Co říká čl. 32 GDPR? S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, je správce povinen podle čl. 32 odst. 1 GDPR provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:
Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména
Při posuzování rizik se nehodnotí jenom rizika představující porušení zabezpečení IT systémů. Je nutné zvážit i rizika, která představuje např. lidský faktor, fyzické prostředí, ve kterém jsou systémy umístěny, a nakonec i bezpečnost poskytovanou při zpracování nejrůznějšími subdodavateli a obchodními partnery. Posouzení však nesmí být jednorázovým procesem. Musí se jednat o pravidelný proces vyhodnocování vnitřních i vnějších okolností, které mohou mít na míru rizika vliv. Pokud dojde ke změně rizika, správce musí zrevidovat bezpečnostní opatření a přijmout taková nová opatření, která lépe odpovídají novému stavu. Poté, co správce nebo zpracovatel vyhodnotí bezpečnostní rizika zpracování osobních údajů, je povinen přijmout vhodná technická a organizační opatření k jejich mírnění. Čl. 32 odst. 1 GDPR obsahuje příklady možných bezpečnostních opatření. Nejedná se však o vyčerpávající výčet. Čeho se společnost ACTIVE ASSURANCES dopustila? V roce 2018 upozornil zákazník společnosti ACTIVE ASSURANCES francouzský dozorový úřad CNIL o tom, že přes webovou stránku společnosti má přístup k osobním údajům jiných zákazníků dané společnosti (včetně např. jejich řidičských průkazů). K těmto osobním údajům se daný zákazník dostal tak, že ve webovém prohlížeči změnil čísla nacházející se v URL adrese (na jejím konci). CNIL na tuto skutečnost upozornil společnost ACTIVE ASSURANCES, která přislíbila nápravu. Během následující inspekce však CNIL zjistil, že společnost ACTIVE ASSURANCES svůj slib nesplnila a neprovedla dostačující nápravu. Navíc bylo zjištěno, že společnost nastavuje zákazníkům nedostatečná hesla k jejich účtům (jednalo se o datum narození příslušného zákazníka), přičemž informace o způsobu, jakým jsou tvořena hesla k účtům, byla veřejně uvedena na přihlašovací stránce. Dále CNIL zjistil, že po vytvoření účtu společnost zaslala přihlašovací údaje a heslo klientům v těle e-mailu jako prostý text. CNIL uvedl, že při stanovení pokuty zohlednil povahu dotčených osobních údajů (mezi dokumenty se nacházely doklady totožnosti, informace týkající se některých protiprávních jednání či bankovní údaje zákazníků společnosti), jakož i počet dotčených subjektů údajů. Zdroje:
|
Andrej Lobotkaprávník se zájmem o trestní právo, právo informačních technologií a ochranu osobních údajů. Více informací v sekci O MNĚ. Štítky
All
|
Proudly powered by Weebly