Bezpečnostní management - odpovědnost podniku za ochranu osobních dat

Bezpečnostní management - odpovědnost podniku za ochranu osobních dat
14 / 11 / 2019, 09:00

Abstrakt

Kvůli zvýšeným technologickým složitostem a více obchodním praktikám využívajícím data je pro spotřebitele obtížné získat kontrolu nad svými osobními údaji. Individuální kontrola osobních údajů se proto stala důležitým předmětem evropského práva na ochranu soukromí. Oproti svému předchůdci, obecná ochrana dat. Nařízení (GDPR) se výslovněji zabývá potřebou individuálnější kontroly osobních údajů. Se zavedením několika nových principů, které posilují práva jednotlivců při získávání větší kontroly nad jejich údaji, se zákon o ochraně údajů opírá o určité předpoklady v lidském rozhodování.

Klíčová slova: Individuální kontrola. Zákon EU o ochraně údajů. GDPR, rozhodování, řízení bezpečnosti, marketing, ochrana osobních údajů, management

Úvod

Vzhledem ke zvýšeným technologickým složitostem a mnohonásobným obchodním praktikám využívajících data je pro spotřebitele obtížnější získat kontrolu nad svými osobními údaji. Osobní údaje jsou informace, které mohou přímo nebo nepřímo identifikovat jednotlivce a konkrétně zahrnují online identifikátory, jako jsou IP adresy, soubory cookie a digitální otisky prstů, a údaje o poloze, které by mohly identifikovat jednotlivce. Při pozorování těchto trendů varovali bezpečnostní analytici před řadou hrozeb, jako je přetížení informací a „neviditelnost dat“. Je žádoucí, aby jednotlivci mohli vykonávat určitou formu kontroly nad svými osobními údaji. To znamená, že individuální kontrola, zejména s ohledem na něčí osobu, byla popsána jako odraz základních hodnot, jako je autonomie, soukromí a lidská důstojnost. Nový zákon se vztahuje na osobní údaje všech obyvatel EU bez ohledu na místo zpracování. Takováto odpovědnost vyžaduje, aby organizace zavedly odpovídající technická a organizační opatření a aby bylo možné prokázat, co dělaly. GDPR také zavádí povinný režim oznamování porušování s nakládáním osobních údajů. Souhlas s GDPR musí být svobodný s vyšším akcentem výslovného souhlasu vyžadovaného ke zpracování citlivých údajů.

Zpracování údajů je spravedlivé, pouze pokud je transparentní, a to znamená, že musí být zajištěna otevřenost ve zpracování údajů prostřednictvím účinné komunikace s jednotlivci. GDPR se zaměřuje na uživatele, takže transparentnost v kontextu GDPR znamená odklon od legálního dodržování zaškrtávacích políček k přizpůsobenému, reflexnímu a dynamickému přístupu. Jednotlivcům musí být poskytnuty rozsáhlé informace včetně podrobností o příjemcích, dobách uchovávání dat a rozsahu jejich individuálních práv, jako je přístup a přenositelnost. To vše musí být poskytováno ve srozumitelném jazyce (odbourání jazykových bariér, nesrovnalostí), aby byla všem „zúčastněným stranám“ zajištěna objektivnost.

Klíčové principy GDPR

Toto nařízení se vztahuje na všechny případy zpracování osobních údajů občanů EU, bez ohledu na to, kde ke zpracování údajů dochází, nebo kde by společnost mohla být umístěna nebo se sídlem. Regulace nerozlišuje mezi placenými nebo neplacenými transakcemi, použitím různých zařízení / technologií atd. Jinými slovy, je ovlivněna jakákoli entita s údaji o občanech kontinentů. Za účelem provádění nařízení byly zpřísněny podmínky pro souhlas občanů. Společnosti se již nemohou skrývat za nepochopitelnými „podmínkami“ a nyní jsou povinny to objasnit používající prostý jazyk, odlišitelný od ostatních informací a snadno přístupný. Musí také umožnit občanům snadno odvolat jejich předchozí souhlas. GDPR má šest obecných zásad ochrany údajů (poctivost a zákonnost; omezení účelu; minimalizace dat; přesnost; omezení ukládání; integrita a důvěrnost), ale ochrana údajů záměrně a výchozí je jádro GDPR. Na jedné straně je podporována průhledností (zajištěním úplných informací poskytovaných jednotlivcům přístupným stylem a způsobem) a na druhé straně odpovědností (zajištěním, že všechny organizace převzít prokazatelnou odpovědnost za použití osobních údajů). Provozování a zakotvení těchto zásad do výzkumného cyklu vyžaduje proaktivní sběr a konceptualizaci soukromí jako výchozí hodnoty pro jakékoli shromažďování údajů. Také to musí být zabudované do designových systémů jakékoli „IT architektury“ a do obecných organizačních obchodních praktik výzkumných agentur a klientů.

