Menu

GDPR blog: články, aktuality a komentáře

18. dubna

ÚOOÚ vydal upřesnění k zasílání obchodních sdělení

Čtěte dál


13. března

Fotky v éře GDPR. Co můžete bez obav zveřejnit?

Fotku nebo video může pořídit a zveřejnit prostřednictvím internetu v podstatě každý. Do hry se přitom nedostává jen GDPR. Na co si dát pozor?

Čtěte dál


Jaké jsou praktické zkušenosti po necelém roce účinnosti GDPR a které otázky se aktuálně řeší? To bylo jedno z hlavních témat nedávné konference CPDP 2019 v Bruselu.

Konference zaměřené na ochranu soukromí, osobní údaje a demokracii v digitálním světě se zúčastnilo na 1300 návštěvníků a mezi speakery byly mimo jiných osobnosti, které v současnosti patří k výrazným postavám na poli ochrany osobních údajů, jako je známý rakouský právník Max Schrems. Mix přednášejících nabídl zkušenosti z byznysu, neziskových organizací, orgánů EU i akademické sféry.

Podařený report z konference sepsala právnička Anna Drgová, přečtete si ho zde.

Dozvíte se například, proč v Irsku zatím nepadají v souvislosti s GDPR vysoké pokuty; jak se staví odborníci k přístupu k osobnímu údajům a hromadným žalobám subjektů údajů vůči platformám; za co se snáší na GDPR kritika; nebo proč některé mimoevrospké firmy nařízení uvítaly. Diskuze se věnovaly také otázkám automatického rozhodování a profilování v souvislosti s marketingem či prevencí kriminality.

Pokud by vám v dobrém slova smyslu vyčerpávající report nestačil, můžete si také pustit videa se záznamy některých vystoupení na kanále CPDPConferences na YouTube.


Co mají společného Facebook, Google, Instagram, WhatsApp a nejnověji třeba Netflix? Kromě toho, že jsou to technologičtí giganti, mají i jednoho totožného protivníka. Tím je mladý rakouský právník Max Schrems, který už v minulosti porazil u Evropského soudního dvora Facebook ohledně nakládání s osobními údaji (psali jsme zde) a úspěšně tepe i do dalších společností.

Max Schrems loni dostal do rukou silnou zbraň v podobě nařízení GDPR a rozhodně se ji nebojí použít. Na základě stížností jím vedeného sdružení NOYB bude muset například podle aktuálního rozhodnutí zaplatit Google pokutu ve výši 50 milionů eur, protože nedostatečně informuje své uživatele, k jakým účelům využívá jejich osobní údaje. Více si o tom přečtete například zde.

A vrásky na čele teď mohou mít i poskytovatelé streamovacích služeb Amazon Prime, Apple Music, Netflix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Podle Schremsova sdružení tyto společnosti neposkytují svým uživatelům dostatek informací, proč a jakým způsobem zpracovávají a využívají jejich osobní údaje i o tom, co všechno o jejich chování zaznamenávají, aby jim na míru „ušily“ tipy na nabízené služby nebo personalizovanou reklamu. Pokud by soudy uznaly vinu poskytovatelů, hrozily by podle GDPR společnostem souhrnné pokuty až do výše 18,8 miliardy eur. Pro více informací doporučujeme například tento článek.


17. ledna

Koho se týká evropský kodex pro elektronické komunikace?

Bez větší pozornosti prošla Evropským parlamentem a Radou v závěru loňského roku směrnice (EU) 2018/1972 o evropském kodexu pro elektronické komunikace. Jaký bude její dopad na ochranu osobních údajů?

Čtěte dál


Poslanci v prosinci konečně schválili tzv. adaptační zákon. Jeho úplné znění je zde.  Nebudu komentovat fakt, že jsme jednou z posledních, ne-li úplně poslední EU zemí, která ho nebyla schopna přijmout do účinnosti GDPR. Jsem stále ve svátečním režimu, takže jsem jeho znění podrobně nezkoumala, ale nejvíce mne zaujal paragraf 63, odst. 3, který stanoví maximální výši pokuty za porušení zákona, tj. i GDPR, na 10 mio CZK. Čtu a vykládám si tento poslanecký počin správně, že pokuty, které stanoví GDPR jakožto nařízení, z jehož mantinelů se lze vychýlit pouze na základě zmocňujícího se ustanovení, se České republiky vůbec nebudou týkat?

