Občania EÚ sa tešia, že ich dáta budú spracované bezpečnejšie, transparentnejšie a len tak, na čo dali súhlas. V zákone o všeobecnej ochrane údajov alebo GDPR sa vytvára priestor pre lepšiu ochranu dát. Nie je podstatné, či je poskytovateľ služieb fyzicky situovaný v EÚ alebo nie a taktiež nezáleží, či služby sú zadarmo alebo spoplatnené. Dôležité je, ak pôsobí v Európskej Únii, musí sa riadiť nariadeniami GDPR.

Facebook a jeho porušenie

Prípad Facebooku, kedy údaje boli ináč spracované treťou stranou, než na čo dali súhlas, nie je fikciou a boli tam aj užívatelia z EÚ. Tento únik môžeme nazvať aj ako nešťastná náhoda a je to pekný príklad, kedy boli porušené zákony GDPR.

Tretie strany a spracovanie dát

Nie je ľahké zaručiť ochranu súkromia používateľom alebo zákazníkom v takom meradle, v akom určuje GDPR. Podstatné ale je, aby to organizácia zaručila. Dobré je mať pod kontrolou všetky tretie strany, ktoré sú začlenené do siete v možnosti, ak je zapojená tretia strana ako spracovateľ údajov. Ak chce obchodný partner údaje nejako zneužiť, nespravíte takmer nič, ale za jeho zneužitie údajov ste zodpovedný.

GDPR a ochrana osobných údajov

Jednou z požiadaviek GDPR je ochrana osobných údajov podľa predvoleného nastavenia. Organizačné a technické kroky predstavujú dôležitý prvok pri nasadení týchto požiadaviek. Je dobré používať osvedčené kroky v pracovných postupoch a mať vhodne vypracované zmluvy. Treba si premyslieť, s kým sa rozhodnete spolupracovať. V prípade, ak partner porušuje pravidlá, nestačí mať zmluvy a dobré pracovné kroky.

The post Tretie strany a GDPR appeared first on Ochrana-online.sk.

Spomínané spoločnosti údaje uchovávajú kompletné informácie o súkromí ich používateľov. Ako príklad si vzal aktivity Národnej bezpečnostnej agentúry (NSA), ktorej dokumenty o sledovacích aktivitách americkej vlády už v roku 2013 predal novinárom.

Technologické firmy sa nevyhli kritike

„Ich obchodným modelom je zneužívanie. A napriek tomu sú všetky jeho časti legálne, či už hovoríme o Facebooku alebo NSA, to je ten problém. Legalizovali sme zneužívanie osoby. Bol zavedený systém, ktorý prospieva privilegovaným a ubližuje obyvateľstvu,“ spomenul počas konferencie.

Aj keď naďalej hodnotí všeobecné nariadenie o ochrane osobných údajov (GDPR) pozitívne a považuje ho za prospešné, tak vidí aj priestor na zlepšenie. „Chyba je hneď v názve. Problémom nie je ochrana údajov. Problémom je zhromažďovanie údajov,“ pokračoval.

Avšak pri pohľade na druhú stránku veci musela spoločnosť Google zaplatiť až 50 miliónov eur. Bolo to z dôvodu porušenia nariadenia. A podobných sankcií od uvedenie nariadenia GDPR v roku 2018 bolo viacero.

Čaká ho odňatie slobody?

Už v roku 2013 Edward Snowden, ako americký informátor, prišiel s dokumentmi, ktoré spájali NSA a Government Communitacions Headquarters so sledovaním. Podľa jeho slovo využívali na efektívne sledovanie obyvateľstva ich mobily a komunikáciu na internete.

Zo strany Washingtonu však prišlo jeho obvinenie kvôli špionáži a krádeži majetku, ktorý patrí vláde. Došlo k zrušeniu aj jeho cestovných dokladov, avšak Rusko mu do roku 2020 poskytlo azyl.

The post Zneužitie osobných údajov od spoločností Amazon, Facebook a Google appeared first on Ochrana-online.sk.

Z primárneho vyšetrovania Úradu Európskej únie pre dohľad nad ochranou dát (European Data Protection Supervisor – EDPS) vyplýva, že zmluvy, ktoré uzatvorili spoločnosť Microsoft spolu s inštitúciami EÚ, sú v nesúlade s nariadeniami o ochrane osobných údajov, konkrétne s nariadením GDPR, ktoré je nám už dostatočne známe.

