stran se mluví o novém nařízení EU ohledně ochrany osobních údajů GDPR (General Data Protection Regulation). Jde tady o něco nového, než je management ochrany soukromí jednotlivce včetně zpracovávaní jeho osobních údajů?

Vůbec ne. Evropská unie se totiž nacházela v nejednotném právním rámci v kontextu ochrany soukromí svých obyvatel. Cítila silnou potřebu ochránit svoje ekonomické teritorium a tím i práva a svobody svých obyvatel v rámci EU. Vzhledem k aktuálnímu stavu využívání kybernetického prostoru pro komunikaci a ukládání dat, nebylo evropské společenství schopné spolehlivě ochránit data, resp. osobní údaje svých občanů a zabezpečit jejich následný volný pohyb v rámci celé unie. Předchozí směrnice, resp. její lokální právní derivace, (u nás Zákon č.101/2000 Sb., Zákon o ochraně osobních údajů), která tomu měla pomoci, de facto nefungovala.

Co se skrývá pod GDPR?

Naše osobní data dnes tvoří nedílnou součást osobní identity také v kybernetickém prostoru. Protože se jejich poskytování stalo již rutinním zvykem při registraci do ICT aplikací a služeb či při online nakupování, představují naše osobní údaje cennou a strategicky významnou komoditu. GDPR proto stanovuje rámec nových právních pravidel ochrany našeho soukromí a osobních údajů při jejich zpracování tak, aby je nikdo nemohl svévolně shromažďovat a využívat ve svůj prospěch.

GDPR je zkratkou pro (General Data Protection Regulation): Jedná se o obecné nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů. Hlavním smyslem GDPR je hájit práva občanů EU neboli tzv. subjektů údajů, proti neoprávněnému zacházení s jejich osobními údaji.

Těmito právy jsou zejména právo na přístup ke všem osobním údajům, které má správce k dispozici o dané fyzické osobě, právo na jejich opravu, právo na omezení zpracování, právo vznést námitku, právo na přenositelnost údajů, právo být zapomenut a právo nebýt předmětem automatického rozhodovaní. Nařízení GDPR začne platit 25. května 2018 ve všech státech Evropské unie včetně Lichtenštejnska, Norska a Islandu.

Odpovědnost za splnění požadavků nařízení GDPR nese primárně správce, resp. zpracovatel osobních údajů, kteří bez ohledu na jejich velikost nebo počet zaměstnanců musí zavést vhodná technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

V případě, že dojde u správce anebo zpracovatele k úniku osobních údajů mimo jeho systémy, je správce/zpracovatel povinen ohlásit takový incident dozorovému úřadu do 72 hodin od zjištění. Za porušení pravidel zpracování osobních údajů obsažených v Nařízení GDPR, mohou hrozit pokuty až do výše 20 000 000 EUR nebo do výše 4 % celkového celosvětového ročního obratu dané společnosti, která je porušila.

Zásadní novinkou pro český právní řád je role tzv. pověřence pro ochranu osobních údajů, nebo DPO (Data Protection Officera). Jeho role je zejména dohlížet na soulad činností správce/zpracovatele s nařízením GDPR, provádět vnitřní školení, audity a komunikovat s Úřadem pro ochranu osobních údajů.

Jaká jsou práva občanů, fyzických osob? Každá fyzická osoba má právo být informována o zpracování svých osobních údajů. Tím se rozumí mimo jiné právo na informace o účelu zpracování, totožnosti správce osobních údajů, o jeho oprávněných zájmech či o příjemcích osobních údajů. Mezi základní práva občanů EU (tzv. subjektů údajů) v souvislosti se zpracováváním osobních údajů patří:

  1. Právo na přístup k osobním údajům
    Je právo subjektu údajů získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat.

  2. Právo na opravu
    Pokud se subjekt údajů domnívá, že správce zpracovává jeho údaje v nepřesné formě, upozorní jej na to. Je následnou povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu svých osobních údajů, zabývat se jeho žádostí a bez zbytečného odkladu opravit nepřesné údaje.

  3. Právo na výmaz (právo být zapomenut)
    Představuje povinnost správce bez zbytečného odkladu zlikvidovat/vymazat osobní údaje, které se daného subjektu údajů týkají, pokud je splněna alespoň jedna podmínka: osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování, subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, osobní údaje byly zpracovány protiprávně, osobní údaje musí být vymazány ke splnění právní povinnosti, osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.

  4. Právo na omezení zpracování
    Subjekt údajů má právo na to, aby správce omezil zpracování v kterémkoli z těchto případů: subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit, zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití, správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků, subjekt údajů vznesl námitku proti zpracování.

  5. Právo na přenositelnost údajů
    Právo, které umožňuje fyzické osobě/subjektu údajů, získat kopii zpracovaných osobních údajů, které správci poskytl a dotýkají se této osoby, ve strukturovaném, běžně používaném, strojově čitelném formátu a má právo předat je jinému správci.

  6. Právo vznést námitku
    Subjekt údajů má právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, včetně profilování. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad právy subjektu údajů. Pokud se údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoliv námitku proti zpracovávaní osobních údajů.

  7. Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování
    Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Toto neplatí jedině pokud je ale rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů, nebo je povoleno právem, anebo je založeno na výslovném souhlasu subjektu údajů.

Co vlastně musí organizace (správce/zpracovatel) udělat, aby byla schopna spolehlivě zpracovávat žádosti subjektu údajů a vyhověla tak novému nařízení GDPR? Každá společnost, resp. správce/zpracovatel musí sám posoudit závažnost rizik a pravděpodobnost ohrožení ochrany osobních údajů včetně povinnosti jmenovat DPO (Data Protection Officera). Hlavní je přitom mít přehled o tom, od koho se osobní údaje získávají, komu se předávají, v jakém rozsahu, za jakým účelem a na jakém právním základě.

