Zákony a předpisy upravující kybernetickou bezpečnost

ℹ️

SHRNUTÍ/ HLAVNÍ VÝSTUPY Z KAPITOLY

• Nařízení GDPR představuje obecný právní rámec ochrany osobních údajů platný a účinný na celém území EU a v určitých případech i mimo toto teritorium. Hlavním cílem GDPR je zajistit komplexní ochranu práv subjektů údajů proti neoprávněnému zacházení s jejich daty a osobními údaji, nastolit rovnováhu mezi oprávněnými zájmy správců, zpracovatelů a subjektů údajů, vytvořit systém jednotné vymahatelnosti práva a jednotného sankčního mechanismu v této oblasti atd.
• Nařízení GDPR se však uplatní v případech, kdy:
  • provozovna správce nebo zpracovatele je v EU, bez ohledu na to, zda zpracování probíhá v EU,
  • správci nebo zpracovatelé nejsou usazení v EU, ale
    • zboží nebo služby jsou nabízeny subjektům údajů v EU (bez ohledu na úplatu),
    • je monitorováno chování subjektů údajů v rámci EU.
• Osobním údajem dle čl. 4 odst. 1 GDPR jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat zejména odkaz na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“
• Zpracováním osobních údajů se dle čl. 4 odst. 2 GDRP rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
• Správce (případně zpracovatel) musí s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, přijmout vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
  • pseudonymizace a šifrování osobních údajů,
  • schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
  • schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
  • procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
• Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA) je nástrojem, který se využije v případě, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob. Jde o nástroj, který může správcům pomoci identifikovat případná rizika zpracování osobních údajů a zavedení vhodných opatření.

🗝️

KLÍČOVÁ SLOVA K ZAPAMATOVÁNÍ

• GDPR
• Osobní údaj
• Správce osobních údajů
• Zpracování osobních údajů
• Data Protection Impact Assessment

❓

• Jaká je místní působnost GDPR?
• Co vše je osobním údajem?
• Je IP adresa osobním údajem?
• Jaké povinnosti má správce osobních údajů?
• Co se rozumí zpracováním osobních údajů?
• Coto znamená Data Protection Impact Assessment?