epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    3. 4. 2018
    ID: 107291upozornění pro uživatele

    Nejčastější pochybení zjištěná při implementaci GDPR

    Dne 27. dubna 2016 bylo Evropským parlamentem a Radou EU přijato Nařízení č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, tzv. General Data Protection Regulation (dále jen „GDPR“ nebo „Nařízení“), jehož účinnost nastává dnem 25. 5. 2018. GDPR nepředstavuje převratnou novinku na poli ochrany osobních údajů, nicméně přináší řadu nových institutů, kterým je nutno přizpůsobit aktuální stav ochrany osobních údajů ve společnosti.

     
    Advokátní kancelář JELÍNEK & Partneři s.r.o. 
     
    S ohledem na skutečnost, že novému nařízení GDPR je nutno přizpůsobit celkový stav ochrany osobních údajů ve společnosti, což zahrnuje nejen úpravu, revizi či korekturu interní dokumentace, ale také veškerých procesů ve společnosti, proběhla či v současné chvíli probíhá v mnoha organizacích na území České republiky tzv. GAP analýza. Touto analýzou se rozumí diferenční porovnání souladu současného stavu se stavem požadovaným, tedy porovnání aktuálního stavu a míry ochrany osobních údajů v organizaci, se stavem, jak jej požaduje Nařízení. Tento článek sumarizuje přehledným způsobem  nejčastější chyby na poli ochrany osobních údajů, kterých se organizace v dnešní době dopouští a využívá tak rozsáhlých zkušeností autorky získaných při provedených GAP analýzách v jednotlivých organizacích.

    Obecně lze porušení rozdělit do 3 základních skupin, a to s ohledem na riziko, které jejich porušení správci osobních údajů hrozí v  důsledku kontroly ze strany kontrolního úřadu. Tato tři rizika jsou zejména:

    • 1. Rozpor s GDPR – kritický rozpor se základními zásadami GDPR, který může vést až k uložení pokuty v plné výši (tedy 20 000 000 € nebo 4% z celkového ročního obratu společnosti za předchozí finanční rok podle toho, která hodnota je vyšší). Většina těchto porušení pramení z porušení pravidel stanovených v čl. 5 a 6 GDPR a jsou jimi např. – chybějící zákonný titul či jeho jednotlivé náležitosti při zpracování osobních údajů, chybějící účel, zpracování nadbytečného množství údajů apod.

    • 2.
      Reklama
      Nemáte ještě registraci na epravo.cz?

      Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

      REGISTROVAT ZDE
      Riziko vzniku bezpečnostního incidentu – jedná se o zanedbání ochrany či bezpečnosti osobních údajů, resp. jednotlivých opatření tak, že není zajištěno, aby nedocházelo k možnostem náhodného či protiprávního zničení, ztráty, pozměnění, neoprávněného zpřístupnění osobních údajů nebo neoprávněného přístupu k osobním údajům. V tomto případě je pak záhodno uvést, že samotný vznik bezpečnostního incidentu není podmínkou zahájení správního řízení. Pro takové zahájení postačí pouze existence rizika, ohrožení, kdy případný únik nebo ztráta dat je pak pouze přitěžující okolností ovlivňující výši uložené pokuty – obecně je za tato porušení možno uložit pokuty až do výše ½ z maximální výše pokut (tedy 10 000 000 € nebo 2% z celkového ročního obratu společnosti za předchozí finanční rok).

    • 3.
      Reklama
      ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
      ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
      5.8.2025 13:003 975 Kč s DPH
      3 285 Kč bez DPH

      Koupit

      Nesplnění povinností dle GDPR – zde porušení povinností spočívá zejména v ignoraci či nezakotvení potřebných procesů nebo institutů jasně definovaných GDPR. Jde zvláště o instituty provádění práv subjektů, povinnosti vykonat hloubkovou analýzu posouzení vlivu na ochranu osobních údajů nebo nejmenování pověřence pro ochranu osobních údajů.