Znamená to, že článek 83, odst. 7 GDPR si naši poslanci samovolně rozšířili i na soukromoprávní subjekty? Pokud je můj výklad správný, tak se účinného zákona jen tak rychle nedočkáme. A vůbec nechci komentovat tu obrovskou disproporci v možnostech pokutování veřejnoprávních a soukromoprávních subjektů. Takové fakultní nemocnice nebo řada ministerstev zpracovává naše velmi citlivé údaje a za porušení zákona mají být trestány nepoměrně nižší sankcí než např. soukromá nemocnice? Pokud byl úmysl zákonodárce nejvyšší možnou pokutu sjednotit, tak se měl poučit o tom, jaký je rozdíl v aplikaci nařízení a směrnice EU.


Jistě jste zaznamenali kauzu, která postihla hotelový řetězec Marriott. Z rezervačního systému jedné z divizí unikly po hackerském útoku osobní údaje až 500 milionů hostů. Útočníci získali informace o klientech včetně čísel pasů, údajů o platebních kartách či o pobytu v jednotlivých hotelích. Je velmi pravděpodobné, že do špatných rukou padly i klíče pro odemčení zašifrovaných dat. Celkový rozsah úniku, který probíhal po čtyři roky (!), je co do počtu zasažených lidí i objemu dat jeden z nejrozsáhlejších v historii. O čem se v souvislosti s kauzou aktuálně mluví?

Odborníci na bezpečnost zmiňují, že ukradená data by mohla být vysoce cenná i pro špionážní účely a poukazují na to, že za útokem by mohla stát některá ze zahraničních tajných služeb. Jak se píše zde, stopy by mohly vést do Číny.

Marriott nezvládl krizovou komunikaci. Dalo se očekávat, že kyberzločinci využijí situaci po zveřejnění skandálu a budou se snažit klienty oslovit jménem hotelu z podobně vypadajícího e-mailové adresy. Tak se běžně děje třeba v případech pokusů o vylákání přístupových údajů k bankovním účtům. Marriott hackery nechtíc předběhl a sám použil pochybně vypadající adresu: email-marriott.com, která odkazuje na doménu, jež se po rozkliknutí ani nenačte. Kromě této nejasnosti tak otevřel dveře i dalším nápodobám adresy ze strany hackerů. V podobných případech by měla komunikace probíhat vždy z oficiální adresy na běžně používané doméně. Více se dočtete v článku na tomto odkazu.

Marriott se do jisté míry nepoučil z předchozích chyb. Nejednalo se totiž o první hackerský útok. S prolomením bezpečnosti se řetězec potýkal již v minulosti, jak upozorňuje tento článek.

Ve světle všech těchto zpráv bude mimořádně zajímavé sledovat, jak se příslušné orgány postaví ke kauze i z hlediska GDPR – podobně rozsáhlý únik dat se od doby, co vstoupilo v platnost, ještě neřešil. Vyšetřování stále probíhá.


GDPR kontra DPO — kdo s koho? Po velkém úspěchu 1. GDPR semináře u kulatého stolu vás zveme na další setkání, ve kterém se tentokrát zaměříme na roli Pověřenců ochrany osobních údajů. Eva Škorničková v roli moderátorky představí novinky z oboru i vzácné hosty z praxe. A pokud se vám zdá, že se GDPR v Česku odebralo předčasně k zimnímu spánku, tento seminář vás přesvědčí, že v EU je tomu přesně naopak.


29. října 2018

Přinese pojištění pověřencům klidnější spánek?

Pro řadu firem je pozice pověřence pro ochranu osobních údajů (DPO) nová. Je nutné připomenout, že ne všechny organizace musí tuto osobu jmenovat. Ty, kterých se tato povinnost týká, si v první řadě musí ujasnit, jaké povinnosti a odpovědnost bude jejich pověřenec mít.

Čtěte dál


V období naprostého nezájmu o problematiku ochrany dat a aplikaci GDPR nařízení v praxi je velmi odvážné uspořádat jakoukoliv akci, která by upoutala pozornost široké veřejnosti. Odvážným přeje štěstí a tak se společnost Seminaria nevzdává a pořádá na uvadlé téma GDPR konferenci, na které vystoupí řada odborníků, kteří se dané problematice věnují na plné obrátky a pomáhají svým klientům napravovat dlouho v českém prostředí zanedbávanou oblast ochrany osobních údajů a IT bezpečnosti. Velmi rádi každou kvalitní akci podpoříme a jsme jejím hrdým partnerem.


1 2 3 12

Hlavní partneři