Boli porušené pravidlá na ochranu osobných údajov?

Sťažnosť zahájila vyšetrovanie tejto aplikácie. Instagram sprístupnil informácie k účtom každému, kto sa prihlásil do aplikácie. Vyšetrovanie sa zameriava na možnosť nastavenia užívateľského profilu a či tento proces spĺňa pravidlá na ochranu dát.

Regulátor v samostatnom vyšetrovaní zistuje či je Facebook oprávnený nakladať s osobnými dátami detí a mladistvých, a či má dostatočné zabezpečenie na ochranu mladistvých a detí v aplikácií Instagram.

V Írsku sídli veľa amerických technologických firiem. Dohľad nad ochranou osobných dát ľudí v EÚ má DPC (Írska komisia na ochranu dát). Táto komisia je oprávnená udeľovať pokuty za nedodržanie legislatívy GDPR. General Data Protection Regulation začali v EÚ platiť v roku 2018.

Pokuta za porušenie nariadení nie je nízka

Graham Doyle člen írskej komisie pre agentúru Reuters uviedol, že úrad si vytipoval  oblasti, kde môžu byť potencionálne zdroje nezrovnalostí.Graham Doyle vyhlásil, vyšetrovanie tohto incidentu sa začalo v septembri.

GDPR alebo aj legislatíva na ochranu osobných údajov, dáva priestor na udelenie pokuty za porušenie až 20 miliónov eur alebo 4% z globálnych tržieb firmy v závislosti, ktorá zo súm bude vyššia.

The post Údajné porušenie zákona na ochranu osobných údajov v službe Instagram appeared first on Ochrana-online.sk.

Pokuty za nedodržiavanie GDPR v číslach

• V krajinách EÚ bolo do konca augusta udelených stovky pokút vo výške presahujúcej 490 miliónov eur.

• Za rok 2020 pribudlo v EÚ 122 pokút v hodnote okolo 60 miliónov eur.

• Najviac pokút bolo uložených v Španielsku a to 122 v celkovej hodnote okolo 60 miliónov eur.

• U našich susedov v Česku, bolo za rok 2020 ku koncu augusta, udelených 11 pokút. Pokuty dosahovali výšku 19 300 eur.

Najčastejšie dôvody na udelenie pokút v rámci EÚ

• 80 udelených pokút v hodnote 335 miliónov eur bolo za nedostatočné organizačné a technické opatrenia na zabezpečenie dát.

• 150 udelených pokút v hodnote 128 miliónov eur bolo za nedostatočný právny základ na spracovanie osobných údajov.

• 61 uložených pokút vo výške 17 miliónov eur bolo za nedodržiavanie všeobecných princípov nakladania s osobnými dátami.

• 40  uložených pokút vo výške 9 miliónov eur bolo za nedostatočné plnenie práv subjektov osobných údajov.

• 20 udelených pokút vo výške 568 tisíc eur bolo pre nedostatočné plnenie informačných povinností.

Výška pokuty, ktorú môže subjekt dostať je nemalá. Tento fakt vedie k zvyšovaniu štandardov získavania, spracovania a ochrany osobných údajov. Legislatívu GDPR jednoznačne netreba brať na ľahkú váhu.

The post Pokuty udelené v Európe za porušenie legislatívy GDPR ku koncu augusta 2020 appeared first on Ochrana-online.sk.

Táto legislatíva upravuje spracovanie osobných dát:

• pred podpísaním zmluvy o pracovnom pomere,
• počas trvania pracovného pomeru,
• po skončení pracovného pomeru.

V ktorých prípadoch môže zamestnávateľ disponovať osobnými údajmi bývalého zamestnanca a po aký čas?

Zamestnávatelia musia pracovať s osobnými údajmi zamestnancov

Pre fungovanie firiem je nutné aby zamestnávatelia zhromažďovali určité dáta, s ktorými potrebujú pracovať. Každý zamestnávateľ má určité povinnosti, ktoré musí plniť a k tomu potrebuje osobné údaje svojich zamestnancov ako napríklad mzdová agenda.

Počas plynutia pracovného záväzku, zamestnávateľ nakladá s osobnými údajmi svojich zamestnancov na základe toho, že:

• spracovanie osobných údajov je nevyhnutné na plnenie zmluvného záväzku, kde zmluvnou stranou je zamestnanec,
• spracovanie osobných údajov je nutné na plnenie zákonnej povinnosti u zamestnávateľa.

Zamestnávatelia by nemali podceniť spracovanie osobných dát po skončení pracovného záväzku. Je častou praxou, že zamestnávatelia archivujú osobný spis bývalého zamestnanca, ktorý obsahuje aj osobné údaje. Takýto postup môže byť v nesúlade s nariadeniami GDPR, vďaka čomu môžu hroziť aj vysoké pokuty.

