Tento typ dát sa používa na marketingové účely

Informácie o správaní boli využívané väčšinou pre marketingové účely. Úlohou bolo rekonštruovať históriu prehliadania internetových stránok, a tak lepšie predpovedať správanie užívateľov pre optimalizovanie obchodných stratégií za účelom zvýšenia ziskov.

Avast má aj doplnky webových prehliadačov

Avast Online Security či Avast SafePrice sú doplnky internetových prehliadačov, ktoré taktiež zbierali dáta od svojich používateľov. 

Dáta, ktoré nemusia byť úplne anonymizované

Spoločnosť Avast sa vyjadrila, že tieto zbierané údaje boli anonymizované. Avšak ľudia, ktorí objavili túto praktiku tvrdia, že dáta je možné deanonimizovať a priradiť ku konkrétnym subjektom. Pri deanonimizovani dát je možné spojiť konkrétne subjekty a stránky, ktoré boli navštívené s presnosťou na milisekundy. Táto praktika je veľký zásah do súkromia používateľov.

Pre túto spoločnosť to má nepríjemný dopad, nakoľko sa tým zaoberá Úrad na ochranu osobných údajov.

Možnosť opt-in/opt-out

Avast zaviedol pri zdieľaní týchto dát možnosť opt-out/opt-in, keď sa inštaluje bezplatná verzia programu. 

Aj keď bola zavedená možnosť opt-in/opt-out, veľa používateľov bezplatnej verzie od Avastu zdieľa svoje dáta, pričom o tom ani nemusia mať vedomosť. V bezplatnom antivírusovom programe Avast Free Antivirus, je možné si skontrolovať aké osobné dáta zdieľate. Stačí si otvoriť Menu – Nastavenia – Obecné – Zdieľané dáta. Rozhodne sa oplatí skontrolovať aj webové doplnky od tejto spoločnosti ak ich používate.

Na základe možnosti opt-in sa používateľ rozhodne či službu využije alebo nie. Zvyčajná forma býva pomocou zaškrtávacích políčok.

Pri možnosti Opt-out program rozhodne za vás či danú službu využijete. Používateľ môže spätne rozhodnutie zmeniť. Avast si vybral možnosť opt-out, a tak musí ísť používateľ do nastavení ak dáta zdielať nechce, musí dodatočne zmeniť výber.

The post Avast zbieral dáta o svojich používateľoch a následne ich predával appeared first on Ochrana-online.sk.

Je možné, aby prevádzkovateľ poveril na spracovanie osobných dát sprostredkovateľa. Poverenie sa nadobúda osobitnou zmluvou.

Na základe európskeho nariadenia, sa spracovanie účtovníctva externým spôsobom v pozícii sprostredkovateľa musí ošetriť špeciálnou zmluvou, ktorá sa uzatvára medzi prevádzkovateľom a sprostredkovateľom. Táto zmluva sa nazýva sprostredkovateľská. Súhlas danej osoby, ktorej sa spracúvajú osobné údaje externým účtovníkom, sa nevyžaduje.

Ak sa uzavrie sprostredkovateľská zmluva, externá účtovnícka jednotka môže začať spracúvať osobné dáta zamestnancov prevádzkovateľa. Zmluva určuje rozsah a podmienky spracúvania osobných údajov a taktiež sú dôležité pokyny prevádzkovateľa.

Externý účtovník si nesmie sám určiť účel spracúvania osobných dát, určuje ho prevádzkovateľ. Účel je vedenie účtovníctva a spracovanie účtovných dokladov alebo aj mzdová agenda.

Externý účtovník a jeho základné povinnosti podľa legislatívy GDPR

GDPR vymedzuje množstvo povinností externého účtovníka v úlohe sprostredkovateľa. Tieto nasledujúce povinnosti môžeme definovať ako najdôležitejšie:

• Povinnosťou je ochraňovať spracúvané osobné dáta

Či už má prevádzkovateľ alebo sprostredkovateľ (externý účtovník) za úlohu ochraňovať osobné dáta v kontexte legislatívy GDPR, je dôležité sa zamerať na riziká, ktoré sa spájajú so spracovaním osobných dát ako napríklad – neoprávnený prístup k dátam, zničenie údajov, prípadná zmena alebo iné.

• Povinnosťou je mať dokumentáciu o spracovateľských činnostiach

Ak zamestnávateľ zamestnáva cez 250 pracovníkov a využíva externého účtovníka, musia sa vytvoriť záznamy o spracovateľských činnostiach, ktoré spravil v mene daného zamestnávateľa. Ak sa vykonáva účtovnícka agenda aj pre viacerých takýchto podnikateľských jednotiek, tak sa záznamy musia viesť pre každého jedného zvlášť.

