Boli porušené pravidlá na ochranu osobných údajov?

Sťažnosť zahájila vyšetrovanie tejto aplikácie. Instagram sprístupnil informácie k účtom každému, kto sa prihlásil do aplikácie. Vyšetrovanie sa zameriava na možnosť nastavenia užívateľského profilu a či tento proces spĺňa pravidlá na ochranu dát.

Regulátor v samostatnom vyšetrovaní zistuje či je Facebook oprávnený nakladať s osobnými dátami detí a mladistvých, a či má dostatočné zabezpečenie na ochranu mladistvých a detí v aplikácií Instagram.

V Írsku sídli veľa amerických technologických firiem. Dohľad nad ochranou osobných dát ľudí v EÚ má DPC (Írska komisia na ochranu dát). Táto komisia je oprávnená udeľovať pokuty za nedodržanie legislatívy GDPR. General Data Protection Regulation začali v EÚ platiť v roku 2018.

Pokuta za porušenie nariadení nie je nízka

Graham Doyle člen írskej komisie pre agentúru Reuters uviedol, že úrad si vytipoval  oblasti, kde môžu byť potencionálne zdroje nezrovnalostí.Graham Doyle vyhlásil, vyšetrovanie tohto incidentu sa začalo v septembri.

GDPR alebo aj legislatíva na ochranu osobných údajov, dáva priestor na udelenie pokuty za porušenie až 20 miliónov eur alebo 4% z globálnych tržieb firmy v závislosti, ktorá zo súm bude vyššia.

The post Údajné porušenie zákona na ochranu osobných údajov v službe Instagram appeared first on Ochrana-online.sk.

Čo zahŕňa spracúvanie osobných údajov zamestnanca?

Pre tento účel zamestnávateľ spracúva najmä:

• evidovanie pracovných úrazov,
• evidovanie školení zamestnancov v oblasti BOZP,
• kontrolu zamestnancov (náhodné vykonávanie „skrinkových testov“, ktoré by mali odhaliť držanie niektorých z nepovolených látok či alkoholu).

Na účely BOZP sú osobné údaje spracúvané na právnom základe zákonnej povinnosti prevádzkovateľa, a to v zmysle zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci (ďalej len „zákon o BOZP“).

BOZP školenie pre zamestnancov

Ďalšou povinnosťou zamestnávateľa, podľa § 7 ods. 1 písm. a) zákona o BOZP, je pravidelne, zrozumiteľne a preukázateľne oboznamovať každého zamestnanca s právnymi predpismi a ostatnými predpismi na zaistenie bezpečnosti a ochrany zdravia pri práci, so zásadami bezpečnej práce, zásadami ochrany zdravia pri práci, zásadami bezpečného správania sa na pracovisku a s bezpečnými pracovnými postupmi a overovať ich znalosť.

Na účely školenia sa spracúvajú tieto údaje:

• titul, meno a priezvisko,
• podpis.

Medzi dotknuté osoby patria zamestnanci prevádzkovateľa. V zmysle zákona o BOZP sú osobné údaje uchovávané na 5 rokov odo dňa, keď bol v záznamoch vykonaný posledný záznam. Za príjemcu osobných údajov sa považuje sprostredkovateľ – dodávateľ, ktorý vykonáva školenie o BOZP.

Vykonanie evidencie pracovných úrazov

Zamestnávateľ je podľa § 17 ods. 4 zákona o BOZP povinný registrovať pracovný úraz, ktorým bola spôsobená pracovná neschopnosť zamestnanca trvajúca viac ako tri dni alebo smrť zamestnanca, ku ktorej došlo následkom pracovného úrazu (ďalej len „registrovaný pracovný úraz“) tak, že:

1. určí príčinu a všetky možnosti jeho vzniku, a to za účasti zamestnanca, ktorý utrpel registrovaný pracovný úraz.

2. Najneskôr do štyroch pracovných dní spíše záznam o registrovanom pracovnom úraze po oznámení vzniku registrovaného pracovného úrazu.

3. Aby zabránil opakovaniu podobného incidentu, vykoná a príjme potrebné opatrenia.

Spracúvanie osobných údajov na účely šetrenia pracovného úrazu má svoj právny základ. Ním je vyhláška Ministerstva práce, sociálnych vecí a rodiny SR. č. 500/2006 Z. z., ktorou sa ustanovuje vzor záznamu o registrovanom úraze.

Nasledujúce osobné údaje zamestnanca spracúva prevádzkovateľ:

• titul, meno, priezvisko,
• dátum narodenia,
• adresa trvalého pobytu,
• denný vymeriavací základ,
• funkcia (druh vykonávanej práce),
• údaje o úraze.

Testy na alkohol

Dôvodom spracúvania osobných údajov je preverenie dodržiavania predpisov na zaistenie BOZP. Dohliadnuť, či nie je zamestnanec pod vplyvom alkoholu, omamných alebo psychotropných látok.

