Upgrade GDPR po 5 letech – co nás nemine

Rok s rokem se sešel a my ani letos nechceme, ba přímo nemůžeme, zapomenout na jedno významné výročí. Na sobotu totiž připadá

MEZINÁRODNÍ DEN OCHRANY OSOBNÍCH ÚDAJŮ

Tento významný den si připomínáme od roku 2007, přičemž Obecné nařízení o ochraně osobních údajů je účinné od roku 2018. To už je poměrně dlouhá doba. Nezasloužilo by si téma GDPR po pěti letech upgrade? Nebo se na něm už pracuje? Či snad upadlo v zapomnění? Těmto otázkám jsme zasvětili letošní newsletter ku příležitosti Dne ochrany osobních údajů.

LEGISLATIVNÍ UPGRADE

Nemáme v úmyslu naše čtenáře dlouho napínat. Žádný velký upgrade Obecného nařízení se nechystá. To ale neznamená, že by téma ochrany osobních údajů bylo mrtvé. Právě naopak. Rozvíjí se, zlepšuje, modernizuje… Byť to jde všechno pomalu. Pomaleji než překotný technologický rozvoj, s kterým přichází další výzvy, příležitosti, ale i hrozby a rizika. 

Mluví se o ledasčem. O tom, že je potřeba přijmout pravidla pro ochranu osobních údajů v elektronických komunikacích, že rodná čísla jsou snadno zneužitelná, že by oznamovatelé měli být více chráněni, o kybernetické bezpečnosti….

K některým tématům má tolik lidí co říct, že se o nich stále jen mluví, mluví a ještě dlouho bude jen mluvit. U jiných se procesy pohnuly a už se máme, nebo brzy budeme mít, oč opřít.

Zpracování osobních údajů

Zákon č. 110/2019 Sb., o zpracování osobních údajů
V roce 2019 byl po dlouhém čekání (a nesplnění původní stanovené lhůty) přijat tento adaptační zákon, který na národní úrovni zlehka upravuje, co Obecné nařízení členským státům EU upravit dovolilo.

Tedy věk pro udělení souhlasu se zpracováním osobních údajů (15 let), žurnalistické výjimky, výjimky z DPIA, změnu struktury a kompetencí Úřadu pro ochranu osobních údajů, nulové pokuty pro velkou část veřejného sektoru…

Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů
Změna, která souvisí s přijetím zákona o zpracování osobních údajů, se týká 39 zákonů – především veřejnoprávních. 

Rodná čísla

Rodná čísla jsou dnes chápána jako přežitek a hrozba ztráty identity. A to nejen proto, že svým charakterem obsahují informaci o datu narození, ale také o pohlaví a u starších čísel i o místě narození (číslo za lomítkem).

Držíte-li v ruce občanský průkaz s uvedeným rodným číslem, můžete si o dotyčné osobě zjistit vše, co uchovávají informační systémy nejen veřejné správy, ale i soukromého sektoru, protože rodná čísla se používají úplně všude. Nejen tam, kde o vás vede informace stát, ale i v bankovnictví a pojišťovnictví, na smlouvách na plyn, vodu, elektřinu a jinde.

Zákon č. 269/2021 Sb., o občanských průkazech
Od 1. ledna 2024 nebudou v občanských průkazech uváděny údaje o rodných číslech jejich držitelů. 

Zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů
Rodná čísla budou nahrazena jinými jednoznačnými identifikátory osob. V soukromém sektoru bude rodné číslo nahrazeno především bezvýznamovým směrovým identifikátorem fyzické osoby.

Whistleblowing

Vzhledem k tomu, že transpozice evropské směrnice o ochraně osob měla být do našeho právního řádu zavedena ke dni 17. prosince 2021, jedná se o další téma, o kterém se dlouhou dobu jen mluvilo.

Minulá vláda návrh zákona projednat nestihla a s novou přišel návrh nový, který byl v listopadu 2022 poslaneckou sněmovnou projednán v prvním čtení. 

Vládní návrh zákona o ochraně oznamovatelů počítá s účinností od „prvního dne druhého kalendářního měsíce následujícího po dni vyhlášení“. Záleží tedy jen na rychlosti schvalovacího procesu v Parlamentu
Pro menší zaměstnavatele (s počtem zaměstnanců mezi 50 a 250) je stanoveno konkrétní datum, do kdy musí zavést vnitřní oznamovací systém, a to k 15. prosinci 2023. 

O whistleblowingu a požadavcích směrnice jsme už toho v minulosti napsali mnoho. Provozujeme také web, který se whistleblowingu věnuje OhlasTo.online.

Hromadné žaloby

Hromadná žaloba je institut, který je známý v Nizozemí či Belgii, ale v České republice zatím chybí. Citelně.

Účelem je zvýšení ochrany menších žalobců (tedy sdružení většího množství žalobců pod jednu žalobu) a zefektivnění fungování soudního systému. Což mimo jiné umožní účastnit se řízení i drobným žalobcům, pro které by nebylo efektivní podání samostatné žaloby (aféra Dieselgate nebo Bohemia Energy). 

Od věci není ani fakt, že většina hromadných žalob končí mimosoudním narovnáním a jen zlomek dospěje až k pravomocnému rozsudku. 

Absence tohoto institutu však změní evropská legislativa. Implementační lhůta směrnice o zástupných žalobách uplynula koncem loňského roku.

Opět máme zpoždění. Návrh zákona o hromadném řízení byl nedávno dokončen (zatím neschválen a tudíž ani nepředán k projednávání Parlamentu), ale je velký tlak na to, aby navržená úprava začala fungovat do 25. června 2023. 

Advokát Jaromír Císař: Vláda musí předložit řešení hromadných žalob, jinak hrozí žaloby iniciativ.

Elektronická komunikace

Když Evropská komise představila návrh Nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích, známé spíš pod názvem Nařízení ePrivacy, mluvilo se o tom, že tento předpis bude časově navazovat na účinnost GDPR.

Nařízení mělo nahradit směrnici 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, které se říká směrnice ePrivacy. To se však nestalo. Směrnice a její národní implementace jsou účinné do dnes a o o Nařízení ePrivacy se stále jen mluví. 

Vzhledem k překotnému vývoji technologií a nových možností v oblasti elektronických komunikací, je onen návrh již nějakou dobu zastaralý a akutně vyžaduje ne update (akatualizaci), ale upgrade (kompletní překopání). Takže se odborníci shodují na tom, že ještě dlouho půjde jen o slova, ale ne o činy. 

Nicméně když už jsme toto téma nakousli, neměli bychom zapomenout na zákon č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony, který výrazně zpřísnil pravidla pro používání cookies. Nebo se spíše jen snažil dohnat směrnicí ePrivacy zavedený evropský standard v přístupu ke cookies a telemarketingu.

Zajímá-li vás toto téma, navštivte novinku v našem archivu Pozor na cookies – většina webů to nemá v pořádku

Kybernetická bezpečnost

V souvislosti s ochranou osobních údajů nemůžeme nezmínit největší progres na poli kybernetické bezpečnosti, kterým je bezesporu směrnice NIS 2, která 16. ledna 2023 nabyla účinnosti.

Směrnici 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii musí členské státy implementovat tak, aby přijatá opatření byla účinná od 18. října 2024.