V prípade menšieho počtu pracovníkov nie je povinnosť ich viesť, ale externý účtovník môže viesť záznamy dobrovoľne. Môže mu to uľahčovať orientáciu pri spracúvaní osobných dát. Taktiež môže táto dokumentácia slúžiť pri preukazovaní vykonávania svojich povinností. Vedenie záznamov o spracovateľskej činnosti je nutné evidovať v písomnej, ale aj elektronickej forme. Ak nastane kontrola od Úradu na ochranu osobných údajov SR je nutné, aby externý účtovník predložil dané záznamy.

• Povinnosťou je oboznámiť prevádzkovateľa pri porušení ochrany osobných údajov

Európske nariadenie zaviedlo povinnosť pre sprostredkovateľov oznámiť bezpečnostné narušenie prevádzkovateľovi. To znamená, že ak sa externý účtovník dozvie o incidente, ktorý porušuje ochranu osobných údajov, s ktorými nakladá, musí to okamžite ako sa o tom dozvie, oznámiť prevádzkovateľovi. Oznámenie by malo obsahovať aké porušenie nastalo, akých osobných dát sa to dotýka a podobne.

• Povinnosťou je kooperovať s Úradom na ochranu osobných údajov SR

Povinnosťou externého účtovníka je na vyžiadanie dozorného orgánu spolupracovať. Dozorný orgán je v tomto prípade Úrad na ochranu osobných údajov SR.

• Povinnosťou je vrátiť alebo odstrániť osobné údaje prevádzkovateľa

Ak nastane situácia skončenia poskytovania externých účtovníckych služieb, externý účtovník je povinný zlikvidovať kópie a originály osobných údajov, prípadne ich odovzdať prevádzkovateľovi. Ukončenie spolupráce je nutné vopred určiť v sprostredkovateľskej zmluve.

• Povinnosťou je zachovanie mlčanlivosti

Úlohou externého účtovníka je dodržiavať mlčanlivosť o osobných dátach, s ktorými pracuje. Toto mlčanie musí pretrvávať aj po skončení spolupráce s prevádzkovateľom.

 Za porušenie povinností hrozia nemalé sankcie

Zákon o ochrane osobných údajov ukladá za porušenie nariadení pokuty. V prípade sprostredkovateľa sú dotknutí aj externí účtovníci.

V prípade ak si externý účtovník nesplní povinnosť viesť záznamy o sprostredkovateľských činnostiach, neoznámi prevádzkovateľovi bezpečnostný incident ohľadom ochrany osobných dát, či nezachová povinnosť mlčania, úrad mu môže uložiť sankciu do výšky 10 000 000 eur alebo ak sa jedná o podnik do 2% celkového svetového ročného obratu za predchádzajúci účtovný rok v závislosti, ktorá suma je vyššia.

The post Externé vedenie účtovníctva v súvislosti s GDPR časť 2. appeared first on Ochrana-online.sk.

GDPR a spracovanie osobných údajov

GDPR – General Data Protection Regulation má za úlohu ochranu osobných dát fyzických osôb pri spracúvaní osobných údajov. Toto nariadenie je v platnosti od mája 2018 a dotýka sa každého, kto pri podnikaní narába s osobnými údajmi.

Toto nariadenie sa vzťahuje na každého podnikateľa, ktorý uchováva alebo spracúva osobné údaje, pričom nezáleží na množstve týchto dát. Podnikatelia sú povinní chrániť osobné dáta dotknutých osôb ako napríklad zamestnancov.

Povinné účtovníctvo

Účtovník alebo účtovnícka firma má za úlohu viesť účtovníctvo danej účtovnej jednotky. Firmy môžu vedenie účtovníctva robiť externe alebo interne.

Pri oboch prípadoch prichádza k spracovaniu osobných dát fyzických osôb ako napríklad pri:

• faktúrach,
• formulároch,
• spracovanie dát zamestnancov,
• účtovných dokladoch.

Spracovanie účtovníctva externou firmou

V prípade ak sa podnikateľ (zamestnávateľ) rozhodne pre vedenie účtovníctva externou firmou, musí myslieť aj na nariadenia GDPR a jeho konanie musí byť v súlade s legislatívou.

