Menu

Aktuality

Chrání vaše IT osobní údaje dostatečně? — To je téma již 3. GDPR semináře u kulatého stolu 23. ledna v Praze:

„Článek 25 GDPR stanoví jasnou povinnost organizací zavést tzv. záměrnou a standardní ochranu osobních údajů s ohledem na jejich rizikovost pro práva a svobody osob. Technická opatření nespočívají jen v nákupu uzamykatelné skříně, ale vyžadují úpravu řady firemních informačních systémů. Ajťáci stále tápou, v čem taková opatření spočívají, co po dodavatelích informačních systémů vyžadovat, zda je řešit samostatně pro jednotlivé aplikace či nějak centralizovaně v rámci společnosti. Cílem tohoto semináře je vzájemné sdílení dosavadních zkušeností s praktickými technickými a organizačními řešeními s ohledem na charakter dat a organizací, které je zpracovávají.“


Poslanci v prosinci konečně schválili tzv. adaptační zákon. Jeho úplné znění je zde.  Nebudu komentovat fakt, že jsme jednou z posledních, ne-li úplně poslední EU zemí, která ho nebyla schopna přijmout do účinnosti GDPR. Jsem stále ve svátečním režimu, takže jsem jeho znění podrobně nezkoumala, ale nejvíce mne zaujal paragraf 63, odst. 3, který stanoví maximální výši pokuty za porušení zákona, tj. i GDPR, na 10 mio CZK. Čtu a vykládám si tento poslanecký počin správně, že pokuty, které stanoví GDPR jakožto nařízení, z jehož mantinelů se lze vychýlit pouze na základě zmocňujícího se ustanovení, se České republiky vůbec nebudou týkat?

Znamená to, že článek 83, odst. 7 GDPR si naši poslanci samovolně rozšířili i na soukromoprávní subjekty? Pokud je můj výklad správný, tak se účinného zákona jen tak rychle nedočkáme. A vůbec nechci komentovat tu obrovskou disproporci v možnostech pokutování veřejnoprávních a soukromoprávních subjektů. Takové fakultní nemocnice nebo řada ministerstev zpracovává naše velmi citlivé údaje a za porušení zákona mají být trestány nepoměrně nižší sankcí než např. soukromá nemocnice? Pokud byl úmysl zákonodárce nejvyšší možnou pokutu sjednotit, tak se měl poučit o tom, jaký je rozdíl v aplikaci nařízení a směrnice EU.


Jistě jste zaznamenali kauzu, která postihla hotelový řetězec Marriott. Z rezervačního systému jedné z divizí unikly po hackerském útoku osobní údaje až 500 milionů hostů. Útočníci získali informace o klientech včetně čísel pasů, údajů o platebních kartách či o pobytu v jednotlivých hotelích. Je velmi pravděpodobné, že do špatných rukou padly i klíče pro odemčení zašifrovaných dat. Celkový rozsah úniku, který probíhal po čtyři roky (!), je co do počtu zasažených lidí i objemu dat jeden z nejrozsáhlejších v historii. O čem se v souvislosti s kauzou aktuálně mluví?

Odborníci na bezpečnost zmiňují, že ukradená data by mohla být vysoce cenná i pro špionážní účely a poukazují na to, že za útokem by mohla stát některá ze zahraničních tajných služeb. Jak se píše zde, stopy by mohly vést do Číny.

Marriott nezvládl krizovou komunikaci. Dalo se očekávat, že kyberzločinci využijí situaci po zveřejnění skandálu a budou se snažit klienty oslovit jménem hotelu z podobně vypadajícího e-mailové adresy. Tak se běžně děje třeba v případech pokusů o vylákání přístupových údajů k bankovním účtům. Marriott hackery nechtíc předběhl a sám použil pochybně vypadající adresu: email-marriott.com, která odkazuje na doménu, jež se po rozkliknutí ani nenačte. Kromě této nejasnosti tak otevřel dveře i dalším nápodobám adresy ze strany hackerů. V podobných případech by měla komunikace probíhat vždy z oficiální adresy na běžně používané doméně. Více se dočtete v článku na tomto odkazu.

Marriott se do jisté míry nepoučil z předchozích chyb. Nejednalo se totiž o první hackerský útok. S prolomením bezpečnosti se řetězec potýkal již v minulosti, jak upozorňuje tento článek.

Ve světle všech těchto zpráv bude mimořádně zajímavé sledovat, jak se příslušné orgány postaví ke kauze i z hlediska GDPR – podobně rozsáhlý únik dat se od doby, co vstoupilo v platnost, ještě neřešil. Vyšetřování stále probíhá.


