Legislativa - GDPR a ochrana osobních údajů

 

Při realizaci certifikačních auditů postupujeme dle níže uvedených právních předpisů. Vedle národní a evropské legislativy jsou pro nás důležité i příklady tzv. "dobré praxe", včetně příkladů pochybení právnických i fyzických osob. Získejte certifikaci a rádi Vám sdělíme víc informací.

 

7 nejčastějších nedostatků u organizací v oblasti ochrany osobních údajů/GDPR

1. Obec/město nemá zpracovanou bezpečnostní dokumentaci dle pokynů Evropského sboru pro ochranu osobních údajů.

2. Není zpracovaná analýza rizik a její revize v souvislosti s nastavením bezpečnostních opatření i ve vztahu ke kybernetické bezpečnosti.

3. Nejsou aktualizovány a dostatečně zpracovány záznamy o činnostech souvisejících se spisovou službou. Chybí kontaktní údaje na zpracovatele a přehled agendy, kde a kým ke zpracování osobních údajů dochází. 

4. Obec/město nesplňuje informační povinnost při pořádání akcí a jednání zastupitelstva. Neplní podmínky související se zveřejněním dokumentů na webových stránkách, elektronických úředních deskách a při provozování informačních kanálů obce a města.

5.  V organizaci působí pověřenec pro ochranu osobních údajů bez profesních zkušeností a hlubší znalosti fungování veřejné správy. Chybí zpracovaná výroční zpráva organizace a výkaz činnosti pověřence pro ochranu osobních údajů.

6.  Nedostatečná kontrola účinnosti antivirové ochrany a licenčních podmínek.

7.  Neprovádí se pravidelné školení zaměstnanců v oblasti ochrany osobních údajů/GDPR. 

 

Úřad pro ochranu osobních údajů může uložit právnické osobě, která si neplní povinnosti vyplývající z legislativy, pokutu až do výše 500 000,- Kč.

 

Zákonné předpisy

Zákon 110/2019 Sb. o zpracování osobních údajů

Zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

Zákon č. 181/2014 Sb. o kybernetické bezpečnosti

Zákon č. 499/2004 Sb., o archivnictví a spisové službě a změně některých zákonu (znění účinné od 24. dubna 2019)

Zákon č.106/ 1999 Sb., o svobodném přístupu k informacím

Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby ve znění vyhlášky 283/2014 Sb.

Vyhláška 645/2004 Sb. ze dne 13. prosince 2004, kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě a o změně některých zákonů (znění účinné od 1. července 2019)

Nařízení č. 910/2014 „o elektronické iden-fikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES“ (dále jen „eIDAS“)

Zákon č. 250/2017 Sb. o elektronické identifikaci

Schválené pokyny Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupina WP29)