    Při vypracování GAP analýzy je vždy nutno mít zcela jasně specifikovaná rizika, která mohou nastat. Tato je pak potřeba vyhodnocovat pro každá jednotlivá zpracování osobních údajů, zda tato rizika hrozí, a to s ohledem na veškerá pravidla a požadavky stanovené GDPR. Tento článek shrnuje některá základní a nejčastější porušení, kterých se organizace dopouští, a co tak může být vyhodnoceno s ohledem na implementaci GDPR jako problematické, či v rozporu. Těmito porušeními jsou:

    • Není splněna informační povinnost ani na základní úrovní – tato povinnost, i když v zásadně zjednodušené podobě, je již požadována v současném zák. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, nicméně její provádění není vždy zcela stoprocentní. GDPR sebou přináší ještě větší prohloubení, resp. zkonkretizování této problematiky, když zásadním způsobem rozšiřuje rozsah informací, které musí správce subjektům poskytovat. V rámci většiny organizací v současné chvíli neprobíhá téměř žádná informační povinnost - subjekty údajů nejsou o zpracování osobních údajů oficiálně informováni, popř. o tomto informování neexistuje záznam.
    • V rámci organizace jsou zpracovávány údaje, které nejsou nezbytné – např. v personálních složkách zaměstnanců současných i bývalých (kopie různých dokladů, netřízení složek po odchodu, exekuce apod.)
    • Fyzické zabezpečení dokumentů je nedostatečné – ne všechny dokumenty v organizacích jsou chráněny dostatečným a adekvátním způsobem. Většinou spočívá porušení v problematice neřízených přístupů, sdílených, resp. průchozích kanceláří, resp. možnosti přístupu do kanceláře, i když se zde pracovník nenachází, nedostatky v zamykání kanceláří či jednotlivých skříní. Ve většině případů není zavedeno pravidlo čistého stolu. Dalším častým porušením fyzické bezpečnosti je ponechávání dokumentů či soukromých nebo služebních zařízení (např. externích disků, flash disků), bez dozoru, s nedostatečným zabezpečením proti vniknutí, poškození, zcizení či ztrátě. Zároveň se může stát, že v kanceláři či na vrátnici či recepci nebývá přítomna žádná osoba, která by zamezila přístupu neoprávněných osob. Častým problémem bývá neřízené vydávání přístupových klíčů či kódů, existence „univerzálních“ klíčů, možnost kopírování klíčů, nezabezpečená okna či nesprávně umístěné kamery (zakrývání, možnost odsunutí) atd. 
    • Digitální zabezpečení dokumentů je nedostatečné – zásadní problémy digitální ochrany jsou spatřovány spíše celkově - nedostatky se promítají v celém systému IT jednotlivých společností. V rámci informačních technologií lze za největší nedostatek považovat absenci přijatých technických opatření, jakými jsou např. nevhodně navržené autentizační mechanizmy a z toho pramenící slabá ochrana hranice interní infrastruktury proti potenciálním útokům, které mohou přijít z vnějšku i z vnitřní sítě v rámci organizace, absence SIEM nástroje, který má na starosti vyhodnocování kritických bezpečnostních událostí a incidentů, určení technických rolí, které by byly i nezávislým orgánem vůči interním i externím administrátorům při vyhodnocování činnosti jednotlivých aktiv z pohledu bezpečnosti, nedostatečné nasazení nástrojů, které mají zajišťovat ochranu vůči pokročilým malware hrozbám a „0-day“ útokům, nesprávně nastavená pravidla emailové komunikace - scházejí nástroje, které budou detekovat pokročilé malware hrozby, absence interní dokumentace upravující nakládání s daty, zejména s těmi uloženými v e-mailové komunikaci - chybí tak jakákoli pravidla pro mazání, archivaci nebo uchovávání údajů či zasílání osobních údajů v rámci e-mailové komunikace. Dalším problémem je také nesprávné nakládání s informačními aktivy společnosti - chybí identifikace a definování kategorií těchto aktiv a jejich následné vyhodnocení z pohledu důvěrnosti, integrity a dostupnosti dat. Dalším problém je také problematika logování ve společnosti, tedy získávání, shromažďování a uchovávání informací o přístupech a nakládání s jednotlivými daty.
    • Kamerový systém je popsán, resp. zaznamenán nedostatečně – častým nedostatkem bývá neúplná úprava, resp. evidence jednotlivých kamer, chybějící záznamy, které neobsahují účely specifikované pro jednotlivé kamery nebo jejich bližší specifikaci. Dalším problémem také často bývá absence jasně definované a nastavené správy a údržby kamerového systému (pravidelné prohlídky systému a jednotlivých kamer, servisní prohlídky apod.).
    • Chybí vnitropodniková či smluvní dokumentace – v rámci společností jsou jen málokdy zakotvena základní pravidla pro nakládání s osobními dokumenty, e-mailovými schránkami, softwarem i hardwarem společnosti apod. Tato pravidla většinou ve společnosti fungují tzv. pouze na zvykovém právu, případně jsou řešeny ústně. Stejně tak byly zjištěny nedostatky spojené s nekompletní nebo zcela absentující dokumentací, zvláštně v rámci poskytování údajů třetím stranám (obchodním partnerům, v rámci skupin i do třetích zemí).
    • Procesy ve společnosti dosud nejsou upraveny – ve společnosti nejsou upraveny a zakotveny procesy plnění práv subjektů a povinností správce.
    S ohledem na výše uvedené je patrné, že samotná implementace GDPR, resp. rozsah porušení, kterého se může společnost dopustit, je velmi rozmanitý. Ačkoli se může jevit, že nedostatky v digitální oblasti jsou nejrozšířenější, neznamená to automaticky, že jsou také nejzávažnější. Za nejzávažnější jsou považována porušení základních zásad GDPR, které se promítají spíše v nesprávném právním nastavení systému ochrany osobních údajů ve společnosti, než s nastavením bezpečnosti dat. Výše uvedený seznam může být příkladným seznamem typizovaných pochybení společností, kdy objevení těchto porušení je vždy prvním krokem k správné implementaci GDPR. Dalším neméně důležitým krokem však vždy musí být implementace těch správných a vhodných nápravných opatření.


