Jak na věc


porušení pracovních povinností - výtka

Registrujte se zdarma k odběru novinek

    Pokud existuje vysoké riziko pro práva dotčených osob, je v GDPR stanovena ohlašovací povinnost nejen vůči dozorčímu úřadu, ale i povinnost oznámit takovou skutečnost dotčeným subjektům. Vymezit druhy operací, které pravděpodobně budou mít za následek vysoké riziko pro práva a svobody fyzických osob, je úkolem jednotlivých dozorových úřadů, které by měly takové seznamy sestavit, zveřejnit a předat nově vzniklému Sboru pro ochranu osobních údajů (čl. 35 odst. 4 GDPR). Určující by měla být míra pravděpodobnosti a závažnosti takového rizika. Např. zcizení klientské databáze v nezašifrované podobě, obsahující identifikační údaje, rodné číslo, číslo účtu, přístupové údaje, uživatelské jméno, zákaznické číslo nebo zdravotní stav, přičemž cílem zcizení databáze bylo zneužití osobních údajů, by bylo nutné považovat za vysoce rizikové. Oznámení porušení by mělo být provedeno bez zbytečného odkladu. V oznámení by měla být alespoň popsána povaha porušení, jméno a kontaktní údaje pověřence nebo ji
    Po posouzení obsahu oznámení porušení může vzniknout potřeba ze strany ČNB oznamovatele kontaktovat se žádostí o jeho doplnění či bližšího objasnění jím uvedených informací. V takových případech se ČNB obrací na oznamovatele, je-li jí známa jeho totožnost, resp. lze-li jej kontaktovat, a to současně za předpokladu, že tento postup nepovede k ohrožení zájmu na ochraně totožnosti oznamovatele nebo k ohrožení ochrany jeho osobních údajů.
    Mechanismus zavedený ČNB pro přijímání a vyřizování oznámení porušení nebo hrozby porušení výše uvedených právních předpisů může využít kdokoli, například tedy stávající nebo bývalý pracovník banky, družstevní záložny, obchodníka s cennými papíry, investiční společnosti a investičního fondu (dále jen „instituce“).


Kdo může využít oznamování porušení (oznamovatel)

    Oznámení porušení nepředstavuje porušení žádného omezení týkajícího se zpřístupňování informací, které vyplývá ze smlouvy nebo právního předpisu, a oznamovateli v souvislosti se zpřístupněním informací nevzniká žádná odpovědnost jakéhokoli druhu.
    Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti účelů a v umožnění přístupu občanů k jejich údajům. Pseudonymizace znamená takové zpracování, při němž už nelze ke konkrétnímu člověku přiřadit jeho osobní údaje bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny, aby k původním údajům nemohly být opět přiřazeny.
    V závislosti na obsahu oznámení ČNB v rámci výkonu dohledu přijímá příslušné kroky a o výsledcích jednotlivých oznámení informuje oznamovatele. Zpětná vazba o výsledcích oznámení je poskytována oznamovateli ve lhůtě přiměřené pro vyhodnocení jeho obsahu a přijetí příslušných kroků v rámci výkonu dohledu.


Postup v případě porušení zabezpečení

    GDPR, až na malé výjimky, nejde a priori cestou úlev pro malé a střední podniky, nýbrž rozsah povinností definuje podle parametrů prováděného zpracování. I SME mohou provádět riziková a rozsáhlá zpracování, a proto by měly splňovat přísné nároky. Pro rozsah povinností tedy není důležitý počet zaměstnanců ani velikost podniku, ale rizikovost a rozsah zpracování, které podnik provádí.
    Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů.
    Novinkou je zavedení práva na přenositelnost údajů v článku 20 GDPR. Osoby mohou od správce, který zpracovává jejich údaje, získat své osobní údaje v běžně používaném a strojově čitelném formátu. Tyto údaje pak mohou osoby předat bez překážek jinému správci ke zpracování.


Komunikační kanál (jak oznamovat porušení)

    Poté se musí analyzovat dopady, které změny vyvolané nutností zajištění souladu přinesou. U každého nedostatku je třeba posoudit, co je potřeba provést, aby byl tento nedostatek odstraněn. V rámci dopadové analýzy by měly malé a střední podniky zhodnotit, zda a v jakém rozsahu se jich bude týkat jediná relevantní výjimka (právě pro malé a střední podniky) z povinnosti vést záznamy o činnosti zpracování podle čl. 30 GDPR. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, tyto organizace nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech. Je třeba také celkově posoudit rizika konkrétního zpracování. Je to důležité pro zvolení takových opatření k zajištění souladu, která jsou vzhledem k úrovni rizika potřeba, a k ověření, jestli je nutné provádět posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR.
    Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (odtud zkratka „GDPR“), celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018. České republice nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním smyslem tohoto předpisu je vyšší harmonizace úpravy ochrany osobních údajů a posílení práv subjektů údajů, a tedy i kvalitnější kontrola nakládání s osobními daty lidí. Rovněž dochází k přesnějšímu stanovení povinností správců a zvýšení sankcí za jejich porušení.


