INTERNET a POČÍTAČE

....... instalace a servis i vaší kanceláře

Sledování pouze v legitimních případech

Evropský soud vyložil právo na soukromí v jeho nejširším záběru, podle kterého se soukromý život promítá i do na první pohled „nesoukromých“ sfér. Jakékoliv sledování zaměstnanců je možným zásahem do základního lidského práva na ochranu soukromí a jako takové bude přípustné pouze, pokud bude dostatečně prokázán jeho legitimní důvod. V případě snaha o zvýšení bezpečí osob a ochrana majetku, nebyly podle  práva shledány jako dostatečné důvody. Co si z popsaného případu vzít? Provozujete-li kamerové systémy na pracovišti, uvědomte si, že musíte vyhovět nejen požadavkům ze zákoníku práce, ale stáváte se i správcem osobních údajů, a musíte tak reflektovat příslušnou právní regulaci a blížící se nařízení o ochraně osobních údajů (GDPR) se vás tak pravděpodobně dotkne i v této rovině.

Povinnosti pro správce osobních údajů:

Při instalaci kamerového systému by si měl každý zaměstnavatel položit dvě otázky – jednak zda míra zásahu do soukromí „sledovaných“ zaměstnanců nepřevýší míru majetkového či bezpečnostního rizika, jednak zda je připraven a ochoten plnit veškeré povinnosti z práva na ochranu osobních údajů pro něj vyplývající.

HTTPS nebude z hlediska GDPR povinné, rozhodně ne pro všechny. Jedná se pouze o doporučení pro ty, u kterých je zvýšená míra rizika. Je ale nutné zmínit, že nešifrované HTTP nese jistou míru rizika vždycky. "Obecně všechny stránky, které od svých uživatelů sbírají jakékoliv informace, byť jen formou kontaktního formuláře, by proto měly používat HTTPS. U e-shopů to pak logicky platí dvojnásobně," říká Antonín Kozan, zástupce společnosti Alpiro, která nabízí certifikace na webu ssls.cz. SSL/TLS certifikát je podle něj, a v dlouhodobém časovém horizontu dál bude, dostatečným technickým opatřením pro zabezpečení informací přenášených mezi klientským počítačem a serverem. "Podnikatelé by měli od dodavatelů webových stránek už automaticky vyžadovat podporu HTTPS protokolu, a to i když nezabezpečují citlivou komunikaci. I ty nejjednodušší firemní stránky mají totiž většinou alespoň jeden kontaktní formulář, a pokud bude nezabezpečený, budou stránky označené jako nedůvěryhodné," doplňuje Petr Komárek, který je přesvědčen, že dnes už nemá smysl řešit, jestli HTTPS ano, nebo ne a co by se bez něj případně mohlo stát, ale hlavně to, jak tento protokol na firemní stránky nasadit.

Číst dál: Váš e-shop bez HTTPS ?

SSL/TLS otevřený protokol a jedna z nejvíce používaných metod pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem. Zabezpečuje tedy internetové spojení například mezi zákazníkem (jeho prohlížečem) a obchodníkem (webem, na kterém prohlížená stránka nebo e-shop funguje). Prostřednictvím šifrování chrání před zneužitím třeba zadané přihlašovací údaje, informace o platebních kartách a zabraňuje nežádoucím úpravám přenášených informací. Dalo by se namítnout, že spojení GDPR a SSL/TLS certifikátů není zcela správné, protože evropské nařízení o ochraně osobních údajů hovoří o správcích a zpracovatelích a certifikace primárně slouží k zabezpečení dat na cestě mezi serverem a prohlížečem.

Číst dál: certifikáty, GDPR, SSL/TLS protokol

Provozovatelé webů, kteří mají své stránky zabezpečené SSL/TLS certifikáty, dávají najevo, že jim nejsou lhostejní jejich zákazníci, což bezesporu oceňují nejen oni, ale také Google a zároveň mají jistý náskok při splňování povinností vyplývajících z evropského nařízení GDPR.

