Nejčastější porušení GDPR podle Úřadu pro ochranu osobních údajů
- 17. 07. 2022
- Články > GDPR: Pravá ruka pověřence
Úřad pro ochranu osobních údajů (ÚOOÚ) upozorňuje na nutné zabezpečení údajů proti hackerským útokům a radí, kdy je nutné porušení hlásit. Zabýval se také využíváním kamerových atrap na pracovišti a používáním cloudových služeb orgány veřejné správy, pro které připravil přehledného průvodce. V tomto článku pro vás shrnujeme i nakládání s osobními údaji při zaměstnaneckých benefitech.
Hackerské útoky a povinnosti plynoucí z nařízení GDPR
V reakci na sílící hackerské útoky ÚOOÚ upozorňuje na povinnosti plynoucí z nařízení GDPR subjektům (včetně měst a obcí) spravujících osobní údaje. Jedná se zejména o povinnost ohlásit případ porušení zabezpečení osobních údajů. V případě, kdy dojde k úspěšnému hackerskému útoku a k odcizení osobních údajů, je správce povinen všechny případy porušení zabezpečení evidovat a vyhodnotit, zda je potřeba porušení ohlásit ÚOOÚ, popř. i oznámit dotčeným subjektům. Správce není povinen ohlašovat porušení v případě, že je nepravděpodobné, že by takové porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud je však pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce povinen porušení nejen hlásit úřadu, ale i oznámit dotčeným subjektům údajů.
Více informací, o tom, kdy a jak je třeba porušení zabezpečení osobních údajů ohlašovat, naleznete na webu ÚOOÚ.
Používání kamerových atrap
Úřad šetřil podnět týkající se instalace kamerového systému, který měl sloužit ke kontrole zaměstnanců na pracovišti. Při používání kamerového systému musí zaměstnavatel dodržovat jak pravidla ochrany osobních údajů (protože dochází ke zpracování osobních údajů osob zachycených kamerou), tak i pracovněprávních předpisů, pokud jsou kamerou snímáni zaměstnanci.
V rámci šetření ÚOOÚ zjistil, že se v daném případě nejednalo o funkční kamerový systém, ale o atrapu, nedošlo tedy k porušení nařízení GDPR. Úřad však dospěl k závěru, že tímto postupem mohl zaměstnavatel porušit své povinnosti plynoucí z pracovněprávních předpisů (konkrétně povinnost „vytvářet příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu zdraví při práci“), a proto věc předal k prošetření inspektorátu práce.
Používání cloudových služeb veřejnými subjekty
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) loni vydal dvě nové cloudové vyhlášky: vyhlášku č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci a vyhlášku č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu.
Vyhlášky stanoví pravidla, za kterých orgány veřejné správy mohou využívat cloudové služby, respektive požadavky na odpovídající bezpečností úroveň, kterou musí tyto cloudové služby splňovat. Orgány veřejné správy mohou využívat jen ty cloudové služby, které jsou uvedeny ve speciálním katalogu.
Pro snazší orientaci v problematice zveřejnil NÚKIB Průvodce zařazením poptávaného cloud computingu do bezpečnostní úrovně, která orgánům veřejné správy poskytuje metodiku pro zařazení informačního nebo komunikačního systému provozovaného prostřednictvím služeb cloud computingu do odpovídající úrovně dle uvedených vyhlášek. Průvodce využijí také poskytovatelé služeb cloud computingu, kteří chtějí své služby nabízet orgánům veřejné správy.
Právní důvod pro zpracování osobních údajů zaměstnance při poskytování benefitů
Zaměstnavatelé svým zaměstnancům často poskytují řadu benefitů, a za tímto účelem zpracovávají některé osobní údaje zaměstnanců, popř. je dále předávají poskytovateli těchto benefitů. ÚOOÚ se v tomto ohledu vyjádřil, že zpracování osobních údajů zaměstnanců za tímto účelem je založeno na dohodě mezi zaměstnancem a zaměstnavatelem o poskytnutí benefitu, v rámci které se zaměstnavatel zaváže k poskytnutí benefitu. Dochází tak k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, a případně i k předání těchto údajů dalšímu příjemci – poskytovateli benefitu.
Právním důvodem pro zpracování je tedy plnění smlouvy dle čl. 6 odst. 1 písm. b) nařízení GDPR, a to i v případě, že se zaměstnavatel k poskytnutí benefitu zavázal v kolektivní smlouvě či právo na poskytnutí benefitů stanovil v rámci svého vnitřního předpisu. V případě, že zaměstnavatel osobní údaje předává poskytovateli benefitu, je zaměstnavatel povinen o tom informovat zaměstnance v souladu s čl. 13 nařízení GDPR.
Potřebujete právní radu týkající se GDPR?
Sejdeme se s vámi a probereme, jaké jsou vaše aktuální potřeby vzhledem k velikosti vaší instituce a množství kontaktů, se kterými pracujete.