Co se České republiky týče, směrnice si vyžádá změnu zákona o kybernetické bezpečnosti (včetně prováděcích předpisů a související vyhlášky).  

Předávání dat do třetích zemí

Předání osobních údajů bez zvláštních opatření (ze strany předávajícího správce či zpracovatele) do třetích zemí je možné, je-li tato země považována za bezpečnou. Aby tak tomu bylo, musí disponovat platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů.

Takové rozhodnutí již obdrželo například Švýcarsko, Kanada, Argentina, Izrael, Japonsko, Spojené království a další země, jejichž výčet naleznete na stránkách Úřadu pro ochranu osobních údajů.

Co se nového rámce pro transatlantické toky dat týče (poté, co byl Soudním dvorem EU v roce 2020 zrušen „štít EU – USA“), dospěla EU a USA ke shodě na principech nové dohody. Nyní se čeká na přetavení v použitelný a zúčastněnými stranami schválený dokument.

Pamatujete ještě na šílenství kolem GDPR nebo vás toto téma nechává chladnými? Proč by nemělo, jsme už psali mnohokrát. Nakoukněte do našeho archivu.

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Konec vyhlášky 50 – změny v elektrotechnice

Vyhláška 50 upravující odbornou způsobilost v elektrotechnice, familiárně označovaná jako „padesátka“, Vyhláška Českého úřadu bezpečnosti práce a Českého báňského úřadu o odborné způsobilosti v elektrotechnice 50/1978 Sb. definitivně po 44 letech skončila.

Přestože byla dle mnohých nadčasová, o potřebě její novelizace se hovořilo už v minulém století.

Když však došlo ke zrušení autora vyhlášky Českého úřadu bezpečnosti práce, zhasly všechny naděje na jakoukoliv úpravu, neboť novelizovat vyhlášku (v zásadě jakýkoliv právní předpis) může pouze ten subjekt, který ji vydal. 

Bylo potřeba vzít to z gruntu, neboť se zároveň přišlo na to, že u nás vlastně není nikdo, kdo by měl oprávnění náhradu padesátky vydat.  Z toho důvodu byl přijat
zákon 250/2021 Sb. o bezpečnosti práce v souvislosti s provozem vyhrazených technických zařízení a o změně souvisejících zákonů, který dává zmocnění Ministerstvu práce a sociálních věcí (MPSV), aby vydalo nové Nařízení vlády, které se bude odbornou způsobilostí v elektrotechnice zabývat.

Zda se dílo povedlo či má mouchy, ukáže až praxe. Každopádně k 1. 7. 2022 se elektrotechnika po více než čtyřech dekádách mění.

V dnešní novince se nechceme zabývat právním rozborem, spíš bychom rádi upozornili na existenci nového zákona a prováděcích předpisů jakož i na nejdůležitější změny.

Mimo jiné se dočtete:
Proč bylo nutné vyhlášku 50/1978 Sb. zrušit

Co mění zákon 250/2021 Sb.
Platnost osvědčení vydaných dle vyhlášky 50/1978 Sb.
Novinka – hlášení vzniku havárie související s VTZ

Paragrafy vyhlášky 50/1978 Sb. vs. nařízení vlády 194/2022 Sb.
Změny, které s sebou nese nařízení vlády 194/2022 Sb.

Co mění zákon 250/2021 Sb.

Zákon 250/2021 Sb. s účinností od 1. 7. 2022 mění znění 3 zákonů a ruší dosud platný zákon 174/1968 Sb., o státním odborném dozoru nad bezpečností práce. Spolu s ním se zrušuje dalších 24 zákonů či prováděcích předpisů nebo jejich částí, mezi které patří zejména: 

  • Vyhláška 50/1978 Sb., o odborné způsobilosti v elektrotechnice.
  • Části sedmá, devátá a jedenáctá vyhlášky 48/1982 Sb., kterou se stanoví základní požadavky k zajištění bezpečnosti práce a technických zařízení.
  • Vyhláška 85/1978 Sb., o kontrolách, revizích a zkouškách plynových zařízení.
  • Vyhláška 21/1979 Sb., kterou se určují vyhrazená plynová zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.
  • Vyhláška 18/1979 Sb., kterou se určují vyhrazená tlaková zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.
  • Vyhláška 19/1979 Sb., kterou se určují vyhrazená zdvihací zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.
  • Vyhláška 73/2010 Sb., o stanovení vyhrazených elektrických zařízení do tříd a skupin a o bližších podmínkách jejich bezpečnosti (vyhláška o vyhrazených elektrických zařízeních).

Státní správa a dozor

Státní správu v oblasti bezpečnosti provozu vyhrazených technických zařízení  (VTZ) vykonává dle nového zákona MPSV spolu se Státním úřadem inspekce práce a oblastními inspektoráty práce. Státním odborným dozorem byla v souladu se zákonem pověřena Technická inspekce České republiky (TIČR), kde zřizovatelem je MPSV. 

Nové definice

Zákon 250/2021 Sb. přichází s odlišnou definicí Vyhrazeného technického zařízení a nově definuje průvodní a provozní dokumentaci.

Vyhrazeným technickým zařízením je tlakové, zdvihací, elektrické nebo plynové zařízení, které při provozu svým charakterem nebo akumulovanou energií, v důsledku nesprávného použití, výskytem provozních rizik vyvolávajících nebezpečné situace nebo nedodržením podmínek bezpečného provozu představuje závažné riziko ohrožení života, zdraví a bezpečnosti fyzických osob.

Průvodní dokumentace je soubor dokumentů, dodaných výrobcem nebo dodavatelem vyhrazeného technického zařízení, v českém jazyce, který musí být k dispozici po celou dobu provozu zařízení. 
Nepřebírejte zařízení bez české dokumentace, chcete-li se při případné kontrole vyhnout dokazování, že zaměstnanci rozumí návodu výrobce v originálním znění! 

Provozní dokumentace je soubor dokumentů obsahující záznamy o kontrolách, zkouškách a revizích, místní provozní řád, provozní deník, doklady o kvalifikaci obsluhy, záznamy o opravách a údržbě, harmonogramy, záznamy o činnostech prováděných na provozovaném vyhrazeném technickém zařízení a jiné specifické dokumenty, vznikající při provozu daného vyhrazeného technického zařízení v rozsahu požadovaném právními a ostatními předpisy k zajištění bezpečnosti a ochrany zdraví při práci.

Platnost osvědčení vydaných dle vyhlášky 50/1978 Sb.

Od 1. 7. 2022 sice platí nové podmínky a zkoušky se již budou dělat podle nové zákonné úpravy, nicméně stávající osvědčení, která byla vydaná podle vyhlášky 50/1978 Sb., budou podle přechodného ustanovení zákona platit po celou dobu, na kterou byla vydána.

Za zmínku stojí, že TIČR bude nově oprávnění k montáži, opravám, revizím, zkouškám VTZ a k plnění nádob plyny vydávat právnické osobě nebo podnikající fyzické osobě na 10 let.

Hlášení vzniku havárie

Naprostou novinkou je povinnost uložená provozovateli ohlásit bez zbytečného odkladu oblastnímu inspektorátu práce vznik mimořádné, částečně nebo zcela neovladatelné, časově a prostorově ohraničené událostiv souvislosti s provozem vyhrazených technických zařízení, nebo kdy jsou příčinou vzniku této události vyhrazená technická zařízenía v jejímž důsledku došlo ke škodě na majetku přesahující částku 5 milionů Kč.