Nařízení nastíní sedm klíčových zásad, které tvoří jádro režimu ochrany údajů (ICO 2016). Vztahují se k (a) zákonnosti, spravedlnosti a transparentnosti; b) omezení účelu; c) minimalizaci dat; c) přesnosti údajů; e) omezení ukládání údajů; f) integritě a důvěrnosti údajů; a g) odpovědnosti. Stručný popis každé ze zásad, které se týkají osobních údajů občanů EU.

1. Osobní údaje by měly být ve vztahu k jednotlivcům zpracovávány zákonným, spravedlivým a transparentním způsobem;

2. Údaje shromažďované pro konkrétní, explicitní a legitimní účely by neměly být dále zpracovávány způsobem, který je neslučitelný s původními účely.

3. Sběr údajů musí být přiměřený, relevantní a omezený na to, co je nezbytné ve vztahu k účelům, pro které jsou zpracovávány;

4. Shromážděné údaje musí být přesné a v případě potřeby aktualizované. Je třeba podniknout veškeré přiměřené kroky k zajištění toho, aby osobní údaje byly správné pro účely, pro které jsou zpracovávány. Nepřesné informace by měly být neprodleně vymazány nebo opraveny;

5. Údaje je třeba uchovávat ve formě, která umožňuje identifikaci subjektů údajů nejdéle po dobu nezbytnou pro účely, pro které jsou osobní údaje zpracovávány; osobní údaje mohou být uchovávány déle, pokud budou osobní údaje zpracovávány výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu nebo statistické účely, s výhradou provedení příslušných požadovaných technických a organizačních opatření GDPR za účelem ochrany práv a svobod jednotlivců. Dodatečné zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu nebo pro statistické účely se nepovažuje za neslučitelné s původními účely;

6. Údaje by měly být zpracovávány způsobem, který zajišťuje přiměřenou bezpečnost osobních údajů, včetně ochrany před neoprávněným nebo nezákonným zpracováním a před náhodnou ztrátou, zničení nebo poškození pomocí vhodných technických nebo organizačních opatření;

7. Správce (tj. Společnost, která údaje uchovává) je odpovědný za dodržování příslušných zásad a musí být schopen prokázat dodržování příslušných zásad a záznamů. Podle ustanovení GDPR je „správcem subjekt, který určuje účel, podmínky a prostředky zpracování osobních údajů“ (EUGDPR 2016).

Stávající rámec ochrany údajů, implementovaný prostřednictvím EU

Směrnice EU, jež vedla ke sjednocení výkladů ochrany osobních údajů při rozdílném pochopení této problematiky v členských státech, je jednou z hlavních změn nového nařízení, kdy členské státy mají omezený prostor pro využití vlastního výkladu takovýchto pravidel. Soudržnost při ochraně osobních údajů napomohlo ke zřízení Evropského výboru pro ochranu údajů, který by měl tvořit tzv. dozorčí výbor ze všech členských státech EU. Takovýto výbor by měl vydávat pokyny, usilovat o jednotnost exekučních řízení a rozhodovat spory týkající se zpracování ve více než jednom členském státě. Nejistota v tomto procesu však přetrvává, protože GDPR má přesto prostor pro jednotlivé členské státy, aby využily svých legislativních odchylek (flexibilita) k vytvoření různých pravidel v celé řadě oblastí, jako je třeba věk, ve kterém mohou děti souhlasit s online informačními službami, což jsou přípustné právní důvody pro zpracování citlivých osobních údajů. Dále například požadavky na povinné jmenování úředníka odpovědného za ochranu osobních údajů.