Co je a jaký je účel oznamování porušení v působnosti České národní banky

    Správce nebo zpracovatel mají povinnost zabezpečit zpracovávané údaje. Přesto může dojít k porušení zabezpečení osobních údajů. Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 nahlášeno bez zbytečného odkladu dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pro hlášení je stanovena lhůta 72 hodin. Protože porušení zabezpečení se může vyskytnout kdekoliv v organizaci, měla by se opatření, která jsou nezbytná pro plnění v případě porušení zabezpečení osobních údajů, zavést předem. Musí se nastavit postupy, které budou napomáhat předcházení incidentům, postupy, které pomohou odhalit a vyhodnotit případný konflikt, a postupy uplatňované při řešení incidentu, minimalizaci negativních následků a ohlašování na příslušná místa.
    Nařízení zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.
    ČNB postupuje v otázce ochrany osobních údajů, jakož i v otázce ochrany oznamovatele a nahlašované osoby podle platných právních předpisů a vnitřních předpisů ČNB. V případě využití oznamování porušení má oznamovatel právo na zachování důvěrnosti a další ochranu stanovenou v § 10a zákona o bankách, § 7ad zákona o spořitelních a úvěrních družstvech a § 15 a násl. zákona o dohledu v oblasti kapitálového trhu. Oznámení může být učiněno i anonymně.


Oznamování porušení (Whistleblowing)

    Výjimku z povinnosti vést záznamy mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností a neexistuje u nich žádné riziko, které by ohrožovalo práva subjektů údajů, tyto organizace citlivé údaje nezpracovávají nebo se osobní údaje týkají rozsudků v trestních věcech.
    Pro naplnění zákonných požadavků na oznamování porušení nebo hrozícího porušení v působnosti ČNB byl zaveden mechanismus „chráněného oznámení“.
    V případě, že jsou uvedeny nesprávné údaje, může osoba, jejichž údajů se to týká, požádat společnost, která tyto údaje zpracovává, ať je napraví. Společnost zpracovávající údaje by měla umožnit podávat žádosti o nápravu nesprávných údajů online.
    Správce musí hlásit porušení zabezpečení až v případě, kdy dané porušení představuje riziko pro dotčené fyzické osoby. Při ohlášení se musí popsat povaha případu porušení a jméno a kontaktní údaje pověřence nebo jiného kontaktního místa, které může poskytnout bližší informace. Dále se popíší pravděpodobné důsledky porušení a opatření, která správce přijal nebo navrhuje s cílem vyřešit a minimalizovat důsledky porušení. Pokud zpracovatel zjistí takovéto porušení zabezpečení, ohlásí to neprodleně správci.


1. Mapování a rozdílová (GAP) analýza

    GDPR také obsahuje právo být informován o tom, za jakým účelem se osobní údaje dané osoby zpracovávají nebo na jak dlouhou dobu jsou uchovávány, nemělo by se to ovšem dotknout obchodního tajemství nebo duševního vlastnictví.
    Všichni správci musí dodržovat zásady zpracování osobních údajů uvedené v článku 5 GDPR. Osobní údaje musí být zpracovány korektně a zákonným transparentním způsobem, pro určitý výslovně uvedený a legitimní účel. Mělo by být shromažďováno co nejméně údajů, které jsou nezbytné pro dosažení účelu. Zpracovatel musí osobní údaje zpracovat tak, aby byly náležitě zabezpečeny, chráněny pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním. Základním požadavkem zpracování je jeho zákonnost, která vyplývá předně ze souhlasu subjektu údajů se zpracováním, podnik má pak podle článku 7 povinnost tento souhlas na vyžádání doložit (subjekt ovšem neztrácí právo tento souhlas vzít kdykoliv zpět). Dále může podnik zpracovávat osobní údaje, pokud je to nezbytné pro splnění právní povinnosti nebo je to např. nezbytné pro ochranu životně důležitých zájmů subjektu údajů.


Copyright © Dossani milenium group 2000 - 2019
cache: 0024:00:00