Takový byl seminář o GDPR v Olomouci

, 17. listopadu 2017

Kromě tradičních konferencí Kam kráčí telekomunikační sítě, konaných po vlastech českých i slovenských, tentokráte ISP Consulting realizoval seminář o GDPR (General Data Protection Regulation), tedy o obecném nařízení o ochraně osobních údajů, které začne platit v celé EU již od 25. května 2018 a je pro mnohé firmy velkým strašákem. Cílem organizátora Jakuba Rejzka a týmu právníků (Klára Sommerová, Jan Zahradníček a Luděk Šrubař) bylo proto včas rozpustit obavy či časté dezinformace, které o tomto nařízení mezi firmami panují.

Seminář se uskutečnil 9. listopadu v historické Olomouci, v kongresovém NH hotelu, kde nad všemi osobami ten den bděly i bezpečnostní složky naší země, které měly za úkol hlídat Miloše Zemana, jenž zde byl ubytovaný. Evidentně bylo tedy zvoleno pro seminář velmi důstojné místo, které vyhovuje účastníkům i našemu prezidentovi.

 

Doba datová…

 

Žijeme v éře, která bývá často označovaná doba datová, generující exponenciálně (https://www.linkedin.com/pulse/big-data-successits-all-volume-velocity-variety-steve-doherty) rostoucí množství dat pocházejících ze senzorů, sociálních sítí, či podnikových dat. Buzzword big-data je proto pojmem, o kterém v dnešní době slyšíme stále častěji. GDPR je proto bezesporu reakcí na to, jak důležitým kapitálem jsou v dnešní osobní data uživatelů, pocházející ze stále většího množství senzorů, kterými jsou naše mobilní zařízení dnes doslova prošpikovaná. A že data z těchto senzorů putují ve velkém zejména mobilním aplikacím již není žádné tajemství. Příkladem budiž bezplatná aplikace Tinder (obrat společnosti cca 570 mil USD za rok 2015) – při žádosti o sdělení, jaká data aplikace Tinder eviduje, dostal aktivista Paul-Olivier Dehaye, který se problematikou osobních dat zabývá, celkem 800 stran informací o svých aktivitách na Facebooku, včetně liků a komentářů. K čemu mají taková data cenu? Pochopitelně obrovskou, a to zejména v oblasti reklamy, analýzy či cílení marketingových a volebních strategií.

 

Co jsou vlastně osobní data

 

Jako nejčastější zástupce osobních údajů si jistě každý vybaví jméno a příjmení, rodné číslo či údaje z dokladu totožnosti. V digitální datové éře však musíme počítat i s mnoha dalšími, které na semináři zazněly. Jsou jimi zejména:

  • Emailová či poštovní adresa, je-li z ní patrné jméno, příjmení a firma.
  • Profil na sociálních sítích, ze kterého lze identifikovat konkrétní osobu.
  • IP adresa a to nejen statická, ale dle výkladu právníků dokonce i dynamická.
  • Další lokalizační údaje.

 

Jak bylo také prezentováno, GDPR pak navíc definuje tzv. zvláštní osobní údaje, kterými jsou v ICT klíčové zejména biometrické údaje (snímek obličeje, otisk prstu, snímek oční duhovky, atd.). Mezi zvláštní osobní údaje ale patří také informace o zdravotním stavu, sexuální orientaci, náboženském vyznání či dokonce politických názorech. Kromě toho ale i genetické údaje (krevní skupina, Rh faktor, atd.), údaje o rasovém či etnickém původu a osobní údaje dětí.

Jednoduchá pomůcka, kterou přednášející uváděli, zněla, že pokud – byť jen v kombinaci – dokážeme identifikovat dle údajů osobu, jedná se o její osobní údaje.