Uplatňování zvláštního režimu, který poskytuje určitou flexibilitu pro vědecký a statistický výzkum (včetně uvolnění několika individuálních práv), je rovněž předmětem činnosti jednotlivých členských států. Jedním sjednocujícím vláknem je, že takováto „pseudonymizace“ se musí stát výchozí pro všechny výzkumné projekty s jasnými etickými a organizačními opatřeními. Podle slov zástupců „Úřadu pro informace“ ve Spojeném království „GDPR je vývoj v ochraně osobních údajů, nikoli přítěž“. Znamená to však zásadní změnu v rovnováze moci mezi organizacemi a jednotlivci při sběru, zpracování a uchovávání osobních údajů, zvyšování práva jednotlivců na přístup k osobním údajům a kontrolní činnost při jejich použití. GDPR jde nad rámec současného zákona, když požaduje vyšší standardy pro organizace zpracovávající osobní data - ale tyto vyšší standardy jsou filozoficky v souladu s osvědčenými postupy a etickými přístupy, které praktikují. Organizační opatření při ochraně osobních údajů musí být efektivnější a měla by být zakotvena v celé. GDPR staví na transparentnosti a důvěře zakotvené ve vnitrostátních a evropských právních předpisech s mezinárodními kódy s osvědčenými postupy.

Pozitivní přístup k nařízení by mohl umožnit tradičním společnostem a společnostem založeným na internetu vytvářet a zavádět lepší systémy ochrany údajů nejen pro občany EU, ale pro všechny zákazníky na celém světě.

1. Právo na informace:

Když podniky shromažďují údaje, měly by prozradit, jaké osobní údaje se shromažďují, jak / k čemu je budou používat, jak dlouho by je ukládaly a s kterými organizacemi by tyto údaje sdílely. Všechna oznámení o narušení údajů jsou povinná do 72 hodin od povědomí ve všech členských zemích, zejména pokud je pravděpodobné, že „povede k ohrožení práv a svobod jednotlivců“.  Zpracovatelé třetích stran jsou povinni oznámit svým zákazníkům (např. Visa) taková porušení v přiměřené lhůtě.

2. Právo na přístup:

Občané EU mají právo kontaktovat podniky a získat přístup k jejich osobním údajům uchovávaným v elektronické podobě bez placení. To zahrnuje povahu a typ ukládaných dat, na co se používají a podrobnosti sdílení s ostatními stranami.

3. Právo na nápravu:

Přístupem k osobním údajům, které mají společnosti k dispozici, mají občané EU právo zajistit, aby informace byly přesné a aby byly opraveny, pokud budou shledány nepravdivými nebo nepřesnými.

4. Právo na vymazání:

Občané mají „právo být zapomenut“ nebo nechat své osobní údaje vymazat od podniků a zpracovatelů údajů. Jakmile je právo uplatněno, musí být šíření osobních údajů zastaveno. Podniky však mohou zvážit požadavek na výmaz s veřejným zájmem. Nejedná se tedy o absolutní právo, a proto může podnik za správných okolností odmítnout vyhovět, musí však o tomto podrobně informovat žadatele o „výmaz“.

5. Právo na omezení zpracování:

Obdobně jako v případě č. 4 mohou občané popřít souhlas se zpracováním údajů organizací bez ohledu na to, zda byl nebo nebyl souhlas udělen v minulosti. Podnik by měl opět informovat osobu o tom, co dělá s údaji, aby ji pomohl s rozhodnutím, zdali takovéto údaje poskytne. Podobně jako u č. 4 není toto právo absolutní.

6. Právo na přenositelnost dat:

To zahrnuje právo lidí přijímat data a přenášet je v společně dohodnutém přenosném elektronickém formátu a přenášet je i do jiné organizace. Příkladem mohou být osobní údaje, které lze stáhnout z Facebooku nebo Google, ale musejí být v kompatibilním formátu.

7. Právo na protest:

Pokud jednotlivec zjistí, že jeho osobní údaje jsou používány způsobem, které jsou v rozporu, může požádat podnik o ukončení takovéto propagace. Například pomocí dat k odesílání propagační literatury nebo k telemarketingovým hovorům bez souhlasu.

8. Práva týkající se automatizovaného zpracování a profilování dat:

Proti profilování a cílení pomocí automatizovaných systémů lze vznést námitky a lze se proti nim odvolat, pokud taková rozhodnutí podniků ovlivní občana. Proto se rozhodnutí týkají úvěru, žádosti o zaměstnání atd., které mají právní důsledky. V těchto situacích je vyžadován výslovný a informovaný souhlas jednotlivce.

Podle MacDonalda (2018) byl jedním z hlavních impulsů pro zavedení nové regulace ochrany údajů existující rámec ochrany soukromí založený na starých směrnicích z roku 1980, ačkoli později pozměněný. Dědičnými pravidly byly v zásadě směrnice (nikoli předpisy) a staly se zastaralými vzhledem k používání novějších technologií včetně sociálních médií, umělé inteligence, cloud computingu atd.