GDPR kontra DPO — kdo s koho? Po velkém úspěchu 1. GDPR semináře u kulatého stolu vás zveme na další setkání, ve kterém se tentokrát zaměříme na roli Pověřenců ochrany osobních údajů. Eva Škorničková v roli moderátorky představí novinky z oboru i vzácné hosty z praxe. A pokud se vám zdá, že se GDPR v Česku odebralo předčasně k zimnímu spánku, tento seminář vás přesvědčí, že v EU je tomu přesně naopak.


V období naprostého nezájmu o problematiku ochrany dat a aplikaci GDPR nařízení v praxi je velmi odvážné uspořádat jakoukoliv akci, která by upoutala pozornost široké veřejnosti. Odvážným přeje štěstí a tak se společnost Seminaria nevzdává a pořádá na uvadlé téma GDPR konferenci, na které vystoupí řada odborníků, kteří se dané problematice věnují na plné obrátky a pomáhají svým klientům napravovat dlouho v českém prostředí zanedbávanou oblast ochrany osobních údajů a IT bezpečnosti. Velmi rádi každou kvalitní akci podpoříme a jsme jejím hrdým partnerem.


Historicky první celodenní GDPR seminář u kulatého stolu pořádáme už ve čtvrtek 25. října. Bude mít téma Jak jste na tom s implementací GDPR?, představíme novinky, zajímavé aplikace a také čtyři vzácné hosty:

  • Petr Víška a Petr Brázda: Zkušeností s implementací GDPR v ČEZ
  • Jindřich Kalíšek: Zkušenosti s implementací GDPR z pohledu advokáta a DPO
  • Daniel Hejda: Doporučená technická a organizační opatření jako jeden ze zásadních požadavků GDPR

Každý seminář má originální téma, složení účastníků i expertů, čili se neváhejte přihlásit na všechny, které vás zajímají — stačí odeslat přihlášku.


Řešíte GDPR prakticky na pokročilé úrovni? Právě pro vás rozjíždíme cyklus celodenních GDPR seminářů u kulatého stolu, které vám umožní se dále vzdělávat a zlepšovat. V rámci každého setkání představíme novinky v oblasti ochrany osobních údajů a vybrané hosty k probíranému tématu — GDPR experty a zástupce významných institucí či firem.

GDPR semináře u kulatého stolu


Zajímáte se o informační technologie a baví vás problematika ochrany dat? CEVRO Institut nabízí jedinečný postgraduální program, který vás dokonale připraví na pozici Compliance Officer nebo DPO, nově zavedenou funkci pověřence podle GDPR. Rozhodně nejde o krátkodobý kurs, ale třísemestrální studium nabité přednáškami zkušených odborníků, kteří díky svým dlouhodobým praktickým zkušenostem z oblasti práva, kybernetické bezpečnosti nebo řízení rizik posunou vaše vědomosti do dalšího levelu. Přihlášky je možné posílat už jen do konce září.


Často kladené otázky ve školství

Úřad na ochranu osobních údajů zveřejnil odpovědi na nejčastěji kladené otázky týkající se zpracování osobních údajů ve školství. Nemohu si pomoc, ale jejich čtením  se jenom potvrzuje neustále se opakující fakt, že až do účinnosti GDPR nebyla dodržována stávající legislativa, v tomto případě školský zákon, jeho prováděcí předpisy a hlavně občanský zákoník. Když si vzpomenu na tu květnovou hysterii okolo zveřejňování fotek žáků při různých činnostech, v řadě případů vyvolanou i politiky v podobě pana Václava Klause ml. a stovkami „GDPR expertů“, kteří nejenom, že nařízení nikdy nečetli, ale hlavně z důvodu neznalosti několik let platné legislativy ani nepochopili, že tato zpracování s GDPR nemají nic společného, tak mne napadá jen jedno řešení. Začít nejprve dodržovat sektorovou legislativu a nechat si poradit především od skutečných odborníků, kteří se v dané oblasti pohybují několik let. Je třeba zastavit šíření nesmyslů a polopravd od rádoby expertů, kteří se ještě na začátku tohoto roku živili všemi možnými formami poradenství, pak si zaplatili jednodenní kurs na GDPR a s vidinou snadných zisků začali pod pohrůžkou astronomických pokut vyhrožovat, že je tím GDPR klackem všichni včetně ÚOOÚ umlátí. Je mi líto těch, kteří jim uvěřili a teď v podstatě mohou začít GDPR implementovat znovu.


Úřad pro ochranu osobních údajů pravidelně zodpovídá dotazy k aplikaci GDPR pravidel v různých oblastech a činnostech zpracování osobních údajů. V drtivé většině kladených otázek se na našem blogu s výkladem nařízení s ÚOOÚ shodujeme a budeme rádi za vaše podnětné připomínky a sdílení zkušeností s dodržováním nových pravidel na ochranu osobních údajů, se kterými ve svých organizacích bojujete.


1 2 3 10

Hlavní partneři