Externý účtovník alebo účtovnícka firma musí poskytovať záruku, že spracovanie bude spĺňať nariadenia GDPR a taktiež prijať dostatočné organizačné a technické opatrenia. GDPR musí dodržiavať nielen zamestnávateľ ale aj externý účtovník.

Sprostredkovateľ a prevádzkovateľ

Poznáme dva subjekty pri ochrane osobných dát – sprostredkovateľ a prevádzkovateľ.

• Sprostredkovateľ – pod týmto pojmom môžeme chápať fyzickú alebo právnickú osobu, ktorá nakladá alebo spracúva osobné dáta v mene prevádzkovateľa.

• Prevádzkovateľ – tento pojem môžeme špecifikovať ako fyzickú alebo právnickú osobu, ktorá nakladá alebo spracúva osobné dáta vo svojom mene.

V prípade ak účtovnícka firma alebo účtovník vykonáva účtovnícku agendu externe pre inú firmu alebo podnikateľa, pričom nakladá s osobnými dátami zamestnancov daného podnikateľa, má v rámci GDPR štatút sprostredkovateľa.

V tomto prípade je daný externý účtovník sprostredkovateľom a nakladá s osobnými dátami dotknutých osôb pre iný podnikateľský subjekt – prevádzkovateľa.

The post Externé vedenie účtovníctva v súvislosti s GDPR časť 1. appeared first on Ochrana-online.sk.

Táto informácia sa nachádza už v samotnej „poučke” pojmu osobný údaj, ktorá hovorí: „Osobný údaj je akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby.“

Táto časť vety nám úplne stačí na to, aby sme porozumeli, že fotografia skutočne osobných údajom je. A to najmä preto, že fyzickú osobu vieme na základe fotografie odlíšiť a identifikovať od iných osôb napriek tomu, že pri fotografií nie je uvedené žiadne meno či priezvisko. 

Avšak, je dôležité povedať, že fotografia sa už v dnešnej dobe nepovažuje za citlivý údaj. Výnimku tvoria fotografie tváre, ktoré sú spracovávané zariadením slúžiacim na snímanie biometrických údajov fyzickej osoby. 

Čo považujeme za spracúvanie osobných údajov v prípade fotografie?

V prvom rade sem neradíme nejasné a rozmazané fotografie, na ktorých danú osobu nemožno žiadnym spôsobom identifikovať.  

Spracúvanie fotografií zamestnávateľom môžeme rozdeliť na 3 zložky:

1. s propagačným cieľom,
2. s cieľom vydania zamestnaneckého preukazu,
3. s cieľom vedenia dochádzky.

Propagácia

Najčastejšie sa týka zverejňovania fotografií zamestnancov na webovej stránke zamestnávateľa, na intranete, vizitkách, firemnom časopise či na propagačných materiáloch.

Mnohé spoločnosti zverejňujú fotografie zamestnancov na svojich webových stránkach. Hlavným dôvodom je lepšia a rýchlejšia komunikácia so zákazníkom, lepšie vybavenie si daného zamestnanca (napr. pracovníka zákazníckeho servisu). Na tento účel sa však vyžaduje súhlas od zamestnanca.  

V prípade intranetu sa zverejňujú fotografie zamestnancov pre zlepšenie komunikácie medzi samotnými zamestnancami. Takisto je potrebný súhlas. 

Firemný časopis je ideálny nástroj na tvorbu firemnej kultúry v podniku, ale aj na informovanie zamestnancov o tom, čo sa v ich podniku práve deje. Ak zamestnávateľ plánuje zverejňovať fotografie zamestnancov z dôvodu jubilea, blahoželania k pracovnému úspechu či dokonca z firemnej akcie, aj v tomto prípade potrebuje súhlas.

Vydávanie zamestnaneckých preukazov

Právnym základom je oprávnený záujem prevádzkovateľa, ktorým je jednoznačná identifikácia zamestnanca pri vstupe do priestorov firmy. 

Vedenie dochádzky

Na vedenie dochádzky zamestnancov sa vo väčšine prípadov dnes už využívajú elektronické dochádzkové systémy vyhotovujúce fotografie zamestnancov pri príchode do firmy.

Zamestnávateľ má tak vyššiu kontrolu pred podvodmi zamestnancov pri evidencii ich dochádzky. V tomto konkrétnom prípade sa súhlas zamestnanca na spracúvanie jeho fotografie nevyžaduje.  

Opäť sme si povedali niečo zaujímavé o GDPR. Veríme, že budete odteraz so všetkými fotografiami narábať v súlade s týmto zákonom. 

The post GDPR a fotografia appeared first on Ochrana-online.sk.

