Menu

GDPR blog: články, aktuality a komentáře

Lze uplatnit výjimku z povinnosti vést záznamy o činnostech zpracování?

Odstavec 5 článku 30 GDPR stanoví výjimku z povinnosti vést záznamy o činnostech zpracování, a to pro podnik nebo organizaci zaměstnávající méně než 250 osob, pokud zároveň zpracování, které provádí, nepředstavuje riziko pro práva a svobody subjektu údajů, toto zpracování je příležitostné – podnik nebo organizace je neprovádí jako svojí hlavní činnost nebo nezahrnuje zpracování zvláštní kategorie údajů (tzv.citlivých údajů).

Pokud jste tedy organizací s méně než 250 zaměstnanci, která v souvislosti se zpracováním osobních údajů svých zaměstnanců disponuje údaji například o jejich zdravotním stavu, tak se na vás povinnost vést záznamy o činnosti vztahuje. Může se jednat o různé neziskové nebo charitativní organizace, které zaměstnávají tělesně postižené osoby.


16. října

Google zahájil svoji GDPR cestu novou verzí smlouvy o zpracování osobních údajů

Máte účet na Google a využíváte G-suite služby zahrnující například Gmail? Tak vás možná mile překvapilo oznámení, které společnost nedávno rozeslala svým klientům,  že zahájila cestu k GDPR souladu s novými pravidly na ochranu osobních údajů.

Čtěte dál


Před několika měsíci jsme se zmiňovali o tom, že je Německo, jako jeden z mála států, v přípravách na GDPR nejdále. Jeho legislativa bude zřejmě patřit mezi ty nejpřísnější v rámci celé Evropy. Řada firem proto začala uvažovat nad tím, jak se vyhnout dohledu německých, popřípadě nizozemských úřadů. Pokud mají sídlo v ČR, budou se zodpovídat zdejšímu ÚOOÚ, nicméně i tak mohou narazit v případě, že mají třeba německého zaměstnance nebo klienta. Příprava firem na GDPR pravidla proto s sebou přináší i jistý kalkul v podobě převedení operací s osobními údaji do států s méně přísnějšími přístupy ze strany dozorových úřadů. Stane se tak Česká republika „datovým rájem“ pro firmy, které se budou snažit vyhnout dohledu nejpřísnějších evropských dozorových úřadů? Odpovědi a názory na tyto otázky se snažil najít Jan Úšela ve svém článku v rámci pravidelného bloku Hospodářských novin věnovaného problematice GDPR v české praxi.


V dnešní době sociálních sítí má mnoho lidí potřebu sdílet s okolním světem své dojmy, ale také fotky letenek, které signalizují nový zážitek. Přitom stačí pouhé zveřejnění registračního a čárové kódu, které jsou uvedeny na letence, a může být zle. Překvapuje vás to? Pomocí těchto údajů včetně osobních, které lze poměrně snadno dohledat na internetu,  se úplně cizí osoba dostane k podrobnostem letu, číslu osobního dokladu a je tato data schopna dokonce změnit. Jeden z našich nejlepších odborníků na IT bezpečnost Michal Špaček podrobně popsal rizika lehkomyslného sdílení osobních údajů na internetu a sociálních sítích.


S GDPR jsou často zmiňována tato dvě slova, anonymizace a pseudonymizace, která pro mnoho lidí znamenají totéž, ale není tomu tak. Představte si, že se posunete o několik tisíciletí vpřed, nikdo nezná vaše osobní údaje a to z důvodu, že byly před několika tisíciletími anonymizované, tedy smazané. Anonymizace je nevratný proces bez možnosti zpětné identifikace osoby. To znamená, že se data nedají v budoucnu dohledat. Naopak druhý pojem pseudonymizace je procesem vratným. Vaše osobní údaje jsou v tomto případě pouze nahrazeny, rozděleny. Pokud chcete osobní údaje pseudonymizované odhalit, musíte mít k tomu “klíč”. V případě, že se tento klíč dostane do rukou osobě za několik tisíc let, může vás, jako osobu, identifikovat. Je vám to nyní jasnější? Podrobněji jsou pojmy vysvětleny v tomto článku.


17. září

Je nejlepším řešením GDPR přechod na cloud?

Nové povinnosti ohledně zvýšené ochrany osobních údajů nedolehnou účinností GDPR od května 2018 pouze na správce, tedy všechny fyzické nebo právnické osoby, které určují účel zpracování těchto údajů. Společnou odpovědnost ponesou i tzv. zpracovatelé, tj. všechny subjekty, které zpracovávají osobní údaje pro správce, zkrátka všechny třetí strany, jež mají přístup k těmto údajům od správce.

Čtěte dál


14. září

Zaměstnavatel nemůže sledovat soukromé zprávy z práce

Evropský soud pro lidská práva vydal průlomový verdikt, který je sice adresován Rumunsku, ale dopad má i na ostatních 46 členských zemí Rady Evropy včetně České republiky. V případě obdobných kauz se musí brát ohled na tento rozsudek, kterým dospěl soud k závěru, že byla porušena soukromá práva rumunského zaměstnance, kterého zaměstnavatel propustil za používání pracovní elektronické korespondence k soukromým účelům.

Čtěte dál


O roli pověřence jsme na našich webových stránkách napsali poměrně dost, ale nyní přichází Ministerstvo vnitra s metodickým manuálem, který konkretizuje roli pověřence. Novinkou je především to, že všechny obce budou povinny mít svého pověřence pro ochranu osobních údajů. Dle čl. 37 obecného nařízení je nutné každou obec chápat jako „orgán veřejné moci“, jemuž povinnost zřídit funkci pověřence ukládá. V manuálu jsou taktéž shrnuta pravidla pro výkon této funkce, mezi která patří mimo jiné znalost právních předpisů na ochranu osobních údajů. Zajímá vás více? Čtěte zde.


11. září

Rozhovor s Maxem Schremsem

Max Schrems je v oblasti ochrany dat a soukromí výraznou osobností. Rakouský právník nejvíce proslul svými soudními spory s Facebookem kvůli zneužívání osobních údajů, porušování evropské legislativy a předávání informací americké tajné službě NSA. Některé z těchto sporů dokonce dokázal vyhrát.

Čtěte dál


06. září

Jednoduchý test: Jak jste na tom s přípravou na GDPR?

GDPR ≠ IT + software. Nové nařízení o ochraně osobních údajů má 778 řádků a z toho jen 26 se přímo týká IT bezpečnosti. Máte představu, co obsahují ty ostatní?

Čtěte dál


1 2 3 6

Hlavní partneři

GDPR vstoupí v platnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018