Časté otázky a odpovědi k GDPR

Jak je to s přístupem k e-mailové poště odkudkoliv pomocí webového rozhraní, popř. z mobilu?

U vzdáleného přístupu k emailům se nejedná o nic nového a nepochybně je takového přístupu využíváno čím dál častěji. Výši rizika zde stanovíte na základě informací, jaké jsou v emailech sdíleny. Doporučujeme tento typ přístupu zahrnout v interních metodikách, resp. směrnicích, a to především s ohledem na sílu zabezpečení heslem (pravidla pro vytváření hesel). Obecně je důležité proškolení a nastavení pravidel pro chování zaměstnanců na internetu a využití zařízení pro vlastní soukromou potřebu apod.

Je nutné využívat několikanásobného uzamčení (např. fyzických dokumentů - uzamčená schránka, vstup do kanceláře i objektu?

Prvky zabezpečení by vždy měly odpovídat reálné potřebě a případnému reálnému riziku a povaze údajů, které v kanceláři uchováváte. Také po Vás nebude nikdo vyžadovat nutně instalaci alarmu a napojení na centrální pult ochrany. V případě dokumentů nám připadne rozumné umístění dokumentů v uzamčené místnosti a případně v uzamčené skříni. Je na zvážení zavést pravidla přístupu do místností a ke klíčům.

Co e-maily a kontakty ve služebních telefonech - stačí uzamčení obrazovky?

V případě uzamčení obrazovky není obvykle nijak chráněn obsah telefonu (například šifrováním), případně uzamčením sim karty. Pokud tedy máte kontakty uložené na sim kartě bez hesla, nebo s jednoduchým heslem 1234, pak lze předpokládat, že by při krádeži zařízení mohlo dojít k úniku těchto informací. Zde je opět na zvážení, jaká hrozí rizika. Tomu by měla odpovídat pravidla pro chování zaměstnanců a pro práci s mobilními zařízeními. Lze předpokládat, že telefonní čísla na kolegy jsou nezbytné k výkonu práce zaměstnancem. 

Jak na zálohování dat z PC na datových nosičích a na používání USB flash disků a jejich zabezpečení?

Zálohování obecně je bráno pozitivně a jako součást zabezpečení IT, a to i v případě GDPR. Další úrovní zálohování je pak zálohování v cloudu, kde lze obvykle očekávat mnohem lepší úroveň zabezpečení (šifrování apod.). Šifrování a ochranu heslem pochopitelně doporučujeme i u lokálních řešení, a to včetně používání USB disků. V případě ztráty je pak riziko minimální. Pozor na rozdíl mezi archivací (přesun nepotřebných dat do archívu) a zálohováním (kopie využívaných dat pro potřebu obnovy).

Automatické odhlašování a přihlašování uživatelů na sdílených PC stanicích - po dokončení práce dojde k uzamčení obrazovky - je toto dostačující?

Zde by bylo zapotřebí rozvést konkrétní řešení do více rovin. První z nich jsou osobní údaje, ke kterým mají uživatelé přístup (typy údajů, zda jsou zde nějaké skupiny uživatelů či zda mají všichni přístup ke všemu a zda je to takto v pořádku, či zda by někdo měl mít přístup omezený apod.). Dále je pak stále třeba se zamyslet nad směrnicemi pro přístup uživatelů k údajům.

Co s fotkami zaměstnanců na Facebooku?

V tomto případě záleží na povaze fotografií a na způsobu jejich pořízení a jejich využití. Portrétní fotografie je nepochybně osobní povahy a může zde být viditelná rasa, náboženství apod. Pokud je tedy např. na fotografiích z Vaší firemní akce zaměstnanec, který Vám pro fotografování zapózoval a nechal se tak vyfotit, pak je to v pořádku. Nemusí být vždy nutný explicitní souhlas v písemné podobě. Souhlasem je v tomto případě již samotné jednání. Fotografie byste ovšem měli využít pouze pro tento "známý" účel, a ne například pro reklamu na plakát apod. Zde by již bylo zapotřebí dalšího souhlasu pro tento další účel. Pokud zaměstnanec vysloveně odmítne fotografování pro daný účel, pak na to má pochopitelně právo. Udělený souhlas musí být také kdykoliv odvolatelný.

Je nutné ohlásit ÚOOÚ konkrétní jméno zvoleného DPO?

V případě jmenování DPO (ať už interně či externě) je nutné zveřejnit informace o dostupnosti DPO, tedy jakým způsobem je možné DPO kontaktovat. Je doporučeno zveřejnit jak na intranetu (podnikový portál pro zaměstnance jako pro subjekty) tak i na internetu (subjektům údajů, tedy zákazníkům) stránku s kontaktními údaji, jako je adresa, telefonní číslo a email (například dpo@spolecnost.cz). Informace jsou předány také směrem ke kontrolnímu orgánu, a to především pro účely řešení případných bezpečnostních incidentů. Konkrétní jméno osoby není dle znění nařízení nutné a toto je ponecháno na zvážení správce, či zpracovatele údajů. 

Co dělat, když subjekt / zákazník zažádá o výmaz, ale zároveň máte povinnost údaje nadále uchovávat?

V určitých případech Vám některé právní předpisy ukládají povinnost uchovávat osobní údaje po určitou dobu (např. zákon o účetnictví). V takovém případě tedy osobní údaje na základě požadavku mazat nemusíte, protože Vám povinnost jejich uchovávání stanoví právní předpis. Jakmile však uplyne doba, po kterou byla povinnost údaje uchovávat, pak je musíte vymazat.