Obecná analýza GDPR

Zatímco základní myšlenkou implementace GDPR byla ochrana údajů o spotřebitelích, může to způsobit významné problémy pro podniky a obchodníky, kteří komunikují se zákazníky EU. Shodou okolností došlo k některým nepříznivým hodnocením GDPR, jak je vyvíjí a provádí EU. Základní kultura internetu byla chráněna před národní / hraniční suverenitou a mnozí se postavili proti čemukoli, co poškozuje svobodu sítě. GDPR je více o suverenitě uživatelů sítě v určité ohraničené oblasti.

Za prvé, některé odhady stanovily cenu za přípravu a soulad na přibližně 7,8 miliardy dolarů (Bloomberg Businessweek 2018). Tvrdí se, že velké společnosti si mohou dovolit vyšší náklady na dodržování předpisů, zatímco menší podniky se z ekonomického hlediska nemohou poměřovat s velkými nadnárodními giganty. Je pravděpodobné, že to bude mít dopad na začínající podniky bez silné finanční podpory. Podle Interactive Advertising Bureau (2018) přidává digitální reklama ekonomice EU 625 miliard USD a implementace GDPR zvýší náklady na podnikání, protože reklamy založené na údajích „stojí trojnásobně než necílené reklamy“ (časopis New York Magazine), 2018). Dalším způsobem, je nutnost uvědomit si, že model závislý na reklamě nakonec může ustoupit modelům založeným na předplatném, jako jsou Netflix, Spotify, Amazon Prime atd.

Zákony a předpisy ne vždy udržují krok s technologiemi a GDPR nemusí být výjimkou, pokud jde o technologie blockchainu. Někteří předpovídají, že blockchainy, jak jsou v současné době naprogramovány, mohou být nekompatibilní s GDPR. Je pravděpodobné, že technologie bude možná muset být přepracována, aby umožnila její soužití s ​​novým právem EU. Někteří vyjádřili obavy ohledně toho, jak GDPR zvládne paradigma umělé inteligence a strojového učení.

Existují obavy, že GDPR by mohlo zpříjemnit surfování na webu, vzhledem k politice získat souhlas v každé fázi. Spotřebitelé možná budou muset udělat kompromis mezi soukromí a pohodlím. Pokud ne, mohou zaplavit společnosti žádostmi o osobní údaje, které mají v držení. Konečně existují obavy, jak uživatelé a spotřebitelé jednají, aby využili ustanovení GDPR. Někteří se ptají, zda jsou spotřebitelé připravení, ochotní a schopni tak učinit.

Hloubková kontrola dodržování ochrany osobních práv

Bez ohledu na to, zda je poskytovatel třetí strany zpracovatelem údajů nebo správcem údajů, by podnik měl věnovat důkladnou péči zásadě ochrany údajů poskytovatele a praxe. Při používání produktu nebo služby poskytované zpracovatelem údajů má podnik v rámci GDPR povinnost „používat pouze procesy poskytující dostatečné záruky k provádění vhodných technických a organizačních opatření tak, aby zpracování osobních údajů splnilo požadavky [GDPR] a zajistit ochranu práv subjektu údajů. Splnění této povinnosti vyžaduje, aby podnik prováděl přiměřenou hloubkovou kontrolu při dodržování ochrany osobních údajů. Pouhé seznámení zaměstnanců s GDPR předpisy a následný podpis jednotlivých zaměstnanců na tento dokument, nezaručuje to, že podnik jedná eticky a právně při ochraně osobních údajů. Bohužel, se tomu tak děje ve větší míře. Stejně tak tzv. „pseudo“ zabezpečení dokumentů, obsahující citlivá data osob v kancelářích, neřeší namontování uzamykatelného modulu v podobě „dveří“ na stávající dřevěný regál, který se po tzv. „odšoupnutí“ ode zdi, stane bezpečnostně nevyhovujícím, pokud je na zadní straně předmětného regálu přidělána stěna ve stylu „á la IKEA“.