Na účely skríningových testov prevádzkovateľ spracúva tieto údaje:

• meno, priezvisko, oddelenie, osobné číslo, číslo OP, pozícia, nadriadený,

• výsledok skúšky na prítomnosť psychotropných/omamných látok a alkoholu.

Medzi príjemcov osobných údajov môžeme zaradiť:

• bezpečnostnú službu,
• orgány činné v trestnom konaní,
• sprostredkovateľ – medicínske zariadenie, ktoré vykoná testy na omamné a psychotropné látky.

Údaje sú uchovávané na obdobie 5 rokov.

The post GDPR zamestnanca pri BOZP appeared first on Ochrana-online.sk.

Zákony vo svete

Po zavedení nariadenia GDPR vznikol dopyt po súkromí aj v krajinách mimo Európskej únie. Príkladom môže byť Bahrajn, krajina Stredného východu, ktorý prijal svoj vlastný zákon o ochrane osobných údajov. Očakáva sa, že v tomto trende bude pokračovať viac krajín v regióne. V Európe je téma súkromia údajov už dlhodobo dobre známou. Ešte pred zavedením samotného nariadenia GDPR existovali vo viacerých štátoch zákony, ktoré upravovali súkromie údajov, na rozdiel od Blízkeho východu kde si spoločnosti jeho dôležitosť neuvedomujú doteraz.

SAE chcú svoju verziu GDPR

TRA (Telecommunications Regulatory Authority) spustila stratégiu v snahe umožniť rýchlu a koordinovanú reakciu v prípade kybernetických incidentov v SAE. Jedným z bodov v tejto stratégii je súkromie údajov. 

Súkromie údajov zohráva kľúčovú úlohu aj v pripravovaných zákonoch o ochrane osobných údajov. Podľa vyjadrení riaditeľa odboru politiky a programov TRA v Spojených arabských emirátoch Mohammada Al Zarooniho sa pri vypracovávaní zaoberajú len tými najlepšími dokumentami na svete. A nariadenie GDPR je jedným z nich. 

Ciele nariadenia SAE

V časovom rámci troch rokov bude tiež vykonaných 60 iniciatív v piatich hlavných bodoch:

1. Zabezpečiť existujúce a vznikajúce technológie a podporovať ochranu malých a stredných podnikov (MSP) prostredníctvom rozvoja základného štandardu kybernetickej bezpečnosti pre MSP.
2. Povinnosť certifikácie implementácie kybernetickej bezpečnosti pre vládnych dodávateľov.
3. Vytvorenie jednotného kontaktného miesta pre MSP, ktorý im umožní implementovať normu.
4. Vytvoriť predpisy na riešenie všetkých typov počítačovej kriminality.
5. Posilniť zákony o kybernetickej bezpečnosti.

Hlavnými cieľmi budú kritické infraštruktúry ako sú štátna správa, energetika, IKT, financie, núdzové služby, zdravotníctvo, doprava a poľnohospodársky priemysel.

Pred čím chrániť údaje

Podľa výskumov firmy Cybersecurity Ventures sú kybernetické útoky najrýchlejšie rastúcou kriminalitou. Naberajú na rozsahu, intenzite a sofistikovanosti. Z tohto dôvodu sú potrebné národné stratégie kybernetickej bezpečnosti ako hlavného prvku prevencie rizík a pripravenosti na bezpečnostné výzvy v kyberpriestore. Generálny riaditeľ TRA vidí budúcnosť Spojených arabských emirátov v inteligentnom prepojení miliónov zariadení a platforiem. Dodáva však, že toto obrovské množstvo údajov bude vystavené mnohým rizikám.      

The post GDPR inšpirovalo aj Spojené arabské emiráty appeared first on Ochrana-online.sk.

Riešenie viacerých problémov

Spolu s platnosťou GDPR pribudlo firmám a organizáciám hneď niekoľko povinností pri zbieraní, spracovaní a uchovávaní informácií. Dodržiavanie nariadenia GDPR si mnohokrát vyžaduje používanie najmodernejších technológií, a tým pádom aj pokročilé systémy pre riadenie prístupu.

Riešením problémov v spomínanej oblasti ochrany spracovania dokumentov môžu byť DMS systémy (Document Management System). Ako veľmi vám pomôžu, závisí najmä od množstva údajov, ktoré ste doteraz spracovali, no aj od prepojenia medzi jednotlivými časťami informačnej štruktúry v vašom podniku.

Čo sú to DMS systémy?

Ide o systémy pre správu a obeh dokumentov. Táto technológia zavádza do firemného spracovania dokumentov poriadok, pretože umožňuje ukladanie šifrovaných dokumentov, ich kategorizáciu, no aj nastavenie skartačných lehôt. DMS systém dokáže v podstate automaticky riadiť celý systém od archivácie až po skartáciu osobných údajov, ale aj prístup k nim, no okrem toho aj obnovenie dostupnosti osobných údajov v prípade bezpečnostného či technického incidentu.