Ako nakladať s osobnými údajmi po skončení pracovného záväzku

V prípade, že nastane situácia ukončenia pracovného pomeru, zamestnávateľ by mal zvážiť nasledujúce možnosti:

• výmaz alebo likvidácia osobných dát v prípade, ak neexistujú účely na spracovanie týchto údajov,
• zvážiť či existuje nejaký účel, pre ktorý je potrebné uchovávať osobné dáta bývalého zamestnanca.

Právo na výmaz osobných údajov ak nastalo skončenie pracovného pomeru

Nariadenie GDPR hovorí o práve na zabudnutie, to znamená právo odstránenia osobných údajov. Toto právo hovorí o tom, že prevádzkovateľ musí bezodkladne odstrániť osobné dáta, ak tieto údaje už nie sú nutné na účel, pre ktoré boli získané.

V praxi to znamená, ak nie sú dôvody na spracúvanie osobných dát bývalého pracovníka, zamestnávateľ ich je povinný odstrániť po skončení pracovného pomeru.

Zamestnávateľ je povinný odstrániť papierovú dokumentáciu, ktorá obsahuje osobné údaje skartáciou. Výnimkou nie sú ani osobné údaje, ktoré sú vedené elektronickou formou a je nutné ich vymazať zo všetkých systémov a taktiež záloh, pričom nemôže existovať možnosť obnovenia dát.

Ak skončí pracovný pomer, je dôležité odstrániť aj kópie osobných dokladov ako napríklad občiansky preukaz, motivačný list alebo životopis. Ak zamestnávateľ disponuje aj údajmi o rodinných príslušníkoch v súvislosti so zamestnaneckými benefitmi, aj tieto dáta je nutné vymazať.

Uchovávanie osobných dát po skončení pracovného záväzku

Môže sa stať, že aj po skončení pracovného záväzku existuje účel na archivovanie osobných údajov. Zamestnávateľ ich môže spracúvať iba v obmedzenom rozsahu. Zamestnávateľ môže uchovávať určité dáta, čo znamená, že nemôže mať celú zložku s osobnými informáciami zamestnanca.

Dáta, ktoré sa môžu uchovávať, musia byť nevyhnutné na určitý účel. Údaje, ktoré sa uchovávajú, sa týkajú napríklad mzdovej agendy v súvislosti s daňovou povinnosťou.

Je nutné aby zamestnávateľ uchovával len potrebné dáta, pričom vie odôvodniť účel ich uchovávania, ako napríklad daňová agenda. Ak nastane kontrola od Úradu na ochranu osobných údajov, musí vedieť preukázať dostatočný dôvod uskladnenia dát.

Poznáme tieto účely spracúvania osobných dát po skončení pracovného záväzku:

• archivácia – zákon č. 595/2003 Z. z. o dani z príjmov hovorí o tom, že zamestnávateľ musí archivovať mzdové listy po danú dobu na základe osobitného predpisu a to zákon č. 431/2002 Z. z. o účtovníctve, avšak tento zákon neurčuje konkrétnu dobu uchovávania týchto listov. Zamestnávateľ by si ju mal určiť v registratúrnom pláne – je dobré určiť dobu aj na niekoľko desiatok rokov. Tento prípad hovorí o zákonnej povinnosti zamestnávateľa,

• v prípade obhajoby právnych nárokov pri možnosti budúceho súdneho sporu s bývalým pracovníkom – ak nastane prípad, že bývalý pracovník zažaloval svojho zamestnávateľa napríklad o náhradu ujmy/škody, zamestnávateľ má právo pre účel dokazovania archivovať nutné dokumenty po dobu plynutia premlčacej doby – doba premlčania je tri roky, ale odporúčania hovoria aj o uchovávaní osobných údajov po dobu štyroch rokov. Tento prípad hovorí o spracúvaní za účelom oprávneného záujmu zamestnávateľa.

Za nedodržanie legislatívy GDPR hrozia pokuty

V prípade, ak zamestnávateľ po skončení pracovného pomeru spracúva osobné dáta, ktoré mal odstrániť/vymazať napríklad životopis, prípadne ich spracúva bez daného účelu, koná v rozpore so základnými zásadami ukotvenými v GDPR.

Zamestnávateľ sa vystavuje riziku uvalenia pokuty do výšky 20 000 000 eur alebo v prípade podniku do 4% celkového ročného obratu za predchádzajúci účtovný rok na základe toho, ktorá suma je vyššia.

The post Ako postupovať pri skončení pracovného pomeru v súlade s GDPR appeared first on Ochrana-online.sk.