Pokud firmy používají produkt nebo službu poskytovanou správcem údajů, lze argumentovat, že povinnosti ochrany údajů jsou mezi správcem a jednotlivými subjekty údajů (v tomto případě mezi poskytovatelem třetí strany a zaměstnanci podniku nebo jinými koncovými uživateli), a že podnik nehraje žádnou roli. Podnik však tímto při zavádění produktu nebo služby umožňuje poskytovateli třetí strany přímo shromažďovat osobní údaje o použití produktu nebo službách jeho zaměstnanců. Podnik nese určitou odpovědnost za povolení shromažďování a následného použití těchto údajů. Podniky by tedy měly (a obvykle to dělají) s náležitou péčí při výběru poskytovatele s legálními postupy shromažďování a používání údajů a vhodnou ochranou soukromí.

Check list pro dodržování ochrany osobních dat jako nedílná součást bezpečnostního managementu každého podniku

Oznámení a průhlednost

Je poskytovatel transparentní, jaká data poskytovatel shromažďuje a jak je používá, sdílí, zpracovává a chrání tato data? Podívejte se na všechny informace, které poskytovatel třetí strany poskytuje. Zkontrolujte prohlášení o ochraně osobních údajů nebo oznámení, která zveřejňuje. Hledejte jakékoli bílé knihy nebo jiné materiály, které má zveřejněna o datech, která shromažďuje a jak se tato data používají. Zjistěte, zda ve svých smlouvách, dohodách nebo podmínkách činí prohlášení o shromažďování, používání a nakládání s údaji. Poskytuje poskytovatel dostatečné informace, aby umožnil podniku odpovědět na zbývající otázky v tomto kontrolním seznamu?

Klasifikace správce údajů

Je firma jako poskytovatel služeb na základě své role, zásad a postupů klasifikována jako zpracovatel údajů nebo správce údajů? Pokud dojde k rozporu, bude třeba dále prozkoumat, proč se poskytovatel (chybně) takto charakterizuje.

Bezpečnost dat

Projevuje firma silný závazek a investice do zabezpečení dat? Má firma dobré jméno pro zabezpečení dat? Má firma uloženou historii bezpečnostních incidentů, které naznačují potenciál přetrvávajících problémů? Je společnost transparentní, pokud jde o její bezpečnostní postupy? Obdržela firma nějaké bezpečnostní certifikáty nebo hodnocení?

Kontroly sběru a použití dat

Podniky by měly určit, jaké ovládací prvky jsou k dispozici u produktu nebo služby dodávané poskytovatelem, a vhodně je používat. Kontroluje nabídku produktu nebo služby, aby bylo možné vypnout zbytečné shromažďování údajů? Nabízí kontroly, jak mohou být data použita? Jsou kromě ovládacích prvků na úrovni uživatele nabízeny i ovládací prvky na podnikové úrovni, takže ovládací prvky lze nastavovat a vymáhat v celém podniku?

Zachování dat

Jak dlouho si poskytovatel uchová data, která shromažďuje? Je-li poskytovatel zpracovatelem dat, jeho uchovávání se musí řídit smlouvou s podnikem a nemělo by to zůstat data déle, než je nezbytné k poskytování služeb podniku. Pokud je poskytovatel datovým kontrolorem, neměl by také uchovávat data déle, než je nezbytné, ale má mít větší volnost při nastavování vlastních plánů uchovávání dat. Podniky by měly hledat poskytovatele datových služeb, kteří jsou transparentní ohledně uchovávání údajů.

Zásady týkající se přístupu orgánů činných v trestním řízení uloženým datům

Je nutné vědět, jak poskytovatel dat bude reagovat na žádosti orgánů činných v trestním řízení o údajích shromážděných o podniku nebo jeho zaměstnancích / uživatelích. Pokud poskytovatel působí jako zpracovatel, měl by informovat podnik, jakmile poskytovatel obdrží žádost, pokud to zákon výslovně nezakazuje; a podnik by to měl ve smlouvě požadovat. Pokud poskytovatel působí jako správce, bude pravděpodobně činit svá vlastní rozhodnutí ohledně reakce na žádosti orgánů činných v trestním řízení. Podnik, však může chtít prozkoumat a / nebo se informovat o postupech a politice poskytovatele, pokud je to pro něj nebo pro oblast jeho zájmu, a předmětem tohoto zájmu jsou zaměstnanci.

Přeshraniční přenosy dat

Pokud poskytovatel bude zpracovávat osobní údaje z Evropy mimo, určete, jaký právní základ má poskytovatel pro přenos údajů. Pokud se poskytovatel chová jako zpracovatel dat, je zájmem poskytovatel vložit do smlouvy tuto klauzuli o poskytování dat? Pokud je poskytovatelem správce v USA, účastní se ochrany soukromí a dat?