V zdĺhavej správe sa uvádza, že spoločnosť Sprint zhromažďovala informácie o ľuďoch podľa podmienok nariadenia GDPR a odvoláva sa pritom na oprávnený záujem.

Nevyžiadaná pošta?

Jeden z príjemcov tejto elektronickej pošty však tvrdil, že to bol jeho prvý kontakt akéhokoľvek druhu so spoločnosťou, a preto sa jednalo o nevyžiadanú poštu. Všimol si však, že URL adresa na aktualizáciu preferencií obsahuje reťazec čísel. Následnou úpravou jednej z číslic sa dostal k osobným informáciám každého zo zoznamu, na ktorý boli hromadné e-maily rozposlané.

V súčasnosti už odkaz nezobrazuje osobné informácie, ale presmerúva ľudí na tzv. Opt-out stránku, kde sa používateľ môže odhlásiť zo spomínanej služby.

Ochranca osobných údajov?

Riaditeľ firmy Sprint Education, Guy Lewis, potvrdil, že vždy predtým ako začnú aktívne spracovávať údaje svojich zákazníkov, zašlú e-maily obsahujúce informácie o zbere a spôsobe ich spracovania. Zákazníci potom môžu upraviť svoje GDPR preferencie v Preferenčnom centre. Tým sa firma snaží prezentovať ako spoločnosť, ktorá berie ochranu údajov a súkromia s najväčšou vážnosťou.

Dodal, že údaje, ktoré mohli byť zobrazené, boli a aj sú verejne dostupné. Ako príčinu tohto incidentu uviedol nepozornosť člena tímu, ktorý hromadne odosielal e-maily a a zabudol vypnúť „sledovanie klikov” pre linky odkazujúce na ich Preferenčné centrum. Hneď ako si tím túto chybu všimol odosielanie bolo zastavené. Predpokladá sa, že takýto e-mail bol doručený menej ako 250 zákazníkom. 

Udelia pokutu?

Toto zlyhanie však umožnilo niekomu prezerať údaje iných ľudí, čo by mohlo byť v rozpore s Článkom 32 nariadenia GDPR. Ako argument môže spoločnosti slúžiť aj to, že ak šlo skutočne o verejné údaje, úroveň bezpečnosti bola primeraná tomuto riziku, pretože riziko spojené s odcudzením údajov, je veľmi nízke. Zatiaľ nie je jasné, či niektorý regulačný úrad bude tento incident preverovať. 

The post Kuriozitné porušenie nariadenia GDPR appeared first on Ochrana-online.sk.

Riešenie viacerých problémov

Spolu s platnosťou GDPR pribudlo firmám a organizáciám hneď niekoľko povinností pri zbieraní, spracovaní a uchovávaní informácií. Dodržiavanie nariadenia GDPR si mnohokrát vyžaduje používanie najmodernejších technológií, a tým pádom aj pokročilé systémy pre riadenie prístupu.

Riešením problémov v spomínanej oblasti ochrany spracovania dokumentov môžu byť DMS systémy (Document Management System). Ako veľmi vám pomôžu, závisí najmä od množstva údajov, ktoré ste doteraz spracovali, no aj od prepojenia medzi jednotlivými časťami informačnej štruktúry v vašom podniku.

Čo sú to DMS systémy?

Ide o systémy pre správu a obeh dokumentov. Táto technológia zavádza do firemného spracovania dokumentov poriadok, pretože umožňuje ukladanie šifrovaných dokumentov, ich kategorizáciu, no aj nastavenie skartačných lehôt. DMS systém dokáže v podstate automaticky riadiť celý systém od archivácie až po skartáciu osobných údajov, ale aj prístup k nim, no okrem toho aj obnovenie dostupnosti osobných údajov v prípade bezpečnostného či technického incidentu.

Niektoré typy DMS systémov pomáhajú aj s evidenciou súhlasov jednotlivých subjektov, správy týchto súhlasov i sledovania termínov ich platnosti. Dokonca sa DMS proces nevyhne pravidelnému testovaniu a hodnoteniu opatrení, ktoré boli zavedené v danej firme alebo organizácií.

Pohodlne s mobilom

DMS systémy je možné spravovať dokonca už aj z mobilu. Z tohto dôvodu je možné získať prístup k danému dokumentu rýchlo bez ohľadu na čas a miesto, na ktorom sa nachádzate. Výsledkom je väčšia efektivita práce vašej firmy či organizácie.

The post Dodržiavanie GDPR vám uľahčí systém DMS appeared first on Ochrana-online.sk.