Prioritou tohto nariadenia je predovšetkým držanie ochrannej ruky nad právami občanov EÚ, a to pri akýchkoľvek pokusoch o čo i len najmenšie zneužívanie ich osobných údajov. Problematika GDPR je už od jej vzniku veľmi citlivá, no čím ďalej, tým viac dôležitejšia pri rozvoji digitálneho priestoru a poskytovania digitálnych služieb, pretože sa týka nielen súkromných podnikateľov, ale aj verejných inštitúcií.

Problém so zmluvami Microsoftu nemá len EÚ

Vyššie spomínaný Úrad Európskej únie pre dohľad nad ochranou dát sa začal už v apríli tohto roka zaoberať zmluvami uzatvorenými medzi spoločnosťou Microsoft a Európskou úniou, Európskym parlamentom, ale aj mnohými inými inštitúciami EÚ. Na tomto prípade spolupracujú spolu s holandským Ministerstvom spravodlivosti. Po analýze a vyhodnotení rizík justičný rezort vydal oznámenie už v júni tohto roka. V ňom spomína, že rovnaký problém (v tomto prípade dodržiavanie nariadenia GDPR zakotvené v zmluvách so spoločnosťou Microsoft) majú taktiež orgány verejnej správy štátov Európskej únie.

Okrem toho, minulý rok holandská vláda podala aj vyjadrenie prostredníctvom publikovanej správy o tom, že má isté obavy, týkajúce sa spôsobu zberu osobných údajov spoločnosťou Microsoft, konkrétne v rámci ponuky ich služieb Microsoft Office ProPlus.

V zmluvách Microsoftu nastanú zmeny

Čo sa týka samotnej spoločnosti, tá napokon potvrdila, že s dodržiavaním ochrany osobných údajov, ale aj iných právnych predpisov problémy má. Podľa hovorcu spoločnosť Microsoft rokuje so svojimi zákazníkmi (v tomto prípade ide o zákazníkov z radov inštitúcií EÚ), s ktorými preberá zmeny v zmluvných podmienkach. Tie by mali byť ohlásené už čoskoro. Dovtedy vám budeme prinášať ďalšie novinky a aktuality zo sveta GDPR.

The post EÚ má Microsoft opäť v zuboch. Dôvodom je GDPR. appeared first on Ochrana-online.sk.

Viaceré oznámenia škole o odstránení fotografie

Príslušný orgán poslal škole oznámenie o porušený ochrany osobných údajov v septembri 2018. Škola dostala oznámenie, že môže nakladať s údajmi len v súlade s účelom, pre ktoré boli zhromaždené. Upozornenie od úradu pre školu bolo jasné a to, že musí odstrániť fotografiu zo sociálnej siete Facebook nakoľko nemá žiadny právny titul k bývalému zamestnancovi.

Reakcia školy

Odpoveď školy bola jednoznačná, poslala odkaz na svoju stránku v sociálnej sieti Facebook kde bola fotografia poškodeného z júla 2017. Škola sa bránila. Na facebooku nie je uvedené, že poškodený je stále v pracovnom pomere a nie je možné vychádzať z fotografie, označeného menom a priezviskom.

Reakcia úradu

Print screen použil úrad a zistil, že škola koná neoprávnene a protiprávne, keďže nestiahla fotografiu. Úrad vydal výzvu kde školu žiada o neodkladné napravenie protiprávneho stavu. Bohužial škola tento stav nenapravila.

Úrad vyhlásil, že zverejnenie osobných údajov bývalých zamestnancov je možné iba v prípade, že úćastník dal predchádzajúci súhlas, pričom v tomto prípade ho bývalý zamestnanec nedal.

Uloženie pokuty vo výške 10 000 CZK

Zákon o ochrane osobných údajov v Česku stanovil skutkové podstaty v oblasti ochrany osobných dát a údajov a rozlišuje medzi súkromno – právnymi a verejno – právnymi subjektmi. Maximálna výška môže dosiahnuť rekordných 10 miliónov CZK. Orgánom verejnej moci je možné udeliť pokutu do 15 000 CZK. 

Slovenská republika nerozlišuje subjekty verejnoprávnej alebo súkromnej sféry. Pravidlá platia pre všetkých rovnako. V zákone 18/2018 o ochrane osobných údajov je uvedené výška pokuty do 20 000 000 eur, ale v prípade podniku do 4% celkového svetového ročného obratu za predošlý účtovný rok.