Smlouvy

Jaká smlouva nebo dohoda bude uzavřena a co se v ní říká? Pokud poskytovatel působí jako zpracovatel, musí být ve smlouvě zahrnuty konkrétní položky a podnik by měl zajistit, jejich dodržování. Pokud poskytovatel působí jako správce, existuje méně přímých zákonných povinností týkajících se smlouvy, ale podnik si přesto může přát vyžádat písemná smluvní ujištění ohledně ochrany údajů.

 Závěr

Analýzy ukazují, že i když je ohlašování obchodního kataklyzmatu v důsledku GDPR, v oblasti marketingu, konkrétně v oblasti datového marketingu, dojde k významným změnám, ale nebude odsouzena k zániku. Tyto požadavky by mohly mít za následek revoluci v tom, jak společnosti nakládají s osobními údaji, a v tomto ohledu nařízení stanovují vyšší standard pro obchodníky v jednání s potenciálními zákazníky a zákazníky. Obchodníci budou nuceni respektovat osobní údaje zákazníků a zajistit větší transparentnost při sběru, zpracování a vymazání informací. Při pohledu z pohledu zaměřeného na zákazníka by požadavky GDPR mohly být jedním z hlavních faktorů a je nezbytné, aby obchodníci navrhovali své režimy sběru / zpracování / ukládání / výmazu dat nejen proto, aby vyhověli zákonu, ale celkovému duchu nařízení EU. Přizpůsobení se nové realitě pravděpodobně poskytne obchodníkům příležitost vyrovnat záznam spotřebitelům s ohledem na jejich data a způsob, jakým je zpeněžena. Měl by existovat kompromis.

Účinky nařízení se projeví i mimo EU dvěma způsoby. Za prvé, společnosti, které dodržují nařízení, by mohly implementovat stejné datové strategie v jiných regionech / zemích. Facebook oznámil, že bude provádět některá ustanovení nařízení pro zákazníky mimo EU. Za druhé, úspěch GDPR by mohl přimět jiné země, aby jej přijaly nebo upravily tak, aby vyhovovaly jejich kulturám. Izrael, Nový Zéland, Argentina, Japonsko, Kolumbie, Jižní Korea a další dokončili nebo se nacházejí v různých fázích hodnocení a aktualizace svých programů na ochranu údajů, někdy přijímají doslovně GDPR.

Rozlišení mezi zpracovateli údajů a správci údajů je v evropském právu na ochranu údajů důležité. Se změnami v rámci GDPR, včetně řady podstatných ustanovení vztahujících se přímo na zpracovatele způsobem, který je podobný nebo totožný s kontrolory, může být rozdíl poněkud méně významný, než tomu bylo v minulosti. Je zřejmé, že když podnik zavádí produkt nebo službu od poskytovatele třetí strany, existují výhody i nevýhody tohoto poskytovatele, který je buď zpracovatelem, nebo správcem osobních údajů a citlivých dat. Podniky budou obvykle mít větší kontrolu nad nakládáním s daty, pokud je poskytovatelem dat třetí strana.

Za určitých okolností může být pro soukromí zaměstnanců lepší - zejména ve smlouvách, kde má zaměstnanec zájem na zachování určitých typů osobních údajů od zaměstnavatele - jako je zdraví nebo lékařské informace, které by mohly být použity k diskriminaci, nebo umístění nebo jiné osobní informace, které zaměstnavatel nemusí znát. Podnik může mít další výhody při používání služeb třetích stran. Je-li poskytovatelem třetí strany správce údajů, může být podnik zproštěn určitých povinností souvisejících s dodržováním předpisů (například poskytnutí oznámení o ochraně osobních údajů subjektům údajů, reakce na subjekty údajů žádající o uplatnění svých práv, oznamování subjektů údajů a orgánů dohledu v případě porušení. Dále je méně pravděpodobné, že podnik bude odpovědný za selhání nezávislého správce údajů než za selhání zpracovatele dat, který zpracovává údaje jménem podniku.

Podniky zaměřené na produkty nebo služby, které zahrnují shromažďování údajů třetím poskytovatelem, musí tyto faktory pečlivě zvážit. Pro zajištění souladu je nezbytné provádět due diligence u poskytovatelů třetích stran, porozumět závazkům podniku ve světle charakterizace poskytovatele jako zpracovatele údajů nebo správce údajů a podniknout kroky nezbytné pro splnění těchto povinností.

