Jak na věc


porušení pracovních povinností - výtka

Co je a jaký je účel oznamování porušení v působnosti České národní banky

    Mechanismus přijímání a vyřizování oznamování porušení v působnosti ČNB tak představuje významný zdroj informací potřebných k výkonu dohledu nad finančním trhem.


Komunikační kanál (jak oznamovat porušení)

    Pokud existuje vysoké riziko pro práva dotčených osob, je v GDPR stanovena ohlašovací povinnost nejen vůči dozorčímu úřadu, ale i povinnost oznámit takovou skutečnost dotčeným subjektům. Vymezit druhy operací, které pravděpodobně budou mít za následek vysoké riziko pro práva a svobody fyzických osob, je úkolem jednotlivých dozorových úřadů, které by měly takové seznamy sestavit, zveřejnit a předat nově vzniklému Sboru pro ochranu osobních údajů (čl. 35 odst. 4 GDPR). Určující by měla být míra pravděpodobnosti a závažnosti takového rizika. Např. zcizení klientské databáze v nezašifrované podobě, obsahující identifikační údaje, rodné číslo, číslo účtu, přístupové údaje, uživatelské jméno, zákaznické číslo nebo zdravotní stav, přičemž cílem zcizení databáze bylo zneužití osobních údajů, by bylo nutné považovat za vysoce rizikové. Oznámení porušení by mělo být provedeno bez zbytečného odkladu. V oznámení by měla být alespoň popsána povaha porušení, jméno a kontaktní údaje pověřence nebo ji
    Aniž by tím bylo dotčeno právo kohokoli využít oznamování porušení nebo hrozícího porušení v působnosti ČNB, pracovníci instituce by měli pro účely svých chráněných oznámení zvážit přednostní využití obdobného interního mechanismu oznamování porušení, který je instituce ze zákona povinna rovněž vytvořit. V této souvislosti je na místě dodat, že mechanismy institucí jsou určeny pro širší okruh porušení nebo hrozeb porušení (např. pracovněprávní předpisy).
    Nejprve podnik musí posoudit, jaké informace zpracovává a jak splňuje v současnosti požadavky dle GDPR. Následně se bude posuzovat, jak podnik splňuje právní a technické požadavky GDPR. Nesoulad se předpokládá tam, kde GDPR zavádí nové povinnosti (např. při povinnosti jmenování pověřence).


Registrujte se zdarma k odběru novinek

    Správce nebo zpracovatel mají povinnost zabezpečit zpracovávané údaje. Přesto může dojít k porušení zabezpečení osobních údajů. Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 nahlášeno bez zbytečného odkladu dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pro hlášení je stanovena lhůta 72 hodin. Protože porušení zabezpečení se může vyskytnout kdekoliv v organizaci, měla by se opatření, která jsou nezbytná pro plnění v případě porušení zabezpečení osobních údajů, zavést předem. Musí se nastavit postupy, které budou napomáhat předcházení incidentům, postupy, které pomohou odhalit a vyhodnotit případný konflikt, a postupy uplatňované při řešení incidentu, minimalizaci negativních následků a ohlašování na příslušná místa.
    Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 GDPR nahlášeno bez zbytečného odkladu (tj. do 72 hodin) dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pokud zpracovatel zjistí porušení zabezpečení, ohlásí takovou skutečnost neprodleně správci. Pokud jsou práva subjektů ohrožena vysokým rizikem, musí to správce subjektu oznámit., musí to správce subjektu oznámit.
    Oznamování porušení je stále více uznávaný nástroj pro prevenci a odhalování protiprávního jednání, včetně korupce a podvodů, jehož smyslem je přispívat k včasnému odhalování tohoto jednání a předcházení s ním spojeným negativním důsledkům.
    Nyní platná směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato obecná ohlašovací povinnost byla nařízením zrušena a nahrazena účinnějšími postupy a mechanismy, které se zaměří na postupy zpracování, jež mohou představovat vysoké riziko pro práva a svobody občanů.


Oznamování porušení (Whistleblowing)

    Pokud jsou při zpracování rozsáhlým způsobem ohrožena práva a svobody fyzických osob, musí správce vypracovat posudek vlivu na ochranu osobních údajů, v angličtině DPIA, neboli Data Protection Impact Assessment. Posouzení vlivu na ochranu osobních údaj upravuje článek 35 GDPR. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven nebo leasingových či jiných finančních institucí. Algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby.
    Podnik si musí podle článku 30 vést záznamy o činnostech zpracování, za něž odpovídá. Každý správce a zpracovatel má povinnost spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohla být tato zpracování monitorováno.
    ČNB postupuje v otázce ochrany osobních údajů, jakož i v otázce ochrany oznamovatele a nahlašované osoby podle platných právních předpisů a vnitřních předpisů ČNB. V případě využití oznamování porušení má oznamovatel právo na zachování důvěrnosti a další ochranu stanovenou v § 10a zákona o bankách, § 7ad zákona o spořitelních a úvěrních družstvech a § 15 a násl. zákona o dohledu v oblasti kapitálového trhu. Oznámení může být učiněno i anonymně.


Postup v případě porušení zabezpečení

    Všichni správci musí dodržovat zásady zpracování osobních údajů uvedené v článku 5 GDPR. Osobní údaje musí být zpracovány korektně a zákonným transparentním způsobem, pro určitý výslovně uvedený a legitimní účel. Mělo by být shromažďováno co nejméně údajů, které jsou nezbytné pro dosažení účelu. Zpracovatel musí osobní údaje zpracovat tak, aby byly náležitě zabezpečeny, chráněny pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním. Základním požadavkem zpracování je jeho zákonnost, která vyplývá předně ze souhlasu subjektu údajů se zpracováním, podnik má pak podle článku 7 povinnost tento souhlas na vyžádání doložit (subjekt ovšem neztrácí právo tento souhlas vzít kdykoliv zpět). Dále může podnik zpracovávat osobní údaje, pokud je to nezbytné pro splnění právní povinnosti nebo je to např. nezbytné pro ochranu životně důležitých zájmů subjektu údajů.
    ČNB potvrzuje přijetí písemného oznámení porušení na elektronickou nebo poštovní adresu, kterou oznamovatel uvedl, pokud nepožádal o jiný způsob potvrzení. Takto nicméně ČNB nepostupuje, pokud by tímto postupem mělo dojít k ohrožení zájmu na ochraně totožnosti oznamovatele nebo by tím mohlo dojít k ohrožení ochrany jeho osobních údajů.
    V závislosti na obsahu oznámení ČNB v rámci výkonu dohledu přijímá příslušné kroky a o výsledcích jednotlivých oznámení informuje oznamovatele. Zpětná vazba o výsledcích oznámení je poskytována oznamovateli ve lhůtě přiměřené pro vyhodnocení jeho obsahu a přijetí příslušných kroků v rámci výkonu dohledu.


1. Mapování a rozdílová (GAP) analýza

    Správce musí hlásit porušení zabezpečení až v případě, kdy dané porušení představuje riziko pro dotčené fyzické osoby. Při ohlášení se musí popsat povaha případu porušení a jméno a kontaktní údaje pověřence nebo jiného kontaktního místa, které může poskytnout bližší informace. Dále se popíší pravděpodobné důsledky porušení a opatření, která správce přijal nebo navrhuje s cílem vyřešit a minimalizovat důsledky porušení. Pokud zpracovatel zjistí takovéto porušení zabezpečení, ohlásí to neprodleně správci.
    Nařízení zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.


Kdo může využít oznamování porušení (oznamovatel)

    ČNB je také ze zákona povinna chránit osobní údaje oznamovatele a nahlášené osoby, která je údajně odpovědná za porušení nebo hrozící porušení. ČNB uplatňuje takové postupy, aby předáním údajů týkajících se oznámení porušení uvnitř ČNB nebo jiným orgánům nebo jiným osobám nedošlo k odhalení totožnosti oznamovatele nebo nahlášené osoby, ledaže je zveřejnění vyžadováno v souvislosti s dalším vyšetřováním nebo následným soudním řízením anebo oznamovatel porušení nebo hrozícího porušení udělí ČNB ke zveřejnění svých osobních údajů výslovný souhlas. S osobními údaji je nakládáno jako s jinými dohledovými informacemi důvěrné povahy. ČNB uchovává záznamy, zápisy a přepisy oznámení činěných osobně v důvěrném a zabezpečeném systému, přičemž přístup k údajům z tohoto systému mají pouze zaměstnanci České národní banky, kteří tyto údaje potřebují k plnění svých pracovních povinností.
    Úřad pro ochranu osobních údajů ukládá pokuty za porušení GDPR. Ukládání správních pokut je vymezeno v článku 83 GDPR. Pokuty mají být účinné, přiměřené a odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu. Zhodnotí se např. zda k porušení došlo úmyslně nebo z nedbalosti, jak dlouho porušení trvalo nebo jak bylo závažné. Při méně závažném porušení hrozí pokuta až do výše 10 000 000 euro nebo do výše 2 % z celkového celosvětového ročního obratu za předchozí finanční rok. Při závažnějším porušení hrozí pokuta až do výše 20 000 000 euro nebo až do výše 4 % z celkového celosvětového ročního obratu společnosti za předchozí finanční rok. Hodnota pokuty bude stanovena jako vyšší z obou možností. Za závažnější porušení zpracování osobních údajů se považuje např. porušení základních zásad pro zpracování.


Copyright © Dossani milenium group 2000 - 2020
cache: 0000:00:00