The post Pokuta kvôli bývalému zamestnancovi – môže za to uverejnená fotografia appeared first on Ochrana-online.sk.

Zvolní sa smernica? 

Minulý rok nastal veľký tresk, ministerstvo sa nevyjadrovalo a riaditelia dostali smernice dosť neskoro. Niektoré školy dokonca čakali, že nariadenia nebudú také prísne a od tvrdých pravidiel sa upustí.  Nestalo sa tak.

Veľa škôl si doteraz sťažuje na veľké papierovanie či dokonca rôzne komplikácie. GDPR je dobrá smernica, ktorá usmerňuje veľké korporáty ako nakladať s informáciami, ale usmernenie v niektorých sférach je niekedy pritiahnuté za vlasy, ako tvrdia školy v Česku.

Zatváranie škôl kvôli nedodržiavaniu smerníc GDPR?

GDPR sa v mnohých krajinách nevzťahovala na školy alebo pravidlá neboli také prísne. České nastavenie zákona pri školách budilo obavu zo zavretia školy alebo z vysokých pokút.

České úrady uistili školy, že vysoké pokuty nebudú hroziť. Čakalo sa na prvé pokuty ale tie neprišli.

Šéfka asociácie základných škôl tvrdí, že si školy zvykli na nariadenia. Začiatky bývajú vždy najťažšie. Šéfka asociácie hovorí, že nepočula,že by niekto veľmi nadával. Taktiež si myslí, že stačí vybaviť generálny súhlas na zverejnenie fotiek a ďalších osobných údajov.

Spätné odobratie súhlasu na zverejnenie 

Problém ale vzniká vtedy ak rodič odoberie súhlas na zverejnenie údajov, kedy by mali byť informácie stiahnuté. Napríklad táto situácia nastáva pri vyhotovení skupinových fotografií, kde škola musí zabezpečiť, aby všetky deti mali podpísaný súhlas na zverejnenie. Ak sa rodič rozhodne odobrať súhlas, nastávajú problémy.

The post Školy v Česku súperia s GDPR, namiesto mien len obrázky appeared first on Ochrana-online.sk.

Podľa návrhu, ktorý zaviedlo austrálske ministerstvo vnútra, by sa mala tvár používateľov zhodovať s fotografiami z dokladov totožnosti. Zostáva však neznáme, ako by užívateľ pri každej návšteve stránky pre dospelých preukazoval svoju totožnosť.

Návrh, samozrejme, vzniesol určité obavy týkajúce sa kybernetickej bezpečnosti a súkromia. Ray Walsh, advokát na ochranu súkromia na ProPrivacy, povedal: „Druh databázy, ktorú by tento návrh vytvoril, je skutočne veľmi desivý, vzhľadom na doterajšie skúsenosti austrálskych orgánov, pokiaľ ide o zabezpečenie citlivých spotrebiteľských údajov. Už sme videli prípady porušenia v agentúrach, ako je austrálska federálna polícia, ministerstvo pre prisťahovalectvo a ochranu hraníc a austrálsky štatistický úrad – čo dokazuje, že austrálska vláda je nedostatočne vybavená na zabezpečenie údajov o občanoch.“

Keby došlo k porušeniu údajov, následky by boli katastrofálne. V roku 2015 sa podaril únik údajov používateľa Ashley Madison Breach, pomocou ktorého došlo k úniku používateľských údajov z webových stránok o mimomanželských záležitostiach.

Lecio de Paula Jr, riaditeľka oddelenia ochrany osobných údajov v spoločnosti KnowBe4, zdôraznila, že sa v návrhu neuvádza, ako sa bude presadzovať rozpoznávanie tváre v súlade s osvedčenými postupmi ochrany osobných údajov. „Akýkoľvek návrh, ako je tento, vyvoláva veľa otázok. Aký typ modelu AI sa použije? Aké údaje sa budú ukladať o prípadných neplnoletých (ak sa vyskytnú)? Môžu potom umiestniť sledovací súbor cookie a budú mať možnosť začať profilovať maloletých, ktorí sa pokúsia vstúpiť na tieto stránky? Kto bude mať prístup k údajom?“

Návrh nasleduje po tom, ako čoraz viac miest v USA zakazuje používanie systémov na rozpoznávanie tváre pod dohľadom. San Francisco sa stáva prvým mestom v USA, ktoré nemôže používať technológie na rozpoznávanie tváre. Kalifornia nedávno schválila trojročné moratórium zakazujúce štátnym a miestnym orgánom činným v trestnom konaní používať technológiu rozpoznávania tváre.