Paragrafy vyhlášky 50 vs. nařízení 194

Novinkou je také zákonem řešená odborná způsobilost osob vykonávajících  obsluhu a práci na elektrických zařízeních bez napětí, v blízkosti elektrických zařízení pod napětím a na elektrických zařízeních pod napětím. Od začátku července rozeznáváme osoby znalé, osoby poučené a osoby školené, které nejsou znalé ani poučené, ale jsou školené ve smyslu zákoníku práce. 

Osobou poučenou se stanete ve chvíli, kdy podepíšete zápis o provedeném poučení a ověření znalostí, který stvrdí i osoba znalá, jež poučení provedla. Takové poučení je potřeba opakovat ve lhůtě ne delší než 3 roky. 

Za osoby znalé se považují osoby pro samostatnou činnost, osoby pro řízení činnosti a revizní technici. Tuto problematiku dříve řešila vyhláška č. 50/1978 Sb., dnes na to máme
nařízení vlády 194/2022 Sb., o požadavcích na odbornou způsobilost k výkonu činnosti na elektrických zařízeních a na odbornou způsobilost v elektrotechnice

S nařízením vlády 194/2022 Sb. dochází ke
snížení počtu stupňů odborné způsobilosti v elektrotechnice ze 7 na 3, kam se řadí elektrotechnik, vedoucí elektrotechnik a revizní technik.

Byť nařízení vlády v mnohém původní paragrafy kopíruje, došlo k aktualizování a doplnění problematiky stupňů odborné způsobilosti, jakož i k novému číselnému označení paragrafů a změně pojmů. 

Původní paragraf vyhlášky 50Nový paragraf NV 194/2022 Sb.
§3
Pracovníci seznámení
Osoba školená
§19 odstavce 1 zákona 250/2021 Sb. ve smyslu §103 odstavce 2 zákoníku práce 262/2006 Sb.
§4
Pracovníci poučení
§4
Osoba poučená
§5
Pracovníci znalí
§5
Osoba znalá
(Elektrotechnik, Vedoucí elektrotechnik, Revizní technik)
§6 Pracovníci pro samostatnou činnost§6
Elektrotechnik
§7
Pracovníci pro řízení činnosti
§7
Vedoucí elektrotechnik
§8 Pracovníci pro řízení činnosti dodavatelským způsobem§7
Vedoucí elektrotechnik
§8
Pracovníci pro řízení provozu
§7
Vedoucí elektrotechnik
§9
Pracovníci pro provádění revizí
§8
Revizní technik
§10 Pracovníci pro samostatné projektování§7
Vedoucí elektrotechnik
§10 Pracovníci pro řízení projektování§7
Vedoucí elektrotechnik
§11 Kvalifikace ve zvláštních případech – Pracovníci, Učitelé§6
Elektrotechnik
§11 Kvalifikace ve zvláštních případech – Absolventi§7
Vedoucí elektrotechnik

Pracovníci pro samostatné projektování a pracovníci pro řízení projektování nejsou v nařízení vlády výslovně uvedeni, ale dle § 7, odst. 1 mohou vedoucí elektrotechnici projektovat vyhrazená elektrická zařízení, která nejsou předmětem autorizace dle jiného právního předpisu (zákon č. 360/1992 Sb., o výkonu povolání autorizovaných architektů a o výkonu povolání autorizovaných inženýrů a techniků činných ve výstavbě, ve znění pozdějších předpisů).

Změny dle nařízení vlády 194/2022 Sb.

Princip odborné způsobilosti v elektrotechnice zůstal s 1. červencem 2022 nezměněn. Stále jde o zajištění objektivního a nezávislého ověření, zda je elektrotechnik schopen provádět odbornou činnost na elektrických zařízení, aby se nikomu nic nestalo a elektrická zařízení zůstala bezpečná. Velmi zjednodušeně řečeno. 

Mění se však administrativní část spojená se získáváním a obnovováním odborné způsobilosti, kdy je kladen větší důraz na odbornost zkušební komise. 

Jediný stupeň, který podléhá zkoušce před TIČR je revizní technik. Tak tomu bylo i dosud. Všechny ostatní stupně budou moci zaměstnavatelé nebo podnikatelé zajistit buďto prostřednictvím své komise nebo externí komise.

Pro stupeň elektrotechnik a vedoucí elektrotechnik, bude platit, že v tříčlenné komisi musí být předsedou revizní technik.

Další změnou je, že jsou do systému vpuštěny i 
profesní kvalifikace. Osoby, které uspěly v teoretické a praktické části profesní zkoušky (bez ohledu na to, kde znalosti a zkušenosti nabraly) budou moci konat v rozsahu konkrétní profesní kvalifikace. 

Doposud jsme byli zvyklí, že na odbornou způsobilost v elektrotechnice se vydávají osvědčení podle vyhlášky 50. Po novu osvědčení vydává pouze Technická inspekce České republiky na ty zkoušky, které ona provádí. V elektrotechnice výhradně pro revizní techniky. Dokument který bude vydáván podle nařízení vlády se jmenuje „Doklad o odborné způsobilosti v elektrotechnice„.

Související nařízení

Abychom dostáli svému závazku z úvodu, nesmíme opomenout zmínit další prováděcí předpisy, které ruku v ruce se zákonem 250/2021 Sb. nabyly 1. 7. 2022 účinnosti:

Nařízení vlády 191/2022 Sb. o vyhrazených technických plynových zařízeních a požadavcích na zajištění jejich bezpečnosti nahrazuje vyhlášku 21/1979 Sb., kterou se určují vyhrazená plynová zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.

Nařízení vlády 192/2022 Sb. o vyhrazených technických tlakových zařízeních a požadavcích na zajištění jejich bezpečnosti nahrazuje vyhlášku 18/1979 Sb., kterou se určují vyhrazená tlaková zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.

Nařízení vlády 193/2022 Sb. o vyhrazených technických zdvihacích zařízeních a požadavcích na zajištění jejich bezpečnosti nahrazuje vyhlášku 19/1979 Sb., kterou se určují vyhrazená zdvihací zařízení a stanoví některé podmínky k zajištění jejich bezpečnosti.

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Upravte ISMS dokumentaci – aktualizace ISO 27002

Informace jsou synonymem dnešní doby!

Dnes již snad neexistuje organizace, která by se nemusela zabývat jejich efektivním a bezpečným zpracováním v celém životním cyklu. Od pořízení až po výmaz a skartaci. Možná řešení jsou rozmanitá (tomu pak odpovídají i výsledky).

Zavádíte či udržujete
Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?

Pak by vás mělo zajímat, že v únoru 2022 byl po devíti letech aktualizován standard ISO/IEC 27002. Aktualizace přináší řadu změn. Zavádí kategorie, atributy a nová opatření umožňující reagovat na aktuální úskalí bezpečnosti informací.

Q-COM ISMS

Principem ISMS je ochrana identifikovaných informačních aktiv. Celý systém je navržen tak, aby zajistil (na základě analýzy rizik) adekvátní opatření chránící informační aktiva a poskytl odpovídající bezpečnostní jistotu zainteresovaným stranám.