Niektoré typy DMS systémov pomáhajú aj s evidenciou súhlasov jednotlivých subjektov, správy týchto súhlasov i sledovania termínov ich platnosti. Dokonca sa DMS proces nevyhne pravidelnému testovaniu a hodnoteniu opatrení, ktoré boli zavedené v danej firme alebo organizácií.

Pohodlne s mobilom

DMS systémy je možné spravovať dokonca už aj z mobilu. Z tohto dôvodu je možné získať prístup k danému dokumentu rýchlo bez ohľadu na čas a miesto, na ktorom sa nachádzate. Výsledkom je väčšia efektivita práce vašej firmy či organizácie.

The post Dodržiavanie GDPR vám uľahčí systém DMS appeared first on Ochrana-online.sk.

Na aké zmeny by ste sa mali pripraviť?

Dôvodov, pre ktoré vám môžu udeliť pokutu je pomerne veľa. Preto neodporúčame zanedbať prípravu na zavedenie GDPR do praxe.

V prvom rade si musíme ujasniť, že po novom budú pod pojem “osobný údaj” spadať nie len osobné údaje ako sú meno, priezvisko, fotografia, odtlačok a podobne, ale aj technické údaje typu IP adresa, či súbory cookies. Nové pravidlá sa tak týkajú každého, kto pracuje aspoň s jedným z týchto údajov, alebo cez neho takéto údaje len prechádzajú.

Do platnosti prichádza aj niekoľko nových povinností ako napríklad: povinnosť nominácie zodpovednej osoby, prísnejšie požiadavky na súhlas pri spracovaní osobných údajov alebo povinnosť oznámiť porušenie ochrany osobných údajov jednotlivcom aj regulátorovi do 72 hodín.

Externí sprostredkovatelia dát budú niesť rovnakú zodpovednosť ako prevádzkovatelia, no zároveň budú povinní viesť zoznamy spracovateľských operácií pre každého klienta a prevádzkovateľa zvlášť. Medzi iným je sprostredkovateľ povinný informovať prevádzkovateľa o tom, že porušil ochranu osobných údajov.

Do akej výšky sa môžu jednotlivé pokuty vyšplhať?

Výška pokuty sa môže vyšplhať až do výšky 20 miliónov eur alebo do 4% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia), no všetko záleží najmä od ustanovení, ktoré boli porušené. Tieto priestupky sú rozdelené podľa vážnosti do dvoch kategórií, ktoré majú rozdielne výšky pokút.

Pokutu v maximálnej výške 10 miliónov eur, alebo 2% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia) dostanete napríklad za porušenie týchto nariadení:

• súhlas rodiča pri spracovaní osobných údajov dieťaťa,
• implementácia organizačných a technických opatrení ochrany súkromia do návrhu systému,
• spracovatelia a prevádzkovatelia musia implementovať dostatočné opatrenia pre dostatočnú bezpečnosť osobných údajov,
• spracovanie osobných údajov môže prebiehať len v súlade s inštrukciami prevádzkovateľa,
• prevádzkovateľ musí nahlásiť únik osobných údajov kompetentným autoritám do 72 hodín od zistenia úniku.

Pokutu v maximálnej výške 20 miliónov eur, alebo 4% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia) dostanete za nedodržanie týchto nariadení:

• spracovanie osobných údajov musí byť v súlade so zákonom,
• prevádzkovateľ musí vedieť preukázať, že užívateľ súhlasil so spracovaním osobných údajov,
• prevádzkovateľ musí vedieť poskytnúť transparentné informácie a dostatočnú komunikáciu pre možnosť uplatnenia práv užívateľov,
• užívateľ musí mať možnosť prehliadať, prípadne vymazať svoje osobné údaje,
• prevádzkovateľ musí užívateľom oznamovať každé schválenie, vymazanie, obmedzenie alebo spracovanie osobných údajov.

Ako sa vyhnúť pokute?

Jediný spôsob ako sa vyhnúť pokute je dôsledná príprava ešte pred zavedením nariadenia do praxe. Veľa problémov vyrieši dôkladné šifrovanie osobných údajov, keďže pri úniku zašifrovaných osobných údajov sa neukladá pokuta a nie ste ani povinný oznámiť tento únik užívateľom. Takýto únik sa netrestá, no stále je dôležité nahlásiť ho kompetentným autoritám.

V prípade, že chcete byť včas pripravený, požiadajte o bezplatnú cenovú ponuku. Ochranu osobných údajov môžeme vziať jednoducho do vlastných rúk.

The post GDPR pokuty môžu zničiť vašu firmu appeared first on Ochrana-online.sk.