    Mgr. Lucie Šimková


    Advokátní kancelář JELÍNEK & Partneři s.r.o.

    Pardubice - Dražkovice 181
    533 33  Pardubice - Dražkovice

    Velké náměstí 1
    500 03  Hradec Králové

    Truhlářská 1108/3
    110 00  Praha 1

    Tel.:    +420 466 310 691
    Fax:    +420 466 310 691
    gsm:    +420 724 794 986
    e-mail:    advokati@advokatijelinek.cz
     

    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    Mgr. Lucie Šimková (JELÍNEK & Partneři)
    3. 4. 2018

    Poslat článek emailem

    *) povinné položky

    Další články:

    • DEAL MONITOR
    • DEAL MONITOR
    • Kamerové systémy ve školách podle doporučení Úřadu pro ochranu osobních údajů: Jen chtít nestačí
    • Získání přechodného pobytu pro rodinného příslušníka občana EU: Kompletní průvodce procesem s praktickými radami
    • Agilní vývoj software – specifika smluvních podmínek
    • DEAL MONITOR
    • DEAL MONITOR
    • Exekuce pod taktovkou státu – znovu a hůře?
    • 10 ChatGPT promptů, které zvýší produktivitu vaší asistentky
    • K významnému životnímu jubileu prof. Petra Hajna
    • DEAL MONITOR

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Společná domácnost
    • 10 otázek pro ... Jana Kohouta
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Obchodní vedení společnosti
    • Prodloužení lhůt pro dání výpovědi a okamžitého zrušení zaměstnavatelem
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Compliance z pohledu obchodní korporace a přínos compliance programu pro obchodní korporaci
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Obchodní vedení společnosti
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Byznys a paragrafy, díl 12.: Právní Due Diligence
    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2025
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Úprava styku rodiče s dítětem nízkého věku v tzv. navykacím režimu a poté
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • V Mělníce by se chtěl soudit každý aneb úspěšnost návrhů na vydání předběžného opatření u okresních soudů

    Soudní rozhodnutí

    Opatrovník

    Z hlediska kolize zájmů není přípustné, pokud je opatrovníkem účastníka řízení ustanovena osoba podřízená orgánu veřejné moci (např. jeho zaměstnanec), který vede řízení, a...

    Společná domácnost

    Za přiměřené poměry manžela ve smyslu § 767 odst. 2 o. z. lze považovat takové okolnosti, které prokazují jeho potřebu bydlet v daném bytě či domě, jež musí být natolik...

    Mzda (exkluzivně pro předplatitele)

    Posuzuje-li se otázka rovného odměňování složkou mzdy, pro niž jsou podmínky (předpoklady) stanovené zaměstnavatelem ve vnitřním předpisu, je nutné v prvé řadě rozlišovat, zda...

    Náhrada za ztrátu na výdělku (exkluzivně pro předplatitele)

    Ošetřující lékař podle § 57 zákona o nemocenském pojištění vydává rozhodnutí o vzniku dočasné pracovní neschopnosti a podle § 59 téhož zákona vydává rozhodnutí o ukončení...

    Nesprávný úřední postup (exkluzivně pro předplatitele)

    ESLP po členských státech požaduje, aby zajistily nejen ochranu dětí před samotným pachatelem, ale také trvá na důsledné prevenci před sekundární viktimizací dětí způsobenou...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.