 

Fakta o GDPR

 

Již první věty, které na semináři zazněly, utvrdili přítomné zástupce telekomunikačních operátorů, že právě oni reprezentují typ firem – byť se nemusí jednat zrovna o velké podniky – které jsou z pohledu GDPR typicky rizikovou skupinou, nakládající s velkým množstvím osobních údajů zákazníků. Důvodem je, že pracují s provozními a lokalizačními údaji, systémově dokáží sledovat pohyb účastníka po síti, dokáží se podívat i na zdroje a cíle přenášených dat a samozřejmě IP adresy lze jednoduše párovat s konkrétním uživatelem. Ve výsledku má tedy operátor o uživateli poměrně komplexní obraz – jeho chování, email, adresu… Úniky osobních dat mohou být u operátorů vnitřní a vnější. Proti vnějším únikům se dá technicky bránit, avšak mnohem větším rizikem jsou zaměstnanci a spolupracující osoby.

Velkou vlnu dotazů vyvolaly i další prezentované informace, které pak musely být přítomnými právníky zevrubně vysvětlovány. Šlo o nová práva subjektů, které GDPR deklaruje. Jde o:

  • Právo být zapomenut.
  • Právo na přenositelnost údajů.
  • Právo vnést námitku proti zpracování.

Z vysvětlení přednášejících pak vyšlo najevo, že ne všechna nová práva subjektů, musí být nutně vždy naplněna (např. právo být zapomenut, tzn. včetně všech fakturačních údajů), pokud jsou v rozporu s jinými dosavadními zákony (například zákonem o evidenci tržeb).

Na semináři byly v úvodu přednášejícími vysvětleny samozřejmě i základní principy GDPR, kterými jsou:

  • Zákonnost.
  • Omezení účelem.
  • Minimalizace údajů a omezení uložení.
  • Přesnost.
  • Férovost a transparentnost.
  • Integrita a důvěrnost.
  • Odpovědnost.

 

Pro mnohé posluchače semináře bylo evidentně také překvapením, že GDPR se zdaleka netýká jen digitalizovaných dat, ale i veškerých dat kupříkladu v papírové podobě.  Údaje o klientech firmy, na neskartovaných papírech vyhozených do tříděného odpadu, je tedy typickým hříchem pro GDPR…

 

Opatření pro GDPR

 

Je patrné, že GDPR může mnohým firmám přivodit poměrně těžkou hlavu s tím, jak vyhovět všem zmiňovaným požadavkům, které budou nově na společnosti kladeny. GDPR proto definuje pro prokazování souladu s GDPR možnost jmenovat tzv. pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer).

V jistých případě pak jde dokonce o povinnost, nikoliv možnost jmenovat pověřence pro ochranu osobních údajů ve firmě. Konkrétně za těchto okolností:

  • Pakliže zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt.
  • Pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů.
  • V případě že hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

 

Hlavními úkoly DPO proto jsou:

  • Monitoring souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR.
  • Provádění interních auditů.
  • Školení pracovníků.
  • Celkové řízení agendy interní ochrany dat.

 

Je jasné, že roli pověřence nemůže ve firmě plnit jen tak někdo. Přítomní přednášející uváděli, že ideálním předpokladem takové profese by byl právník střižený s informatikem, leč samozřejmě to není nezbytné. Každopádně by měl mít hlubší znalosti IT ale i právní povědomí. Co ale nezbytné je, že tuto práci nesmí vykonávat ve firmě osoba, u které by byl přítomný střet zájmů. Rozhodně tedy nemůže být pověřencem nikdo z majitelů firmy, ani z jeho vedení! Naopak jeden pověřenec pro ochranu osobních údajů může poskytovat své služby hned několika firmám najednou.

 

Když se něco …

 

Od okamžiku kdy GDPR vejde v platnost, by v žádném případě nemělo docházet k tomu, že pokud dojde ve firmě k porušení bezpečnosti v oblasti ochrany osobních údajů, tak se tato událost tzv. zamete pod koberec. Právě naopak, nově je definována Povinnost hlásit incidenty. Konkrétně to znamená, že:

  • Správce má povinnost ohlásit narušení bezpečnosti ÚOOÚ a dotčeným FO.
  • ÚOOÚ – lhůta k ohlášení: neprodleně, nejpozději do 72 hodin – výjimka: pokud by narušení pravděpodobně neznamenalo riziko pro práva FO (unikly pouze šifrované údaje, údaje jsou dostupné i jinak – veř. rejstříky).
  • FO – pouze pokud narušení znamená vysoké riziko pro práva – výjimky: správce měl zavedena nebo následně přijal opatření k eliminaci rizik.
  • Povinnost evidovat veškeré incidenty.

