Menu

ochrana dat

Jaké jsou praktické zkušenosti po necelém roce účinnosti GDPR a které otázky se aktuálně řeší? To bylo jedno z hlavních témat nedávné konference CPDP 2019 v Bruselu.

Konference zaměřené na ochranu soukromí, osobní údaje a demokracii v digitálním světě se zúčastnilo na 1300 návštěvníků a mezi speakery byly mimo jiných osobnosti, které v současnosti patří k výrazným postavám na poli ochrany osobních údajů, jako je známý rakouský právník Max Schrems. Mix přednášejících nabídl zkušenosti z byznysu, neziskových organizací, orgánů EU i akademické sféry.

Podařený report z konference sepsala právnička Anna Drgová, přečtete si ho zde.

Dozvíte se například, proč v Irsku zatím nepadají v souvislosti s GDPR vysoké pokuty; jak se staví odborníci k přístupu k osobnímu údajům a hromadným žalobám subjektů údajů vůči platformám; za co se snáší na GDPR kritika; nebo proč některé mimoevrospké firmy nařízení uvítaly. Diskuze se věnovaly také otázkám automatického rozhodování a profilování v souvislosti s marketingem či prevencí kriminality.

Pokud by vám v dobrém slova smyslu vyčerpávající report nestačil, můžete si také pustit videa se záznamy některých vystoupení na kanále CPDPConferences na YouTube.


Co mají společného Facebook, Google, Instagram, WhatsApp a nejnověji třeba Netflix? Kromě toho, že jsou to technologičtí giganti, mají i jednoho totožného protivníka. Tím je mladý rakouský právník Max Schrems, který už v minulosti porazil u Evropského soudního dvora Facebook ohledně nakládání s osobními údaji (psali jsme zde) a úspěšně tepe i do dalších společností.

Max Schrems loni dostal do rukou silnou zbraň v podobě nařízení GDPR a rozhodně se ji nebojí použít. Na základě stížností jím vedeného sdružení NOYB bude muset například podle aktuálního rozhodnutí zaplatit Google pokutu ve výši 50 milionů eur, protože nedostatečně informuje své uživatele, k jakým účelům využívá jejich osobní údaje. Více si o tom přečtete například zde.

A vrásky na čele teď mohou mít i poskytovatelé streamovacích služeb Amazon Prime, Apple Music, Netflix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Podle Schremsova sdružení tyto společnosti neposkytují svým uživatelům dostatek informací, proč a jakým způsobem zpracovávají a využívají jejich osobní údaje i o tom, co všechno o jejich chování zaznamenávají, aby jim na míru „ušily“ tipy na nabízené služby nebo personalizovanou reklamu. Pokud by soudy uznaly vinu poskytovatelů, hrozily by podle GDPR společnostem souhrnné pokuty až do výše 18,8 miliardy eur. Pro více informací doporučujeme například tento článek.


Jistě jste zaznamenali kauzu, která postihla hotelový řetězec Marriott. Z rezervačního systému jedné z divizí unikly po hackerském útoku osobní údaje až 500 milionů hostů. Útočníci získali informace o klientech včetně čísel pasů, údajů o platebních kartách či o pobytu v jednotlivých hotelích. Je velmi pravděpodobné, že do špatných rukou padly i klíče pro odemčení zašifrovaných dat. Celkový rozsah úniku, který probíhal po čtyři roky (!), je co do počtu zasažených lidí i objemu dat jeden z nejrozsáhlejších v historii. O čem se v souvislosti s kauzou aktuálně mluví?

Odborníci na bezpečnost zmiňují, že ukradená data by mohla být vysoce cenná i pro špionážní účely a poukazují na to, že za útokem by mohla stát některá ze zahraničních tajných služeb. Jak se píše zde, stopy by mohly vést do Číny.