 

Použitá literatura

Bloomberg Businessweek (2018). The Wrong Way on Data. Retrieved May 20, 2018, from //www.scribd.com/article/378853136/The-Wrong-Way-On-Data

Brelend, A. (2018). Americans Want Tougher Regulations for Tech Companies: Poll. Retrieved March 03, 2018, from //thehill.com/policy/technology/384144-poll-americans-want-tougherregulations-for-technology-companies

Cakebread, C. (2017). You’re Not Alone, No One Reads Terms of Service Agreements. Retrieved March 23, 2018, from //www.businessinsider.com/deloitte-study-91-percent-agree-terms-of-servicewithout- reading-2017-11

CitizenVox (2018). Public Citizen Finds Widespread Support for Regulating Big Tech Companies and Protecting Data Privacy. Retrieved May 25, 2018, from //www.citizenvox.org/2018/05/24/public-citizen-finds-widespread-support-for-regulatingbig - tech-companies-and-protecting-data-privacy/

Comcowich, W. (2018). How Effective is Splashy Apology Ads from Facebook, Uber, and Wells Fargo? Retrieved June 03, 2018, from //glean.info/how-effective-are-splashy-apology-ads-fromfacebook- uber-wells-fargo/

Crosby, L. (2016). How Easily Do Customers Forget? When Transgressions Against Them Are Poorly Remediated. The Memory Can Be Difficult To Dismiss. Retrieved May 23, 2018, from //www.ama.org/publications/MarketingNews/Pages/cost-customer-trust-violations.aspx

Data Services Inc. (2018). EU Data Regulation – Here Comes GDPR. Retrieved May 22, 2018, from //www.dataservicesinc.com/newsletter/eu-data-regulation-here-comes-gdpr/

De Pinto, J. (2018). Americans are Skeptical Facebook Can Protect User Data. Retrieved May 20, 2018, from //www.cbsnews.com/news/americans-are-skeptical-facebook-can-protect-user-datacbs-news-poll/

Deloitte (2013). Economic Impact Assessment of the Proposed European General Data Protection Regulation: Final Report. Retrieved March 19, 2017, from deloitte-uk-european-data-protectiontmt. pdf

Doubek, J. (2018). Google Has Received 650,000 ‘Right to be Forgotten’ Requests Since 2014. Retrieved March 01, 2018, from //www.npr.org/sections/thetwo-way/2018/02/28/589411543/googlereceived- 650-000-right-to-be-forgotten-requests-since-2014

Duncan, G. (2014). Can the Government Regulate Internet Privacy? Retrieved December 10, 2017, from //www.digitaltrends.com/web/government-warn-us-data-breaches/

EUGDPR (2018). GDPR Key Changes. Retrieved May 15, 2018, from //www.eugdpr.org/

EUGDPR (2016). GDPR FAQs. Retrieved March 22, 2018, from //www.eugdpr.org/gdpr-faqs.html

Hale, T. (2017). How Much Data Does The World Generate Every Minute? Retrieved May 28, 2018, from //www.iflscience.com/technology/how-much-data-does-the-world-generate-everyminute/

Hart, J. (2018). Data Breaches Are Taking a Toll on Customer Loyalty. Retrieved March 23, 2018, from //www.csoonline.com/article/3250836/data-breach/data-breaches-are-taking-a-toll-oncustomer-loyalty.html

Hern, A. (2018). Facebook Personal Data Use and Privacy Settings Ruled Illegal by German Court. Retrieved March 01, 2018, from //www.theguardian.com/technology/2018/feb/12/facebookpersonal- data-privacy-settings-ruled-illegal-german-court

HubSpot (2017). What is the GDPR? And What Does it Mean for the Marketing Industry? Retrieved April 13, 2018, from //blog.hubspot.com/marketing/what-is-the-gdpr

Hubspot (2018). Facebook Has Suspended 200 Apps in Data Misuse Audit. Retrieved May 16, 2018, from //blog.hubspot.com/marketing/facebook-suspends-200-apps-data-misuse-audit

ICO (2016). GDPR: The Principles. Retrieved Mar 23, 2018, from //ico.org.uk/fororganisations/ guide-to-the-general-data-protection-regulation-gdpr/principles/

 

