Vzrůstající trend loupeží osobních údajů
V posledních letech se při vloupání do bytů a domů stále častěji objevují mimo krádeže hotovosti, šperků, dokladů nebo klíčků od auta i krádeže dat. Roste počet krádeží notebooků, tabletů nebo smartphonů, ale i externích disků, které často obsahují informace, které může lupič zneužít.
Případy ukradených osobních údajů se nevyhýbají ani ČR. V srpnu 2017 například hackeři zaútočili na internetový obchod Mall.cz a zcizily osobní údaje statisíců zákazníků. Společnost poté z bezpečnostních důvodů resetovala hesla u účtů, které byly založeny v roce 2014 a dříve a následně odeslala zákazníkům e-maily, v nichž vybízela uživatele ke změně hesla.
Tento problém má řešit i GDPR, když stanoví pravidla pro zabezpečení zpracování osobních údajů a pro ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu.
28. srpen 2017
Vládní návrh nového zákona o zpracování osobních údajů míří do připomínkového řízení
Návrh nového zákona, který má nahradit současný zákon o ochraně osobních údajů, uvádí českou úpravu ochrany osobních údajů do souladu s GDPR. Zákon nařízení „neopisuje“, naopak na něj výslovně odkazuje a řeší otázky, kde dává GDPR členským státům prostor pro specifickou úpravu.
Návrh zákona například stanoví věk dítěte pro souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti má být na dolní hranici 13 let. Dále chce návrh omezit výši hrozících pokut pro orgány veřejné moci do 10.000.000,- Kč, na rozdíl od nařízením stanovené hranice 20.000.000,- EUR pro soukromé subjekty.
Rovněž je zakotvena zvláštní podrobnější úprava pro zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu a pro zpracování osobních údajů, upravené právním předpisem - tak, že by nebylo nutné provádět posouzení vlivu, nebo byla dána možnost splnit informační povinnost zveřejněním informací na internetu. Navrhuje se rovněž zakotvit výjimky pro omezení některých práv subjektů údajů a výjimky z povinnosti oznámení případu porušení zabezpečení osobních údajů subjektu údajů v zájmu obrany a bezpečnosti, veřejného pořádku a dalších případů veřejného zájmu.
Návrh dále implementuje směrnici o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.
Vládní návrh míří do připomínkového řízení, v němž se očekávají stovky připomínek.
18. srpen 2017
GDPR v Británii
Ve Velké Británii byl zveřejněn věcný záměr nového zákona o ochraně osobních údajů.
Nový zákon má odpovídat GDPR (i přes realitu Brexitu). Klíčovými oblastmi nové úpravy mají být:
- ochrana dětí v online prostředí, kde je záměr stanovit věk pro souhlas se zpracováním osobních údajů na nejnižší hranici, a to 13 let
- umožnění zpracování údajů o kriminálních činech většímu spektru subjektů (v souladu s dosavadním britským systémem)
- automatické rozhodování, kde bude stanovena výjimka pro případy, kdy automatický proces bude přiměřeným prostředkem k dosažení účelu (např. kontrola kreditibility žadatele o úvěr)
- výzkumné instituce, které budou vyňaty z některých povinností podle GDPR (např. právo na přístup k osobním údajům, právo na opravu,…), tak aby povinnosti dle GDPR nenarušovaly jejich činnost.
https://www.gov.uk/government/news/government-to-strengthen-uk-data-protection-law
7. srpen 2017
Případ Nowak - další posun v chápání pojmu osobního údaje?
Na rozhodnutí Soudního dvora EU čeká případ, týkající se práva studenta nahlédnout do záznamu ze své zkoušky z hlediska toho, jestli takový záznam představuje osobní údaj.
Předběžnou otázkou tedy je, zda mohou odpovědi v testu v rámci odborné zkoušky představovat osobní údaje, případně za jakých podmínek. K problému se zatím vyjádřil pouze generální advokát, který ve svém stanovisku navrhuje soudu rozhodnout, že ručně psané odpovědi na zkušební otázky, které lze přiřadit určitému účastníku zkoušky, představují společně s případnými korekturními poznámkami zkoušejících osobní údaje ve smyslu evropského práva.
24. červenec 2017
Implementace GDPR v Evropě
Přestože je GDPR nařízením, které pro svou účinnost nevyžaduje harmonizaci předpisů členských států, jak by bylo nutné v případě směrnice, obsahuje řadu ustanovení, která umožňují specifickou úpravu pro národní státy.
Zatím jedinou evropskou zemí, která takto přizpůsobila své zákonodárství GDPR je Německo. Německo v řadě případů pravidla pro nakládání s osobními údaji oproti GDPR zpřísnilo. Pověřence pro správu osobních údajů tak v Německu musí povinně jmenovat více subjektů, než je vyžadováno GDPR, a pravidla pro zpracování osobních údajů zaměstnanců jsou také přísnější.
I přes realitu Brexitu se GDPR řeší rovněž ve Velké Británii. Nová vláda plánuje přijmout GDPR jako zákon i s ohledem na to, aby přeshraniční zpracovávání osobních údajů fungovalo i po vystoupení Británie z Evropské unie. Cíl nové britské vlády je konečně shodný s GDPR, když v obou případech se klade důraz na zajištění vhodné ochrany osobních údajů pro digitální věk a přiznání větší kontroly nad vlastními daty útp fyzické osoby.
V České republice se i v souvislosti s podzimními volbami implementace GDPR v letošním roce pravděpodobně nestihne.
10. červenec 2017
Stanovisko ke zpracovávání osobních údajů v souvislosti se zaměstnáním
Pracovní skupina WP 29 vydala nové stanovisko ke zpracovávání osobních údajů v souvislosti se zaměstnáním. Tím aktualizovala své předchozí stanovisko z roku 2001, zejména co se týče novějších technologií.
Problematika je řešena i ve světle GDPR, když se zdůrazňuje zásada výběru opatření, které nejméně narušuje soukromí zaměstnance, a minimalizace shromažďovaných dat. Nicméně právě ochrana osobních údajů zaměstnanců je jednou z oblastí, kde dává GDPR možnost členským státům danou problematiku dále upravovat a konkretizovat.
Stanovisko řeší zpracování osobních údajů zaměstnanců již ve fázi výběru zaměstnanců, když mimo jiné uvádí požadavky pro sledování uchazečů o zaměstnání na sociálních sítích. Dále se zabývá možnostmi monitorování zaměstnanců na pracovišti i mimo něj jako například při práci z domova, včetně monitoringu kamerovým systémem či sledování využití služebních vozidel.
Stanovisko nastavuje pravidla pro oprávněné zpracování osobních údajů zaměstnanců, přičemž klade důraz na proporcionalitu opatření a vůbec minimalizaci zpracovávaných údajů vedle požadavku transparentnosti, spočívajícím zejména v povinnosti informovat zaměstnance o nakládání s jejich údaji.
1. červenec 2017