Marriott nezvládl krizovou komunikaci. Dalo se očekávat, že kyberzločinci využijí situaci po zveřejnění skandálu a budou se snažit klienty oslovit jménem hotelu z podobně vypadajícího e-mailové adresy. Tak se běžně děje třeba v případech pokusů o vylákání přístupových údajů k bankovním účtům. Marriott hackery nechtíc předběhl a sám použil pochybně vypadající adresu: email-marriott.com, která odkazuje na doménu, jež se po rozkliknutí ani nenačte. Kromě této nejasnosti tak otevřel dveře i dalším nápodobám adresy ze strany hackerů. V podobných případech by měla komunikace probíhat vždy z oficiální adresy na běžně používané doméně. Více se dočtete v článku na tomto odkazu.

Marriott se do jisté míry nepoučil z předchozích chyb. Nejednalo se totiž o první hackerský útok. S prolomením bezpečnosti se řetězec potýkal již v minulosti, jak upozorňuje tento článek.

Ve světle všech těchto zpráv bude mimořádně zajímavé sledovat, jak se příslušné orgány postaví ke kauze i z hlediska GDPR – podobně rozsáhlý únik dat se od doby, co vstoupilo v platnost, ještě neřešil. Vyšetřování stále probíhá.


29. října 2018

Přinese pojištění pověřencům klidnější spánek?

Pro řadu firem je pozice pověřence pro ochranu osobních údajů (DPO) nová. Je nutné připomenout, že ne všechny organizace musí tuto osobu jmenovat. Ty, kterých se tato povinnost týká, si v první řadě musí ujasnit, jaké povinnosti a odpovědnost bude jejich pověřenec mít.

Čtěte dál


Zajímáte se o informační technologie a baví vás problematika ochrany dat? CEVRO Institut nabízí jedinečný postgraduální program, který vás dokonale připraví na pozici Compliance Officer nebo DPO, nově zavedenou funkci pověřence podle GDPR. Rozhodně nejde o krátkodobý kurs, ale třísemestrální studium nabité přednáškami zkušených odborníků, kteří díky svým dlouhodobým praktickým zkušenostem z oblasti práva, kybernetické bezpečnosti nebo řízení rizik posunou vaše vědomosti do dalšího levelu. Přihlášky je možné posílat už jen do konce září.


03. září 2018

Kdo je odpovědný za dodržení souladu s GDPR? Rozhodně ne DPO

Čas letí, máme za sebou horké léto a už třetí měsíc, co nabylo účinnosti nařízení GDPR. Podařilo se ho ve vaší firmě úspěšně zavést, nebo s implementací vyčkáváte až na to, jaké budou výsledky rozhodovací praxe dozorových orgánů, kdy padnou první pokuty a zda vše okolo GDPR nebylo jen mnoho povyku pro nic?

Čtěte dál


18. června 2018

Narazí umělá inteligence u nařízení GDPR?

Big Data skrývají obrovský potenciál pro rozvoj podnikání. Tam, kde s jejich analýzou končí schopnosti běžného softwaru, nastupuje mnohdy umělá inteligence. Je-li to i váš případ, podívejte se, jaké změny vás čekají po příchodu GDPR.

Čtěte dál


23. května 2018

Musíte mít pověřence? A jak ho vybrat?

GDPR je za dveřmi a spolu s ním vstupuje do vaší firmy i pověřenec pro ochranu osobních údajů neboli DPO. Kdy a jak jej jmenovat? A kdo ponese odpovědnost za pokuty?

Čtěte dál


14. května 2018

Kdy je třeba ohlásit porušení ochrany osobních údajů?

Hackeři, počítačové viry, neopatrnost… Rizik, která ohrožují firemní data, je bezpočet. Není otázkou zda, ale kdy se někdo pokusí odcizit nebo poškodit i ta vaše. Nezvaní hosté velmi často poruší i zabezpečení osobních údajů. Víte, jak se zachovat, abyste nebyli podle nařízení GDPR navíc ještě pokutováni?

Čtěte dál


09. května 2018

GDPR a e-shopy: 14 nejčastějších dotazů a odpovědí

Máte e-shop a připravujete se na GDPR? Tady je 14 nejčastějších dotazů a odpovědí.

Čtěte dál



Hlavní partneři