Aplikácia This is Your Digital Life

Angelene Falk, ktorá je komisárkou pre informácie a ochranu súkromia, podala túto žalobu k súdu. Predmetom žaloby je porušenie súkromia vyše 311 000 Austrálčanov. Prehreškom je sprístupnenie osobných dát aplikácie This is Your Digital Life medzi rokom 2014 a 2015. Zakladatelia aplikácie predali získané informácie známej spoločnosti menom Cambridge Analytica, ktorá ich neskôr použila pre potreby politického profilovania.

Závratná pokuta

Austrálsky úrad pre informácie a ochranu súkromia vyhlásil, že: ”Facebook nepodnikol primerané kroky na ochranu osobných údajov týchto osôb pred neoprávneným zverejnením.” Dokonca boli tieto dáta použité pre iný účel ako boli získavané. Ide o porušenie austrálskeho zákona o ochrane súkromia z roku 1988.

V tlačovej správe sa Angelene Falk vyjadrila: ”Predpokladáme, že kvôli dizajnu Facebooku užívatelia nemali dostatočný výber a kontrolu nad tým ako boli ich osobné dáta zverejnené.” Nastavenie Facebooku uľahčilo zverejňovanie osobných dát, vrátane citlivých informácií na úkor súkromia.

V žalobe sa uvádza, že v Austrálii si zaobstaralo aplikáciu This is Your Digital Life iba 53 ľudí. Obyvatelia Austrálie si sami aplikáciu nenainštalovali pričom ich osobné dáta boli získané až po tom, ako si túto aplikáciu nainštalovali priatelia na Facebooku.

Prečo sa pokuta vyšplhala až na 529 miliárd?

Každé jedno porušenie súkromia môže byť sankcionované až do výšky 1,7 miliónov dolárov, čo je nezanedbateľná čiastka. Ak to vynásobíme 311 127 prípadmi, tak dostaneme čiastku približne 529 miliárd dolárov. Pre porovnanie, príjem austrálskej štátnej kasy v rokoch 2019-2020 sa pohybuje okolo 513,7 miliárd dolárov.

Môže nastať prípad, kedy súd zlúči všetky žaloby dokopy. V tomto prípade by nastala situácia, že čiastka, ktorá by sa musela uhradiť, by bola “iba” 1,7 miliónov dolárov.

Nie je to prvý spor spoločnosti Facebook

Facebook už v minulosti čelil viacerým žalobám. Za škandál Cambridge Analytica sa súdili aj iné štáty. Facebook v roku 2019 súhlasil, že odškodní vládu USA vo výške 5 miliard dolárov. Táto spoločnosť dostala pokutu aj v Spojenom kráľovstve a to vo výške pol milióna britských libier.

The post Facebook má na krku žalobu od Austrálie appeared first on Ochrana-online.sk.

V dnešnej dobe je možné poistiť hocičo a preto nie je nezvyčajné sa poistiť v oblasti GDPR.

GDPR a osobné údaje

GDPR sa dotklo každého, kto zbiera alebo nakladá s osobnými údajmi. Zasiahnutá je veľká skupina inštitúcií a podnikateľov.

Ak vlastníte eshop a používate osobné dáta na reklamné účely musíte spĺňať nariadenia GDPR. V prípade nedodržania nariadenia sa môže výška pokuty vyšplhať až na 20 miliónov eur.

Na čo by si podnikatelia mali dať pozor?

Povieme si aké faktory môžu ohroziť dodržiavanie General Data Protection Regulation:

• Odcudzenie alebo prípadná strata úložísk s dátami – Stačí ak stratíte alebo Vám ukradnú telefón, tablet, notebook alebo iné zariadenie, kde máte uložené citlivé osobné údaje,
• Zamestnanci – toto je tiež faktor, ktorý môže ohroziť Vašu firmu, preto si vždy dobre rozmyslite akým zamestnancom dáte prístup k dátam,
• Starý softvér alebo hardvér – ak je ochrana informácií nedostatočná, môže nastať prístup nepovolených tretích osôb.

Zabezpečte si svoje informačné systémy

Informačný systém by mal byť dostatočne zabezpečený a majitelia by nemali zanedbať ochranu. Prístup k databázam je cieľom hackerov, ktorí chcú odcudziť dáta a využiť ich na obohatenie alebo zneužitie.

Zodpovednosť je na ramenách vlastníkov databáz a tí by mali zabezpečiť dostatočnú ochranu. V prípade odcudzenia alebo straty dát Vám hrozia vysoké pokuty. Náhrady sa môže domáhať osoba, ktorá utrpí majetkovú alebo nemajetkovú ujmu.

The post Za nedodržanie GDPR nariadení hrozia pokuty až v miliónoch eur appeared first on Ochrana-online.sk.