Nová verze normy 27002

První změny si všimneme již v úvodu, neboť je upraven samotný název normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).

Autoři vypustili označení „Soubor postupů“/“Code of practise“, což lépe odráží účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.

ISO/IEC 27002:2022 je výrazně delší než předchozí verze ISO/IEC 27002:2013. Výraznou změnou je přeskupení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.

Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově tedy máme 93 opatření místo původních 114. Mezi zcela nová opatření patří:  

  • Správa hrozeb (shromažďování a analýza)
  • Bezpečnost informací v rámci využívání cloudových služeb
  • Připravenost ICT pro kontinuitu provozu
  • Monitorovací aktivity
  • Správa konfigurace
  • Mazání informací
  • Maskování dat
  • Prevence úniku dat
  • Filtrování webu
  • Bezpečné kódování

Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

  • Druh opatření – preventivní, detektivní, nápravné
  • Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
  • Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
  • Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
  • Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost

Organizace si může zvolit i další atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).

Stejně tak je možno doplnit i další opatření specifická pro danou organizaci nebo lze využít opatření pro řízení identifikovatelných rizik, jež jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:

  • cloudové služby ISO/IEC 27017
  • ochranu soukromí ISO/IEC 27701
  • energetický průmysl ISO/IEC 27019
  • telekomunikační organizace ISO/IEC 27011
  • zdravotnické organizace ISO 27799

Další vyčnívající změnou je rozdělení aktiv na primární a podpůrná. Primárními aktivy se míní podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.

Následovat bude aktualizace normy ISO/IEC 27001

Pravděpodobně se ještě letos dočkáme také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu. 

Očekává se, že tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na organizace, ale i specialisty z těchto oblastí. 

Chcete-li držet krok s novými verzemi, bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Zaveďte vnitřní oznamovací systém

Volby a následné „podzimní období temna“ hodily vidle do schvalovacího procesu návrhu zákona o ochraně oznamovatelů transponujícího směrnici Evropské unie č. 2019/1937 o ochraně osob do vnitrostátního práva. Cílem je ochránit lidi, kteří v práci zaznamenají nějaké protiprávní jednání a oznámí ho. 

Protože s novou vládou na projednávání návrhu zákona dosud nedošlo, musíme se zmíněnou směrnicí řídit napřímo, a to s účinností již od 17. prosince 2021!

Metodika k přímé aplikovatelnosti směrnice o ochraně osob, kterou vydalo Ministerstvo spravedlnosti, přehledně vysvětluje, na koho směrnice dopadá a jaké povinnosti nám z ní plynou.

Už pár týdnů by tak veřejnoprávní subjekty (státní orgány, obce nad 10 tisíc obyvatel a další veřejné instituce) měly mít přijaty procesy a pravidla pro vnitřní oznamovací systém. Jakmile nabyde účinnosti zákon o ochraně oznamovatelů, padne tato povinnost také na soukromý sektor.

Směrnice počítá s implementací příslušných předpisů týkajících se právních subjektů v soukromém sektoru od 50 zaměstnanců. Nicméně dle českého návrhu zákona lze očekávat, že se zmíněné povinnosti budou týkat všech zaměstnavatelů od 25 zaměstnanců. Více na našem blogu.

OhlasTo - vnitřní oznamovací systém

Vnitřní oznamovací systém je kanál pro přijímání oznámení o možném porušování práva v organizaci. Takové oznámení je potřeba nejen přijmout, pečlivě prošetřit, vše zdokumentovat, ale také evidovat kroky, které povedou k nápravě protiprávního stavu, přičemž musíme mít na zřeteli zabránění odvetným opatřením proti oznamovateli (ukončení pracovního poměru, snížení platu či mzdy, kázeňský trest, přeložení na jiné místo atd.). 

Systém musí být schopen především utajit totožnost oznamovatelů, například tak, jak to umí námi vytvořená aplikace OhlasTo

Vyvinuli jsme online oznamovací kanál OhlasTo, který slouží pro sběr oznámení a je navázán na aplikaci pro evidenci a řízení podaných oznámení – vnitřní oznamovací systém. Nástroj OhlasTo splňuje všechna kritéria Evropské unie, je jednoduchý, dostupný, uživatelsky přívětivý a  zajišťuje anonymitu oznamovatelů. OhlasTo běží na platformě IS QML. Můžete si to vyzkoušet – oznamte nám třeba jak jste spokojeni s našimi službami.

Na webu
www.ohlasto.online klikněte na tlačítko „Podat oznámení“ a do pole Příjemce oznámení zadejte Q-COM. Nebo použijte tlačítko níže.

Váš whistleblower samozřejmě nemusí používat web ohlasto.online. Na formulář se pohodlně dostane proklikem z vaší firemní webové prezentace nebo prostřednictvím QR kódu z vašich informačních materiálů.

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

GDPR je účinný nástroj – pochopíme až v nouzi

Psal se rok 2006, když se Rada Evropy usnesla vyhlásit 28. leden jako Mezinárodní den ochrany osobních údajů. Tento den si připomínáme od roku 2007 a rozhodně nebyl zvolen náhodně. Odkazuje se totiž na 28. ledna 1981, kdy byla Radou Evropy přijata Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů.

Mezinárodní den ochrany osobních údajů

Od té doby ušla Evropa nemalý kus cesty, přičemž přijetí Obecného nařízení o ochraně osobních údajů (známé jako GDPR) bylo jen jedním z mnoha milníků. Ochrana osobních údajů by se s trochou nadsázky dala přirovnat k živému organismu, který roste a vyvíjí se. Jen v České republice to nemá úplně jednoduché. Nemálo lidí totiž pochopí, jak důležitý nástroj GDPR je, teprve ve chvíli, kdy se sami stanou cílem útoku.

Vzpomenete si, kolikrát jste tento měsíc někam psali nebo zadávali své jméno, telefonní číslo či emailovou adresu? Kolikrát jste se zúčastnili nějakého výzkumu proklikem z mailu? Co všechno jste o sobě uvedli při zavedení do evidence u lékaře, při zakládání bankovního účtu nebo u příležitosti zákaznické registrace v obchodě? A co vaše profily na sociálních sítích? Jste si jisti jejich zpřístupněním pouze vámi zvolenému okruhu osob? Cokoliv na sítích sdílíte, stává se jejich definitivní součástí, a to často i potom, co svůj příspěvek smažete. 

Tlak na vytvoření virtuální identity roste. Možná se bráníte sociálním sítím, ale nic si nenalhávejte, v Matrixu už stejně dávno jste. 

Mezinárodní den ochrany vznikl právě proto, aby rozvíjel povědomí veřejnosti o vlastní odpovědnosti za zacházení s osobními údaji v online i offline světě. 

Nechceme nabádat, abyste nikomu své osobní údaje nesvěřovali. To byste velmi rychle narazili. Ale zdůrazňujeme, že je dobré rozmýšlet nad tím, komu své údaje svěřujete a třeba se i zajímat o to, k jakým účelům je bude využívat. Mějte na paměti, že nemusíte vždy souhlasit úplně se vším. 