 

Velkým strašákem v GDPR jsou pak sankce a kontroly:

  • Finanční pokuta až do výše 10 milionů EUR (či do 2% celkového ročního celosvětového obratu, jde-li o podnik) v případě porušení ustanovení týkajících se záznamů o činnostech zpracování, posouzení vlivu na ochranu osobních údajů či nesplnění povinnosti oznámení porušení bezpečnosti osobních údajů.
  • Pokuta do výše 20 milionů EUR (či do 4% celkového ročního celosvětového obratu, jde-li o podnik) pokud dojde k porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.

 

Závěr

 

Výše popsané hrozby finančních sankcí jsou sice velmi vysoké, ale jak uváděli i právníci na semináři, jde o odstrašující částky, které v našich končinách těžko někdy budou uplatněny. Úřad pro ochranu osobních údajů, který je členem pracovní skupiny WP29 (nezávislý poradní orgán Evropské komise) se tak pravděpodobně bude snažit být především poradním orgánem pro GDPR, namísto aby byl katem.

Na fotky z této akce se můžete podívat v galerii zde:

 

Štítky: , , , , .

Diskuze k článku

Diskuze ke článku je uzavřena.

Kategorie Recenze.

Štítky: , , , , .

Diskuze: Komentáře nejsou povolené u textu s názvem Takový byl seminář o GDPR v Olomouci

Navštivte také

Speedmeter Internetu pro všechny

Katalog Wifi sítí

Reklama:

Bleskovky

Nový podpredseda Telekomunikačnej únie SR chce zlepšiť spoluprácu v regiónoch

, 21.6. Komentáře nejsou povolené u textu s názvem Nový podpredseda Telekomunikačnej únie SR chce zlepšiť spoluprácu v regiónoch

Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

, 21.9. Komentáře nejsou povolené u textu s názvem Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

Aprílový prehľad udalostí zo života slovenských operátorov

, 28.4. Komentáře nejsou povolené u textu s názvem Aprílový prehľad udalostí zo života slovenských operátorov

Inovativní řešení plánování optických sítí FTTH

, 22.10. Komentáře nejsou povolené u textu s názvem Inovativní řešení plánování optických sítí FTTH

Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

, 28.2. Komentáře nejsou povolené u textu s názvem Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

, 6.2. Komentáře nejsou povolené u textu s názvem Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

IT dovednosti teenagerů – mají se starší bát mladé generace?

, 14.1. Komentáře nejsou povolené u textu s názvem IT dovednosti teenagerů – mají se starší bát mladé generace?

MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

, 19.11. Komentáře nejsou povolené u textu s názvem MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

UPC hlásí výrazný růst tržeb i připojených domácností

, 12.11. Komentáře nejsou povolené u textu s názvem UPC hlásí výrazný růst tržeb i připojených domácností

Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

, 8.10. Komentáře nejsou povolené u textu s názvem Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

Více bleskovek →

Články

S vysielačkou a spájkovačkou sa zapojili do SNP

, 20.8. Komentáře nejsou povolené u textu s názvem S vysielačkou a spájkovačkou sa zapojili do SNP

Je budovanie optiky na elektrických stĺpoch príležitosť alebo hrozba?

, 2.8. Komentáře nejsou povolené u textu s názvem Je budovanie optiky na elektrických stĺpoch príležitosť alebo hrozba?

Pozvánka na workshop Kam kráčajú bezdrôtové siete Vyhne 2024

, 30.7. Komentáře nejsou povolené u textu s názvem Pozvánka na workshop Kam kráčajú bezdrôtové siete Vyhne 2024

Ohlédnutí za workshopem Kam kráčí bezdrátové sítě – Mlázovy 2024

, 20.6. Komentáře nejsou povolené u textu s názvem Ohlédnutí za workshopem Kam kráčí bezdrátové sítě – Mlázovy 2024

Prečo sused kričí gól a ja vidím len útok?

, 9.5. Komentáře nejsou povolené u textu s názvem Prečo sused kričí gól a ja vidím len útok?