The post Austrália navrhuje rozpoznávanie tváre na získanie prístupu na stránky pre dospelých appeared first on Ochrana-online.sk.

Čo zahŕňa spracúvanie osobných údajov zamestnanca?

Pre tento účel zamestnávateľ spracúva najmä:

• evidovanie pracovných úrazov,
• evidovanie školení zamestnancov v oblasti BOZP,
• kontrolu zamestnancov (náhodné vykonávanie „skrinkových testov“, ktoré by mali odhaliť držanie niektorých z nepovolených látok či alkoholu).

Na účely BOZP sú osobné údaje spracúvané na právnom základe zákonnej povinnosti prevádzkovateľa, a to v zmysle zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci (ďalej len „zákon o BOZP“).

BOZP školenie pre zamestnancov

Ďalšou povinnosťou zamestnávateľa, podľa § 7 ods. 1 písm. a) zákona o BOZP, je pravidelne, zrozumiteľne a preukázateľne oboznamovať každého zamestnanca s právnymi predpismi a ostatnými predpismi na zaistenie bezpečnosti a ochrany zdravia pri práci, so zásadami bezpečnej práce, zásadami ochrany zdravia pri práci, zásadami bezpečného správania sa na pracovisku a s bezpečnými pracovnými postupmi a overovať ich znalosť.

Na účely školenia sa spracúvajú tieto údaje:

• titul, meno a priezvisko,
• podpis.

Medzi dotknuté osoby patria zamestnanci prevádzkovateľa. V zmysle zákona o BOZP sú osobné údaje uchovávané na 5 rokov odo dňa, keď bol v záznamoch vykonaný posledný záznam. Za príjemcu osobných údajov sa považuje sprostredkovateľ – dodávateľ, ktorý vykonáva školenie o BOZP.

Vykonanie evidencie pracovných úrazov

Zamestnávateľ je podľa § 17 ods. 4 zákona o BOZP povinný registrovať pracovný úraz, ktorým bola spôsobená pracovná neschopnosť zamestnanca trvajúca viac ako tri dni alebo smrť zamestnanca, ku ktorej došlo následkom pracovného úrazu (ďalej len „registrovaný pracovný úraz“) tak, že:

1. určí príčinu a všetky možnosti jeho vzniku, a to za účasti zamestnanca, ktorý utrpel registrovaný pracovný úraz.

2. Najneskôr do štyroch pracovných dní spíše záznam o registrovanom pracovnom úraze po oznámení vzniku registrovaného pracovného úrazu.

3. Aby zabránil opakovaniu podobného incidentu, vykoná a príjme potrebné opatrenia.

Spracúvanie osobných údajov na účely šetrenia pracovného úrazu má svoj právny základ. Ním je vyhláška Ministerstva práce, sociálnych vecí a rodiny SR. č. 500/2006 Z. z., ktorou sa ustanovuje vzor záznamu o registrovanom úraze.

Nasledujúce osobné údaje zamestnanca spracúva prevádzkovateľ:

• titul, meno, priezvisko,
• dátum narodenia,
• adresa trvalého pobytu,
• denný vymeriavací základ,
• funkcia (druh vykonávanej práce),
• údaje o úraze.

Testy na alkohol

Dôvodom spracúvania osobných údajov je preverenie dodržiavania predpisov na zaistenie BOZP. Dohliadnuť, či nie je zamestnanec pod vplyvom alkoholu, omamných alebo psychotropných látok.

Na účely skríningových testov prevádzkovateľ spracúva tieto údaje:

• meno, priezvisko, oddelenie, osobné číslo, číslo OP, pozícia, nadriadený,

• výsledok skúšky na prítomnosť psychotropných/omamných látok a alkoholu.

Medzi príjemcov osobných údajov môžeme zaradiť:

• bezpečnostnú službu,
• orgány činné v trestnom konaní,
• sprostredkovateľ – medicínske zariadenie, ktoré vykoná testy na omamné a psychotropné látky.

Údaje sú uchovávané na obdobie 5 rokov.

The post GDPR zamestnanca pri BOZP appeared first on Ochrana-online.sk.