Zajímalo vás někdy, které další státy ochranu osobních údajů řeší? Svého času byla Evropská unie první vlaštovkou. Proto nás velmi mile potěšilo, že se od té doby přidalo významné množství dalších zemí, které v nějaké podobě přijaly principy „našeho“ GDPR nebo si zavedly vlastní, ale důležité je, že ochranu osobních údajů vůbec berou v potaz. 

Konference OSN o obchodu a rozvoji (UNCTAD) na svých webových stránkách uvádí, že se ochranou osobních údajů zabývá 128 zemí ze 194. Zároveň nabízí velmi vydařenou interaktivní infografiku (viz obrázek výše), kde se sami můžete přesvědčit, jak si který světadíl či stát v této problematice vede.

Vrátíme se však ještě na chvíli k GDPR. Nedávno se na portálu Novinky.cz objevila informace, že v loňském roce vzrostly pokuty za porušení GDPR téměř sedminásobně (proti roku 2020) na 1,25 miliardy dolarů, přičemž v roce 2020 to bylo i tak nepředstavitelných 180 milionů dolarů. Asi nikoho nepřekvapí, že se na uvedených sumách nejvíce podílí celosvětové technologické značky jako je Google, Facebook, Amazon, WhatsApp a další giganti. Pro zájemce uvádíme, že přehled udělených pokut napříč Evropskou unií je k dispozici na adrese
www.enforcementtracker.com, byť se jedná o neúplný výčet, neboť některé národní dozorové úřady udělené pokuty zpřístupňují ke statistickým účelům se zpožděním nebo vůbec.

Jak jste na tom vy? Nedopadly by pokuty i na vás? S měnícími se zákony je čas zkontrolovat stav vašich procesů a IT – a od toho máte nás.

Protože ochranu osobních údajů bereme vážně, v týdnu od 1. do 7. února 2022 nabízíme slevu 10% na služby spojené s ochranou osobních údajů.

Co se týče naší země, údaje o provedených kontrolách a udělených pokutách za loňský rok nejsou zatím k dispozici. Nicméně soudě dle zveřejněných informací za I. pololetí, Úřad nezahálí. Každopádně mu přibyli minimálně dvě další oblasti, kde se dá očekávat udělování sankcí. Jedná se o cookies a whistleblowing. 

Cookie lišty stále ještě nemá velké množství webů v pořádku a neplní tak povinnosti, jež začaly platit s příchodem nového roku. A co se ochrany oznamovatelů týče, ta s sebou také nese povinnosti související s GDPR. Minimálně ty, které vyplývají ze zpracování osobních údajů a vedení registru zpracování. Na tato témata zaměříme naši pozornost v některé z příštích novinek.

Říkáte si, nač se asi tyto vybrané finance použijí? Také nás to zajímalo, proto jsme položili dotaz nejpovolanějšímu – Úřadu pro ochranu osobních údajů. Níže uvádíme úplný přepis odpovědi.

Rozloučíme se s vámi slovy předsedy Úřadu pro ochranu osobních údajů Jiřího Kauckého: „Den ochrany osobních údajů berme jako připomínku doby a situace, ve které žijeme. Všudypřítomná digitalizace a stále větší úloha online světa internetu nám přináší spoustu výhod a ulehčení. Zároveň však představuje také mnohá nebezpečí. Ještě nikdy v minulosti nebylo tak jednoduché dostat se nám do soukromí a zneužít naše osobní údaje k manipulaci nebo dalšímu nekorektnímu jednání ve vlastní prospěch. Jejich hodnotu a křehkost nám ukazují také stále častější kybernetické útoky. Kybernetické útoky však nejsou jedinou současnou hrozbou pro naše soukromí. Značná rizika pro ochranu osobních údajů přinášejí rovněž dobře míněná opatření v rámci boje proti pandemii nemoci COVID-19. Tato opatření je vždy nutno velmi pečlivě posuzovat z hlediska vyvážení chráněných zájmů (ochrana života a zdraví a ochrana soukromí), efektivity a rizika zneužitelnosti vytvořených prostředků. Je proto nutné, aby byla ochraně našich osobních dat věnována větší pozornost než kdy dříve.“

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Bezpečnostní semafor pro měkké cíle

Měkké cíle se vyznačují  vysokou koncentrací osob a nízkou úrovní zabezpečení proti násilným útokům. V tomto ohledu se jedná o velmi specifický cíl, kdy zranitelnost návštěvníků a zaměstnanců je vysoká a hodnota, kterou představují pro své rodiny, ale i pro společnost jako celek, nevyčíslitelná.

Bohužel útoky s cílem způsobit co nejvyšší škody hlavně na lidských životech, jsou reálné už i v České republice. Je potřeba začít se těmito riziky zabývat a být na ně připraven.

Našim dílem je bezpečnostní semafor, který jsme zavedli u našeho významného klienta s velmi vysokou koncentrací osob.

Jedná se o systém vyhlašování stupňů ohrožení v areálu klienta, které jsou vizuálně odlišeny barvami – zelený, žlutý, oranžový a červený stupeň. Takto řídíme režim chodu celé společnosti od stavu bezpečí až po přímé ohrožení ve všech oblastech bezpečnosti (fyzická, IT, kybernetická, ochrana osobních údajů, požární, atd.)

Informace o aktuálním stavu bezpečnostního semaforu je vhodným způsobem předávána nejen zaměstnancům, ale i návštěvníkům klienta.

Jednotlivé stavy jsou určovány na základě aktuální bezpečnostní situace u klienta a v České republice.

Buďte i vy v bezpečí s našim semaforem.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Chystá se zákon o ochraně oznamovatelů

Také máte kamaráda, který ví o porušování předpisů ve firmě, ve které pracuje, a má obavy se někomu svěřit? Nechce, aby se o něm mluvilo jako o práskači, udavači nebo bonzákovi. To je u nás bohužel zakořeněný pohled na věc. Ve světě je však takový člověk označován pojmem whistleblower. Tedy někdo, kdo hvízdá na píšťalku. 

Whistleblower je osoba, která přinese jakýkoliv důkaz o podvodu, zneužití moci, postavení, vlivu, nebo korupčního jednání.

Bez takových oznamovatelů by nikdy nikdo nebyl upozorněn na pletichy s veřejnými zakázkami, poškozování spotřebitele, záměrné nedodržování technologických postupů, či na ilegální prodeje zbraní, narkotik, praní špinavých peněz nebo úplatkářství. Mezi nejznámější whistleblowery patří biochemici, manažeři, politici nebo bývalí zaměstnanci. 

Náš výše zmíněný kamarád Filip se obává oprávněně. Nebude se mu vedení za takové oznámení mstít? Koho si nechají? Šéfa, který manipuluje s veřejnými zakázkami nebo zaměstnance, který to vynesl na světlo? Kdo chce udavače v kolektivu? Kdo se za něj postaví? 

Naštěstí se Filipovi a všem, kteří se bojí promluvit blýská na lepší časy. Poslanecká sněmovna aktuálně projednává návrh zákona o ochraně oznamovatelů, který předložilo Ministerstvo spravedlnosti.

Ano, snaha o zákonnou úpravu whistleblowingu zde již v minulosti byla, nyní se však jedná o povinnou transpozici směrnice Evropské unie č. 2019/1937 o ochraně osob, které oznámily porušení práva Unie. Implementace směrnice musí být provedena do 17. prosince 2021. Ke stejnému datu je navržena i účinnost české zákonné úpravy.