Ismail, N. (2018). UK Organizations Should Expect to be Overwhelmed by Data Privacy Requests Following GDPR’s Deadline. Retrieved May 15, 2018, from //www.informationage. com/post-gdpr-data-privacy-requests-123471786/

Jacob, D. (2017). 3 Takeaways from the 2017 Cost of Data Breach Study. Retrieved January 14, 2018, from //www.propertycasualty360.com/2017/07/05/3-takeaways-from-the-2017-cost-of-databreach- stud/?slreturn=20180508173633

Janrain (2018). Cambridge Analytica Breach Draws Shift in Consumer Attitudes Toward Privacy. Retrieved May 13, 2018, from //www.janrain.com/company/newsroom/pressreleases/ janrain-survey-cambridge-analytica-breach-draws-shift-consumer

Kelly, H. (2018). Facebook will Push Privacy Alert to Users Outside EU Ahead of GDPR. Retrieved April 01, 2018, from //money.cnn.com/2018/05/24/technology/facebook-gdpr-us/index.html

Koops, B.-J. (2014). The Trouble with European Data Protection Law. International Data Privacy Law, 4(1 November), 250–261.

MacDonald, S. (2018). GDPR for Marketing: The Definitive Guide for 2018. Retrieved June 05, 2018, from //www.superoffice.com/blog/gdpr-marketing/

Marketo (2018). Marketo and the General Data Protection Regulation (GDPR). Retrieved May 24, 2018, from //www.marketo.com/company/trust/gdpr/

Marketo (2018). The Hardest Part About GDPR Isn’t What You Think. Retrieved May 24, 2018, from //blog.marketo.com/2018/05/hardest-part-gdpr-isnt-think.html

McKinsey & Company (2016). Monetizing Car Data: New Service Business Opportunities to Create New Customer Benefits. Report on Advanced Industries, (September). Retrieved from //www.mckinsey.com/~/media/McKinsey/Industries/Automotive%20and%20Assembly/Our %20Insights/Monetizing%20car%20data/Monetizing-car-data.ashx

New York Magazine (2018). The EU’s New Privacy Laws Might Actually Create a Better Internet. Retrieved May 20, from //nymag.com/selectall/2018/05/can-gdpr-create-a-betterinternet. Html

New York Times (2017). Unroll.me Service Faces Backlash over a Widespread Practice: Selling User Data. Retrieved May 15, 2018, from //www.nytimes.com/2017/04/24/technology/personaldata- firm-slice-unroll-me-backlash-uber.html

Obar, J. A., & Oeldorf-Hirsch, A. (2016). The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services. The 44th Research Conference on Communication, Information and Internet Policy (August 24). Retrieved from//ssrn.com/abstract=2757465

Perez, E. (2013). NSA: Some Used Spying to Snoop on Lovers. Retrieved November 14, 2017, from //www.cnn.com/2013/09/27/politics/nsa-snooping/

Ryoo, J. (2016). Big Data Security Problems Threaten Consumers’ Privacy. Retrieved January 3, 2018, from //theconversation.com/big-data-security-problems-threaten-consumers-privacy-54798

Santarcangelo, M. (2016). What Research Reveals About Consumer Behavior After a Security Breach. Retrieved May 15, 2018, from //www.csoonline.com/article/3026578/leadershipmanagement/ what-research-reveals-about-consumer-behavior-after-a-security-breach.html

Seetharaman, D., & Grind, K. (2018). Facebook Gave Some Companies Special Access to Additional Data About Users’ Friends. Retrieved June 9, 2018, from //www.wsj.com/articles/facebook-gave-some-companies-access-to-additional-data-aboutusers-friends-1528490406?mod=hp_major_pos16?mod=djem_jiewr_BE_domainid

Scott, M., & Cerulus, L. (2018). Europe’s New Data Protection Rules Export Privacy Standards Worldwide. Retrieved March 18, 2018, from //www.politico.eu/article/europe-dataprotection- privacy-standards-gdpr-general-protection-data-regulation/

Seeking Alpha (2018). Tesla Vs. Ford Vs. GM: Earnings Roundup For The 3 Major U.S. Automakers. Retrieved May 29, 2018, from //seekingalpha.com/article/4146407-tesla-vs-ford-vs-gmearnings- roundup-3-major-u-s-automakers

 

Kontakt na autora článku:

PhDr. Marek Merhaut, Ph.D., MBA

Hotel Consulting Service, Hlivická 419/18, 181 00 Praha 8

Email: m.merhaut@seznam.cz

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace