Takový byl seminář o GDPR v Olomouci

, 17. listopadu 2017

Kromě tradičních konferencí Kam kráčí telekomunikační sítě, konaných po vlastech českých i slovenských, tentokráte ISP Consulting realizoval seminář o GDPR (General Data Protection Regulation), tedy o obecném nařízení o ochraně osobních údajů, které začne platit v celé EU již od 25. května 2018 a je pro mnohé firmy velkým strašákem. Cílem organizátora Jakuba Rejzka a týmu právníků (Klára Sommerová, Jan Zahradníček a Luděk Šrubař) bylo proto včas rozpustit obavy či časté dezinformace, které o tomto nařízení mezi firmami panují.

Seminář se uskutečnil 9. listopadu v historické Olomouci, v kongresovém NH hotelu, kde nad všemi osobami ten den bděly i bezpečnostní složky naší země, které měly za úkol hlídat Miloše Zemana, jenž zde byl ubytovaný. Evidentně bylo tedy zvoleno pro seminář velmi důstojné místo, které vyhovuje účastníkům i našemu prezidentovi.

 

Doba datová…

 

Žijeme v éře, která bývá často označovaná doba datová, generující exponenciálně (https://www.linkedin.com/pulse/big-data-successits-all-volume-velocity-variety-steve-doherty) rostoucí množství dat pocházejících ze senzorů, sociálních sítí, či podnikových dat. Buzzword big-data je proto pojmem, o kterém v dnešní době slyšíme stále častěji. GDPR je proto bezesporu reakcí na to, jak důležitým kapitálem jsou v dnešní osobní data uživatelů, pocházející ze stále většího množství senzorů, kterými jsou naše mobilní zařízení dnes doslova prošpikovaná. A že data z těchto senzorů putují ve velkém zejména mobilním aplikacím již není žádné tajemství. Příkladem budiž bezplatná aplikace Tinder (obrat společnosti cca 570 mil USD za rok 2015) – při žádosti o sdělení, jaká data aplikace Tinder eviduje, dostal aktivista Paul-Olivier Dehaye, který se problematikou osobních dat zabývá, celkem 800 stran informací o svých aktivitách na Facebooku, včetně liků a komentářů. K čemu mají taková data cenu? Pochopitelně obrovskou, a to zejména v oblasti reklamy, analýzy či cílení marketingových a volebních strategií.

 

Co jsou vlastně osobní data

 

Jako nejčastější zástupce osobních údajů si jistě každý vybaví jméno a příjmení, rodné číslo či údaje z dokladu totožnosti. V digitální datové éře však musíme počítat i s mnoha dalšími, které na semináři zazněly. Jsou jimi zejména:

  • Emailová či poštovní adresa, je-li z ní patrné jméno, příjmení a firma.
  • Profil na sociálních sítích, ze kterého lze identifikovat konkrétní osobu.
  • IP adresa a to nejen statická, ale dle výkladu právníků dokonce i dynamická.
  • Další lokalizační údaje.

 

Jak bylo také prezentováno, GDPR pak navíc definuje tzv. zvláštní osobní údaje, kterými jsou v ICT klíčové zejména biometrické údaje (snímek obličeje, otisk prstu, snímek oční duhovky, atd.). Mezi zvláštní osobní údaje ale patří také informace o zdravotním stavu, sexuální orientaci, náboženském vyznání či dokonce politických názorech. Kromě toho ale i genetické údaje (krevní skupina, Rh faktor, atd.), údaje o rasovém či etnickém původu a osobní údaje dětí.

Jednoduchá pomůcka, kterou přednášející uváděli, zněla, že pokud – byť jen v kombinaci – dokážeme identifikovat dle údajů osobu, jedná se o její osobní údaje.

 

Fakta o GDPR

 

Již první věty, které na semináři zazněly, utvrdili přítomné zástupce telekomunikačních operátorů, že právě oni reprezentují typ firem – byť se nemusí jednat zrovna o velké podniky – které jsou z pohledu GDPR typicky rizikovou skupinou, nakládající s velkým množstvím osobních údajů zákazníků. Důvodem je, že pracují s provozními a lokalizačními údaji, systémově dokáží sledovat pohyb účastníka po síti, dokáží se podívat i na zdroje a cíle přenášených dat a samozřejmě IP adresy lze jednoduše párovat s konkrétním uživatelem. Ve výsledku má tedy operátor o uživateli poměrně komplexní obraz – jeho chování, email, adresu… Úniky osobních dat mohou být u operátorů vnitřní a vnější. Proti vnějším únikům se dá technicky bránit, avšak mnohem větším rizikem jsou zaměstnanci a spolupracující osoby.

Velkou vlnu dotazů vyvolaly i další prezentované informace, které pak musely být přítomnými právníky zevrubně vysvětlovány. Šlo o nová práva subjektů, které GDPR deklaruje. Jde o:

  • Právo být zapomenut.
  • Právo na přenositelnost údajů.
  • Právo vnést námitku proti zpracování.

Z vysvětlení přednášejících pak vyšlo najevo, že ne všechna nová práva subjektů, musí být nutně vždy naplněna (např. právo být zapomenut, tzn. včetně všech fakturačních údajů), pokud jsou v rozporu s jinými dosavadními zákony (například zákonem o evidenci tržeb).

Na semináři byly v úvodu přednášejícími vysvětleny samozřejmě i základní principy GDPR, kterými jsou:

  • Zákonnost.
  • Omezení účelem.
  • Minimalizace údajů a omezení uložení.
  • Přesnost.
  • Férovost a transparentnost.
  • Integrita a důvěrnost.
  • Odpovědnost.

 

Pro mnohé posluchače semináře bylo evidentně také překvapením, že GDPR se zdaleka netýká jen digitalizovaných dat, ale i veškerých dat kupříkladu v papírové podobě.  Údaje o klientech firmy, na neskartovaných papírech vyhozených do tříděného odpadu, je tedy typickým hříchem pro GDPR…

 

Opatření pro GDPR

 

Je patrné, že GDPR může mnohým firmám přivodit poměrně těžkou hlavu s tím, jak vyhovět všem zmiňovaným požadavkům, které budou nově na společnosti kladeny. GDPR proto definuje pro prokazování souladu s GDPR možnost jmenovat tzv. pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer).

V jistých případě pak jde dokonce o povinnost, nikoliv možnost jmenovat pověřence pro ochranu osobních údajů ve firmě. Konkrétně za těchto okolností:

  • Pakliže zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt.
  • Pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů.
  • V případě že hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

 

Hlavními úkoly DPO proto jsou:

  • Monitoring souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR.
  • Provádění interních auditů.
  • Školení pracovníků.
  • Celkové řízení agendy interní ochrany dat.

 

Je jasné, že roli pověřence nemůže ve firmě plnit jen tak někdo. Přítomní přednášející uváděli, že ideálním předpokladem takové profese by byl právník střižený s informatikem, leč samozřejmě to není nezbytné. Každopádně by měl mít hlubší znalosti IT ale i právní povědomí. Co ale nezbytné je, že tuto práci nesmí vykonávat ve firmě osoba, u které by byl přítomný střet zájmů. Rozhodně tedy nemůže být pověřencem nikdo z majitelů firmy, ani z jeho vedení! Naopak jeden pověřenec pro ochranu osobních údajů může poskytovat své služby hned několika firmám najednou.

 

Když se něco …

 

Od okamžiku kdy GDPR vejde v platnost, by v žádném případě nemělo docházet k tomu, že pokud dojde ve firmě k porušení bezpečnosti v oblasti ochrany osobních údajů, tak se tato událost tzv. zamete pod koberec. Právě naopak, nově je definována Povinnost hlásit incidenty. Konkrétně to znamená, že:

  • Správce má povinnost ohlásit narušení bezpečnosti ÚOOÚ a dotčeným FO.
  • ÚOOÚ – lhůta k ohlášení: neprodleně, nejpozději do 72 hodin – výjimka: pokud by narušení pravděpodobně neznamenalo riziko pro práva FO (unikly pouze šifrované údaje, údaje jsou dostupné i jinak – veř. rejstříky).
  • FO – pouze pokud narušení znamená vysoké riziko pro práva – výjimky: správce měl zavedena nebo následně přijal opatření k eliminaci rizik.
  • Povinnost evidovat veškeré incidenty.

 

Velkým strašákem v GDPR jsou pak sankce a kontroly:

  • Finanční pokuta až do výše 10 milionů EUR (či do 2% celkového ročního celosvětového obratu, jde-li o podnik) v případě porušení ustanovení týkajících se záznamů o činnostech zpracování, posouzení vlivu na ochranu osobních údajů či nesplnění povinnosti oznámení porušení bezpečnosti osobních údajů.
  • Pokuta do výše 20 milionů EUR (či do 4% celkového ročního celosvětového obratu, jde-li o podnik) pokud dojde k porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.

 

Závěr

 

Výše popsané hrozby finančních sankcí jsou sice velmi vysoké, ale jak uváděli i právníci na semináři, jde o odstrašující částky, které v našich končinách těžko někdy budou uplatněny. Úřad pro ochranu osobních údajů, který je členem pracovní skupiny WP29 (nezávislý poradní orgán Evropské komise) se tak pravděpodobně bude snažit být především poradním orgánem pro GDPR, namísto aby byl katem.

Na fotky z této akce se můžete podívat v galerii zde:

 

Štítky: , , , , .

Diskuze k článku

Článek zatím nikdo nekomentoval. Buďte první! :-)

Přidejte komentář

Odesláním příspěvku souhlasíte s níže uvedenými podmínkami:
- příspěvek nesmí obsahovat vulgarity
- příspěvek nesmí obsahovat spam
- příspěvek nesmí obsahovat nezákonný obsah jako například odkazy na warez apod.
Redakce si vyhrazuje právo smazat příspěvky, které budou v rozporu s uvedenými podmínkami nebo porušují platné zákony ČR.

Navštivte také

Speedmeter Internetu pro všechny

Katalog Wifi sítí

Reklama:

cerberos.cz
www.summitd.cz

Bleskovky

Články

 

Doporučujeme

Vybíráme nový notebook...

Takový byl seminář o GDPR v Olomouci

Dotace na vysokorychlostní internet...

Jak vypadá vysílač lokálního providera a proč by to mělo zákazníka zajímat?

Aby wifi doma fungovala.

Zpoplatnění bezlicenčních pásem by zdražilo internet, nebo snížilo jeho dostupnost

Internethome končí s bezdrátem. Nespokojení klienti často volí osvědčené lokální ISP.

Budeme mít internet z dronů a balonů?

Rychlosti internetu v lednu 2014, poprvé přes 70 tisíc měření a několik novinek

LTE? Žádnou mobilní revoluci nečekejte…

Proč PPF koupila českou a slovenskou Telefóniku?

Speedmeter IPV pro zařízení se systémem Android nově na Google Play

Mobilní revoluce nebo evoluce?

Mobilní bezdrátové datové přenosy v roce 2013

Waze – doprava na dlani

Stručný úvod do geosociálních sítí

Lednové rychlosti na internetu řečí grafů a čísel

Databáze knihoven a rozcestník pro knihovníky i poskytovatele připojení

Instagram – cesta k úspěchu

Naměřené rychlosti internetových připojení v prosinci

Sdílení a zálohování s Dropboxem

Webové aplikace s geolokací

Posílání datových balíků po Internetu

AirFiber24 – ostrý test z reálného provozu

Česká republika a rychlosti internetu podle Akamai

PPF Petra Kellnera se přihlásila do aukce kmitočtů. Překvapivý kandidát na čtvrtého operátora.

Pinterest – nová hvězda mezi sociálními sítěmi

Velké srovnání mobilního Internetu v České republice pro rok 2012

Google nejen vyhledávačem: Umíte správně vyhledávat?

Malware a jeho současné podoby

Soumrak volného 10 GHz pásma aneb kdo má zájem na jeho zarušení?

Odkazy odjinud


Tip: Navštivte sekci VoIP a porovnejte nabídku více než třech desítek operátorů!

Podporujeme:

www.sumavanet.cz i4eSmall.gif (2K) pravedneslogo.gif (5K)