Cílem je ochránit lidi, kteří v práci zaznamenají nějaké protiprávní jednání a oznámí ho. Zaměstnavatelé s více než 25 zaměstnanci, ale také veřejní zadavatelé (s výjimkou malých obcí) a další zákonem vymezené osoby, budou muset do 31. března 2022 povinně zavést vnitřní oznamovací systém. Tedy nastavit kanál pro přijímání oznámení od svých zaměstnanců o možném porušování práva v organizaci. Vnitřní oznamovací systém budou moci podniky s méně než 249 zaměstnanci i sdílet.

Každé oznámení bude potřeba pečlivě prošetřit, přijmout a zdokumentovat kroky k nápravě protiprávního stavu a hlavně zabránit odvetným opatřením proti oznamovateli (ukončení pracovního poměru, snížení platu či mzdy, kázeňský trest, přeložení na jiné místo atd.). Systém musí především utajit totožnost oznamovatelů.

Zákon pamatuje také na externí oznamovací kanál, který bude pravděpodobně spravovat Ministerstvo spravedlnosti. Pokud nebude zaměstnanec důvěřovat interním postupům, bude se moci na ministerstvo obrátit. Dotčená organizace pak bude povinna oznámení prošetřit a o výsledku ministerstvo informovat. 

Rovněž bude potřeba určit osobu, která bude mít agendu na starost a náležitě ji vyškolit. Koordinátor oznámení (Whistleblowing officer) nesmí být postihován za výkon své funkce a bude:

Q - COMpřijímat a posuzovat důvodnost oznámení;
Q - COMnavrhovat opatření k nápravě nebo k předejití protiprávního vztahu;
Q - COMvázán ze zákona mlčenlivostí, a to i po ukončení výkonu činnosti;
Q - COMpostupovat nestranně.

Na Internetu bude nutno uveřejnit způsob oznamování prostřednictvím vnitřního oznamovacího systému, kontakt na pověřenou osobu a také informaci o možnosti obrátit se na ministerstvo. Oznamovatel bude moci oznámení učinit písemně či ústně a má právo být do třiceti dnů od oznámení informován o výsledku šetření.

Oznamovatel bude moci své podezření také zveřejnit a v některých případech bude i tak podléhat zákonné ochraně před odvetnými opatřeními.

Rovněž je potřeba myslet na to, že bude nezbytné celý proces dokumentovat – tedy zanalyzovat oblasti, kterých se nová povinnost týká, následně proces popsat (směrnice), zavést elektronickou evidenci učiněných oznámení (oznámení uchovat po dobu 5 let od přijetí) a způsobů jejich prošetření a v neposlední řadě patřičně informovat zaměstnance.

Q – COM má know-how, vy máte nás!

Q - COMZajistíme implementaci vnitřního oznamovacího systému, včetně integrace do stávajícího systému řízení.
Q - COMPřipravujeme online nástroj pro Whistleblowing (podání oznámení, evidence, zaznamenání následného řešení).
Q - COMZaškolíme Koordinátora oznámení.
Q - COMZajistíme outsourcing Koordinátora oznámení.

Kdo bude chtít druhou stranu poškodit a vědomě podá nepravdivé oznámení, zapláče, až mu bude udělena pokuta až do výše 50.000 Kč.

Lépe na tom nebude ani Koordinátor oznámení (Whistleblowing officer), který by snad své povinnosti bral na lehkou váhu, oznámení patřičně neprošetřil, prozradil totožnost oznamovatele nebo snad ohrozil či zmařil účel oznámení. Následoval by trest v podobě pokuty až 100.000 Kč.

Zaměstnavatel, kterého by snad napadlo nezabývat se povinnostmi, které mu nový zákon bude ukládat, se vystavuje riziku udělení pokuty do výše 1.000.000 Kč nebo 5 % z čistého obratu. Pokuta může být udělena pokud:

Q - COMnezabrání odvetným opatřením vůči oznamovateli a dalším zainteresovaným osobám;
Q - COMnezveřejní informace o způsobech oznámení a kontakt na pověřenou osobu;
Q - COMneumožní podání oznámení prostřednictvím vnitřního oznamovacího systému
Q - COMnezajistí přijetí vhodných opatření k nápravě nebo navržená opatření neprovede;
Q - COMneurčí pověřenou osobu či jejího náhradníka nebo jí nezajistí podmínky pro výkon činnosti;
Q - COMnezajistí prošetření důvodnosti oznámení či dodržení mlčenlivosti atd.
V rámci dobrých vztahů si na závěr dovolíme jednu radu. Nespoléhejte na to, že téma whistleblowingu vyšumí. Buďte připraveni! Q – COM bude sledovat, jak se přijetí zákona vyvíjí a včas vám dá vědět, až bude potřeba začít jednat. 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Legitimace a souhlas s kopírováním dokladů

Doklad totožnosti za účelem legitimování naší osoby vytahujeme čím dál častěji. Někdy do něj dotyčný jen nahlédne, jindy jsou z něj opsány údaje nebo je pořízena jeho kopie. Pojďme se podívat, kdy máme povinnost prokazovat svou totožnost, zda musíme souhlasit s kopírováním dokladu a jak se případně můžeme bránit.

K tomuto tématu nedávno zveřejnil Úřad pro ochranu osobních údajů poměrně rozsáhlý dokument Prokazování totožnosti a zpracování osobních údajů . My vám přinášíme to nejdůležitější obohaceno o náš pohled. 

Občanský průkaz je dle zákona č. 328/1999 Sb., o občanských průkazech veřejnou listinou, kterou občan prokazuje svá jména, příjmení, podobu, státní občanství a další údaje. Ještě letos se pravděpodobně začnou vydávat občanské průkazy s čipy, které budou povinně obsahovat také biometrické údaje – kromě fotky i dva otisky prstů. 

Povinnost vlastnit občanský průkaz má každý, kdo dosáhl věku 15 let. Mezi lidmi je hluboce zakořeněná povinnost nosit občanský průkaz neustále u sebe, avšak zákon, který takovou povinnost určoval, byl v roce 2000 zrušen.

Je-li to druhou stranou akceptováno, lze jako průkaz totožnosti využít i cestovní doklad (obsahuje-li fotografii držitele) nebo jiný doklad, například řidičský průkaz či služební průkaz. Totožnost však v určitých případech můžete prokázat i různými potvrzeními, jejich kombinací, nebo i prohlášením třetí osoby, která dosvědčí vámi uvedené nacionále.

Prokázání totožnosti vůči orgánům veřejné moci je zákonná povinnost občana.

Policie České republiky je oprávněna požadovat prokázání totožnosti. Podle zákona o Policii ČR však rozsah a způsob zjišťování osobních údajů musí být přiměřené účelu zjišťování totožnosti. 

Koho by snad napadlo vzdorovat či svou totožnost na místě prokázat nemohl (za to, že u sebe nemáte doklady nemůžete dostat pokutu), je policista oprávněn odpůrce předvést na policii za účelem zjištění jeho totožnosti dle evidencí, sejmutím otisků prstů, zjišťováním tělesných znaků, měřením těla, pořizováním obrazových, zvukových a jiných záznamů či odebíráním biologických vzorků. 