HTTPS komunikace je podmínkou pro některé nové funkce prohlížečů a v neposlední řadě posiluje SEO faktor webových stránek. Vyhledávač Google už od roku 2015 upřednostňuje výsledky vyhledávání z webů se zabezpečeným protokolem HTTPS. Přesto to spousta provozovatelů internetových obchodů a firemních webů nereflektuje a bez ohledu na SEO svůj byznys dál provozuje na rizikovém HTTP. Zatím Google u stránek HTTPS zobrazuje zelenou ikonu zámku, v případě HTTP pak jen neutrální ikonu. Od července 2018 ale ve své snaze donutit provozovatele webů k přechodu na HTTPS přitvrdí. Uživatelům, kteří vstoupí na nezabezpečené stránky, se v adresním řádku navíc zobrazí varující upozornění, v jakém prostředí se nacházejí.

Samotný Google kdysi uvedl, že HTTPS má pro výsledky vyhledávání velmi malou váhu a ovlivňuje zhruba procento dotazů. Přecházet na něj jen kvůli SEO by tedy bylo téměř zbytečné. Kvůli varování uživatelů už to ale smysl má, protože každý člověk rád pošle informace o sobě nebo nakoupí tam, kde bude více bezpečno. A je tu ještě jeden důvod, který bude aktuální ještě o měsíc dříve. Od 25. května totiž vstoupí v účinnost GDPR.

WP29 vydává dokumenty, které mají poskytnout výklad novinek zaváděných obecným nařízením o ochraně osobních údajů.
Na této stránce naleznete Pokyny a Vodítka. Pokyny (v angličtině Guidelines) jsou oficiálním překladem EK. U neoficiálních, pracovních překladů ÚOOÚ je pro snadné a na první pohled zřetelné odlišení zachován termín Vodítka.

Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation nahradí dnes při zpracování osobních údajů platné právní předpisy České republiky, zejména pak zákonem č.101/2000 Sb., o ochraně osobních údajů, případně zákonem č. 480/2004 Sb., o některých službách informační společnosti, který reguluje zasílání obchodních sdělení klientům, a dalšími právními předpisy,  GDPR nařízení bude přímo použitelné a závazné ve všech členských státech Evropské unie, a to až na výjimky bez nutnosti transpozice do národních právních řádů.
GDPR má za úkol posílit ochranu osobních údajů fyzických osob v Evropské unii a odstranit rozdíly v národních úpravách členských států.
Nařízení Evropské Unie o ochraně osobních údajů zavádí princip takzvané zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy nařízení.
GDPR začne v celé EU platit od 25. května 2018.
GDPR správcům osobních údajů nařizuje zavedení vhodných technických a organizačních opatření tak, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s tímto nařízením.

Zákonnost - osobní údaje musí být zpracovávány zákonným způsobem.
Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají. Měl by mít možnost toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.

Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek: 

  1. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů
  2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
  3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
  5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
  6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

osobní údaje musí být přesné a pravdivé a kde je to nutné, průběžně aktualizované.

Omezení uchovávání – osobní údaje musí být uchovávány způsobem, který umožňuje identifikaci subjektu údajů na dobu pouze nezbytně nutnou pro účely jejich zpracování. Údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“).

Omezení účelu – osobní údaje mohou být shromažďovány pro konkrétní, jednoznačné a legitimní účely a nesmí být dále zpracovávány způsobem, který s těmito účely není v souladu.
Pro každé zpracování musí být stanoven konkrétní a legitimní účel (například oprávněný zájem pro zasílání newsletterů, oprávněný zájem pro zasílání faktur…).
Údaje, které jsou shromážděny a získány pro různé účely (například pro fakturaci a pro zasílání marketingových údajů) musí být evidovány a zpracovány odděleně.

Odpovědnost - správce je odpovědný za soulad zpracování osobních údajů s GDPR a tento soulad musí být schopen prokázat po celou dobu zpracovávání osobních údajů. Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování. Ty definuje článek 5 odstavec 1, který říká, že osobní údaje musí být:

  1. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem
  2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný
  3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány
  4. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny
  5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány
  6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.