Neměly by se zpracovávat osobní údaje ve větším rozsahu, ani čase, než je potřeba. Je potřebné zhodnotit, jestli bude možné efektivně vyřizovat žádosti subjektů údajů. K zabezpečení transparentnosti zpracovávaní mít hotové procesy částečné nebo plně automatického zpracování práv subjektů se schopnosti přísné evidence nakládání s osobními údaji.

I přes všechna uvedená opatření, může ale dojít k porušení zabezpečení osobních údajů. Následná reakce na incident musí mýt přednastavená a ověřená, včetně procesní evidence a hlášení regulátorovi.

Monitor pro GDPR procesy

Přínosem pro každodenní činnosti GDPR zpracování by bylo jednoduché, škálovatelné a praktické softwarové řešení s předinstalovanými procesy pro evidenci zpracování, uchování a sdílení všech osobních údajů fyzických osob/subjektu údajů, podle požadavků nařízení GDPR. Takový Monitor GDPR by měl být vstupní bránou každé organizace pro zpracování jakékoliv žádosti fyzických osob/klientů, resp. subjektu údajů k uplatnění jejich práv podle nařízení GDPR. Měl by obsahovat přednastavené procesy včetně potřebných textů vyhovujících nařízení GDPR a zároveň poskytovat také základní podporu pro činností DPO. Všechny operace nad osobními údaji by měly mít auditní stopu a garantovat tak průkazný postup pro orgány dozoru. Z dosavadní praxe vyplývá, že pokrytí všech zákonných požadavků GDPR, jejich komplexní efektivní správa, ale hlavně řízení workflow zpracovávání osobních údajů (obchodních klientů a zaměstnanců společnosti) se dá efektivně řešit jedině prostřednictvím systémové a procesní podpory.

Připraveno ve spolupráci se společností Arbes Technologies.

Rubriky: ByznysČeské ITEkomerceInternetPodnikový softwarePrávoSecurityTechnologieVeřejná správaVývoj a HTML

Související příspěvky
Zprávičky

SpaceX investuje dvě miliardy USD do Muskovy firmy zaměřené na AI

13. 7. 2025
750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří
Zprávičky

Google investuje 2,4 miliardy dolarů do technologie AI od start-upu Windsurf

12. 7. 2025
Zprávičky

Muskova xAI chce další peníze od investorů při ohodnocení na 200 miliard dolarů

12. 7. 2025
Kryptoměny a jejich ekonomika
Zprávičky

Bitcoin pokračuje v růstu na další rekordy, překonal hranici 118 000 dolarů

11. 7. 2025

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

SpaceX investuje dvě miliardy USD do Muskovy firmy zaměřené na AI

ČTK
13. 7. 2025

Společnost SpaceX podnikatele Elona Muska investuje dvě miliardy dolarů (42 miliard Kč) do jeho

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Google investuje 2,4 miliardy dolarů do technologie AI od start-upu Windsurf

ČTK
12. 7. 2025

Společnost Google ze skupiny Alphabet zaplatí asi 2,4 miliardy USD (50,64 miliardy Kč) za

Muskova xAI chce další peníze od investorů při ohodnocení na 200 miliard dolarů

ČTK
12. 7. 2025

Americká společnost xAI miliardáře Elona Muska plánuje vybrat peníze od investorů v novém kole

Kryptoměny a jejich ekonomika

Bitcoin pokračuje v růstu na další rekordy, překonal hranici 118 000 dolarů

ČTK
11. 7. 2025

Cena bitcoinu dnes pokračuje v prudkém růstu. Kolem 8:30 SELČ se vyšplhala na další

Hackeři ukradli data 5,7 milionu zákazníků australských aerolinek Qantas

ČTK
11. 7. 2025

Hackeři v rámci rozsáhlého kybernetického útoku z minulého týdne ukradli data 5,7 milionu zákazníků

Meta lákala zaměstnance OpenAI na bonus ve výši 100 milionů dolarů

Muskova společnost xAI představila novou verzi chatbota Grok 4

ČTK
11. 7. 2025

Americká společnost xAI miliardáře Elona Muska představila nový model chatbota Grok 4. Ten má

Sophos představil XDR řešení pro synchronizované zabezpečení

Ministerstvo vnitra odhalilo kybernetický útok, údaje občanů neunikly

ČTK
10. 7. 2025

Ministerstvo vnitra odhalilo kybernetický útok na jeden ze systémů úřadu, oznámil dnes na tiskové

Český T-Mobile vyčleňuje vysílače do samostatné firmy

Na Slovensku skončila největší elektronická aukce mobilních frekvencí

ČTK
10. 7. 2025

Na Slovensku včera skončila největší elektronická aukce mobilních frekvencí v historii země. Vynesla rekordní

Tiskové zprávy

Společnost QNAP představuje myQNAPcloud One Beta

Acer slaví několikanásobné ocenění cenou Red Dot Product Design Awards 2025

Acer for Business EMEA překonává růst trhu

Nejnovější modely Acer Chromebook Plus nyní s 12měsíčním balíčkem Google AI Pro včetně služby NotebookLM zdarma

ANECT mění vedení společnosti a posiluje management

Optimize by Acer: nejnovější evoluce v oblasti podnikových záručních podmínek

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Slovník

Contracting manager

Mobilní marketing

phpRS

Nejpopulárnější články

Žádný obsah není dostupný

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT
Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.