Obdobná oprávnění mají i příslušníci některých jiných bezpečnostních sborů (vojenská policie, příslušník hasičského záchranného sboru atd.) či strážník dle zákona o obecní policii. 

Zjišťovat totožnost však mohou i další orgány veřejné moci na základě příslušných zákonů například podle daňového řádu, kontrolního řádu, zákona o inspekci práce, zákona o rybářství, zákona o ochraně přírody a dalších. 

Totožnost účastníků soudního řízení ověřují soudy. Stejně tak je potřeba prokázat správním orgánům totožnost účastníků správního řízení.

V některých případech máme zákonnou povinnost prokázat svou totožnost také vůči fyzickým či právnickým osobám, bez jejíhož splnění by nebylo možno uplatnit určité právo či poskytnout nějakou službu.

Zákonnou povinnost identifikovat klienta mají povinné osoby – banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci, účetní – podle zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen zákon č. 253/2008 Sb.). 

Svou totožnost musíme jakožto volič prokázat volební komisi, jsme-li pacient, prokazujeme ji zdravotnickému pracovníkovi, totožnost prokazujeme také při výkupu kovového odpadu, do kasina nás bez tohoto úkonu nepustí a zariskujeme-li cestování v roli černého pasažéra, prokazujeme svou totožnost osobě pověřené ke kontrole. Stejně tak účastníci dopravní nehody by neměli odmítnout vzájemnou legitimaci. 

Uzavírání řady smluv se také neobejde bez prokázání totožnosti.

Stejně tak může být oprávněný i požadavek na prokázání totožnosti návštěvníka objektu – výrobní haly, skladu, kancelářské budovy, areálu školy apod. Můžeme být vyzváni k předložení občanského průkazu, služebního průkazu či jiného odpovídajícího dokumentu (třeba předvolání). 

Nezřídka dochází k zaznamenání osobních údajů návštěvníka. Obvykle z bezpečnostních důvodů pro případ vzniku mimořádné události a potřeby následné identifikace návštěvníka.

Správce osobních údajů by měl dle GDPR dbát na minimalizaci osobních údajů. Lze zaznamenat jméno a příjmení návštěvníka, číslo a typ předkládaného dokladu, účel návštěvy či jméno navštívené osoby. Je však nezbytné informovat návštěvníky proč, jakým způsobem a po jakou dobu budou jejich osobní údaje zpracovávány. 

Pořizování kopií dokladů totožnosti je poměrně častý jev, byť ve většině případů by mělo stačit jejich pouhé předložení a případné zaznamenání (opsání) nezbytných údajů. Ani orgány veřejné moci při kontrole totožnosti fyzické osoby zpravidla kopii občanského průkazu či cestovního dokladu nepotřebují a ani zákon jim takový postup neukládá.

Zákonem stanovené pořizování kopií těchto dokladů je spíše výjimečné. Kopie se například přikládá k žádosti o ověření rodného čísla.  Kopie či výpisy z předložených dokladů mohou pořizovat povinné osoby dle zákona č. 253/2008 Sb. Kromě bank, dalších finančních institucí, pojišťoven, notářů patří mezi povinné osoby také obchodníci s uměleckými díly či bazary a zastavárny. Nicméně zákonná povinnost zpracovávat kopie průkazu totožnosti je těmto osobám dána pouze v případech, kdy dochází k uzavření smlouvy bez fyzické přítomnosti klienta (například při sjednání bankovního účtu na dálku – online). Jinak by pořizování kopií nemělo být plošné, ale v konkrétních případech odůvodněné (například při podezření na možné porušování zákona).  

Vzhledem ke zneužitelnosti občanského průkazu (případně cestovního dokladu) stanoví příslušné zákony zákaz pořizovat jakýmikoliv prostředky kopie těchto průkazů bez prokazatelného souhlasu občana, kterému byl průkaz vydán. Z praxe však víme, že poskytnutí některých služeb je podmiňováno souhlasem s pořízením kopie průkazu totožnosti. Takový souhlas však není získán v souladu s GDPR, neboť nenaplňuje podmínku svobodného projevu vůle.  

Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je v současné době přestupkem fyzické osoby, která kopii pořídila (byť se tak stalo na základě rozhodnutí zaměstnavatele/právnické osoby) a tento přestupek projednává příslušný obecní úřad. Aktuálně se však projednává novela zákona o občanských průkazech, kde se už počítá s tím, že za takové jednání bude moci být postihnuta i právnická osoba. Nicméně z pohledu GDPR je za správné (a minimalistické) zpracování osobních údajů odpovědný správce, tedy ve zmíněném případu právnická osoba. Tento přestupek patří do agendy Úřadu pro ochranu osobních údajů.

Pozor na pořizování kompletních kopií dokladů a jejich ukládání do evidence. Mohou obsahovat i další osobní nebo i citlivé údaje, které nejsou nezbytné pro daný účel a došlo by tak k porušení zásady minimalizace zpracovávaných údajů. Zde se pak jedná o zpracování osobních údajů na základě souhlasu se zpracováním osobních údajů ve smyslu GDPR (tedy svobodný, konkrétní, informovaný a jednoznačný). 

Možné porušení zásady minimalizace i v případě osobních dokladů bývá někdy řešeno pořízením kopie pouze části dokladu se zakrytím nepotřebných údajů např. pomocí šablony, což je akceptovatelné (např. při uzavírání soukromoprávních smluv).

Přestupky proti zpracování osobních údajů projednává Úřad pro ochranu osobních údajů.  

Proto jsme-li žádáni o umožnění pořízení kopie svého průkazu totožnosti, měli bychom se zajímat, zda je požadavek vznášen na základě zákona nebo na základě dobrovolného souhlasu. Rovněž by nám nemělo být lhostejné, jaké jsou pro to důvody a případné následky odmítnutí. Není-li pořízení kopie pro ověření totožnosti nezbytné, mělo by stačit pouhé nahlédnutí do dokladu či zaznamenání příslušných údajů. 

Pokud byla kopie občanského průkazu nebo cestovního dokladu pořízena neoprávněně, obraťme se se stížností na příslušný obecní úřad s rozšířenou působností. Máme-li podezření na porušení zásady minimalizace (například při ukládání kompletních kopií), jedná se o porušení GDPR, což přísluší k posouzení Úřadu pro ochranu osobních údajů. 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Testování zaměstnanců – GDPR a odpady

Množí se nám s dotazy, jak se ve firmě postavit k povinnému testování zaměstnanců. Co na to GDPR? A kam s odpadem? 

Povinnost testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena mimořádným opatřením Ministerstva zdravotnictví MZDR 47828/2020-16/MIN/KAN . Přestože se týká zaměstnavatelů s více jak padesátkou zaměstnanců, dá se do budoucna očekávat, že tato povinnost bude rozšířena i na menší společnosti.

Při plnění uložené povinnosti zajišťovat testování zaměstnanců dochází ke zpracování osobních údajů. Zaměstnavatel je v tomto případě správcem a nepotřebuje souhlas zaměstnance. Záznamy o provedených testech u jednotlivých zaměstnanců pořizuje z důvodu zákonné povinnosti a veřejného zájmu v oblasti veřejného zdraví. Jen je potřeba dát pozor na rozsah evidovaných údajů. 

Na webu Ministerstva průmyslu a obchodu je zveřejněn vzor přehledu o provedených testech . Tyto záznamy mohou obsahovat jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, údaje o čase provedení testu a výsledku, případně je možno uvést důvod výjimky z testování. Vyjádření Úřadu pro ochranu osobních údajů k povinnosti evidovat testy naleznete zde 
Pozor, pracujeme se zvláštní kategorií osobních údajů (citlivé údaje), které vyžadují důsledné zabezpečení a rozhodně není možné tyto údaje uchovávat po neomezeně dlouhou dobu.

Evidence by měla být zpřístupněna pouze osobám, jež zaměstnavatel pověřil plněním úkolů spojených s dodržováním mimořádného opatření. 

Co se předávání těchto údajů týče (například pojišťovnám), nepředejme více, než co je požadováno. Informaci o pozitivním testu by měl sám zaměstnanec, jehož se výsledek týká, hlásit praktickému/podnikovému lékaři či jinému poskytovateli zdravotních služeb nebo orgánu hygieny.

Doba, po kterou je nutno vést a uchovávat evidenci, stanovena nebyla.
Z logiky věci je však potřeba ponechat si ji po dobu účinnosti mimořádného opatření k provádění povinného testování zaměstnanců a pro případné kontroly zpracování plateb a nároků, které mohou v důsledku testování vzniknout. Po této době musí následovat fyzická i elektronická likvidace údajů. 

Nezapomínejme, že i v tomto případě jsme povinni zaměstnance informovat o tom, kdo jeho osobní údaje zpracovává, komu budou předávány (např. zdravotním pojišťovnám, orgánům ochrany veřejného zdraví), jaký je právní základ tohoto zpracování a po jakou dobu budou údaje uchovávány. Rovněž mu nesmíme zatajit informace o druhu a povaze testů či způsobu testování.

Na závěr je potřeba zdůraznit, že i toto zpracování by mělo být vedeno v záznamech o činnostech zpracování dle článku 30 obecného nařízení. 

Druhý dotaz našich klientů se týká likvidace kontaminovaného materiálu z antigenních testů. Ministerstvo životního prostředí k této problematice vydalo metodické sdělení , které tento odpad zařazuje jako směsný komunální odpad pod katalogové číslo 20 03 01. Je však potřeba dodržet určité postupy při manipulaci s tímto odpadem:

Veškerý odpad z testovacích výrobků ukládejte do pevného plastového pytle určeného na odpady o minimální tloušťce 0,2 mm (u tenčích pytlů obal zdvojte).
Po naplnění pytle (nejpozději do 24 hodin) pytel pevně zavažte a na povrchu ošetřete dezinfekčním prostředkem.
Pytel odložte do černého kontejneru na směsný komunální odpad. Nikdy odpad nenechávejte mimo sběrnou nádobu!
Po manipulaci s odpadem si důkladně umyjte ruce mýdlem a teplou vodou nebo použijte dezinfekci. 
Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Den bezpečnějšího internetu 2021

SaferInternetDay
SaferInternetDay
Den bezpečnějšího internetu se připomíná druhé úterý v únoru už od roku 2004 a jen v loňském roce se do něj zapojilo 170 zemí po celém světě. V letošním roce připadá na 9. února 2021.
Pod heslem „Společně pro lepší internet“ vyzývá všechny zúčastněné strany, aby se spojily a připomenuly všechny aktivity, které mohou pomoci udělat internet lepším a bezpečnějším místem. Koordinátorem tohoto dne pro Českou republiku je národní Safer Internet centrum, které spravuje sdružení CZ.NIC .
Do této akce jsme se rozhodli zapojit i my ze společnosti Q – COM, která je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a informačních technologií.

Aktuálně žijme všichni více v online světě než offline. Prostřednictvím internetu komunikujeme, nakupujeme, platíme, zveřejňujeme o sobě tunu informací a ani si neuvědomujeme, že se vystavujeme obrovskému množství rizik.

Chceme-li něco naučit děti, je potřeba vysvětlovat, ukazovat, sami se tak chovat. Chceme-li něco naučit jejich rodiče, naše zaměstnance, vzdělávejme je!

Vzdělávejme zaměstnance!
Vzdělávejme sami sebe!
Kdy jindy, když ne teď?

Jdete do toho s námi? 
Třeba prostřednictvím školení a kurzů, které připravujeme dle vašich požadavků. Jsme akreditovanou společností pro vzdělávání. Kurzy realizujeme online nebo prezenčně ve vaší organizaci (pokud to situace dovoluje). Zajišťují je naši lektoři s dlouholetou praxí v oboru. Nač jsou zaměřeny?

Q - COMObecné internetové bezpečnosti
Q - COMSprávy hesel
Q - COMCloudů a jejich bezpečnosti
Q - COMPhisingů, virů a kyberútoků
Q - COMOchrany osobních údajů
Q - COMeGovernmentu a datových schránek
Q - COMElektronického podpisu
Q - COMÚvodu do šifrování
Q - COMSociálních sítí

Již několikátým rokem zdarma zasíláme našim klientům, ale i zaregistrovaným odběratelům nepravidelné informační emaily týkající se problematiky informační bezpečnosti, GDPR či jiných zajímavostí z oblasti řízení podniků a informačních technologií.

I vy a vaši kolegové se můžete zaregistrovat k odběru a naše novinky využívat třeba pro školení svých zaměstnanců, jako to již činí mnozí jiní.

V minulosti jste si mohli přečíst:
Den ochrany osobních údajů 2021

Jak to v České republice vypadá s certifikací GDPR. Jaké byly uděleny nejvyšší pokuty za porušení GDPR, proč se mluvilo o štítu soukromí EU – USA a jaký režim GDPR bude nadále panovat ve Velké Británii.

Co čekat od digitalizace a jakou mají malé a střední podniky výhodu proti velkým společnostem. V čem spatřujeme budoucnost digitalizace a představili jsme Pozoruhodný produkt 2021.

Informovali jsme o uniku emailových adres a hesel, který se týká i občanů České republiky. Zároveň jsme zveřejnili návod, jak zjistit, zda se únik týká právě vašich údajů.

Zveřejnili jsme návod co dělat, když byly naše údaje kompromitovány. Jak dál postupovat a jak se takovému problému do budoucna vyhnout. Odpověděli jsme na otázku, proč se kradou hesla.

Nabádali jsme k obezřetnému chování v online světě, ale i když jsme online. Vypíchli jsme několik důležitých zásad, kterými je vhodné se řídit ať už doma, v práci nebo ve škole.

Vybrané novinky zveřejňujeme také na našich sociálních sítích.

V rámci naší podpory při provozování již zavedeného systému řízení bezpečnost informací (ISMS) nebo při přípravě na audit ISMS či certifikaci GDPR (více na našich stránkách ) poskytujeme na poli informační bezpečnosti tyto služby:

Q - COMPraktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COMPraktická analýza bezpečnosti a prezentace výstupů.
Q - COMŠkolení informační bezpečnosti. 

Myslíte to s bezpečností vážně? Garantujte ji také svým zákazníkům – implementujte a certifikujte systém řízení bezpečnosti informací dle ISO 27001 (ISMS).

#SaferInternetDay

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.