Vážení čtenáři,

právě jste se začetli do časopisu DPO PRO, jehož první číslo vyšlo symbolicky v Den ochrany osobních údajů. Od okamžiku, kdy Rada Evropy přijala tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů, uplynulo právě 40 let. Na tento dokument navázaly další právní předpisy zaměřené na ochranu osobních údajů. Patří k nim i Obecné nařízení (GDPR).

Události minulého roku přispěly ke zrychlené elektronizaci kontaktů a přesunu mnoha oblastí lidského života do online prostředí. Tyto okolnosti, spolu s neustále dokonalejšími kybernetickými útoky, ještě více zdůraznily nutnost zabývat se systematicky ochranou osobních údajů. A právě této problematice je věnován časopis DPO PRO, jenž je určený především pověřencům pro ochranu osobních údajů, ale také všem, kteří se o ochranu osobních údajů zajímají a s osobními údaji pracují. Časopis má za cíl zaměřit se na soukromou i veřejnou sféru a pokrýt oblast ochrany osobních údajů v co nejširším spektru.

Eva Janečková
šéfredaktorka DPO PRO

Bezpečnostní opatření v čistě cloudových organizacích

28. 5. 2022

S příchodem cloudových služeb (SAAS – Software As A service) vznikly téměř okamžitě i organizace, které zcela vyloučily využití klasických IT útvarů i podnikových ITíků a zaměřily se pouze na cloudové služby. S těmito čistými organizacemi jsme se prvně setkali v roce 2021 při provádění implementací GDPR společně s ISO 27001. Kladli jsme si otázku, jak tyto organizace zajistit z hlediska bezpečnosti na přijatelnou úroveň, aby úspěšně prošly certifikací výše uvedených norem. Výsledky projektů jsme zobecnili a nyní je předkládáme k zamyšlení.    Cloudová organizace Pro pochopení předložených bezpečnostních opatření vymezujeme typickou čistě cloudovou organizaci a oblasti bezpečnosti, které se jí týkají. Vše strukturujeme podle normativní přílohy A normy ISO 27001. V zásadě se jedná o organizaci, která v místě práce zaměstnanců nedisponuje sítí, servery, doménou atp., ale pouze připojením k internetu . . .

Veřejné opatrovnictví: Zastupitelé by se měli dozvědět pouze nezbytné informace

28. 3. 2022

Když jeden orgán obce (starosta) sděluje osobní údaje týkající se výkonu veřejného opatrovnictví jinému orgánu obce (zastupitelstvu a jeho členům), nemusí to na první pohled vypadat jako porušení zákona. Neděje-li se tak za přítomnosti veřejnosti, zůstávají všechny tyto informace tzv. „pod jednou střechou“ – zpracovává je jeden správce osobních údajů (obec). Zdánlivě neškodným předáním osobních údajů však může v určitých případech docházet k porušení právních předpisů. Proto je namístě připomenout obecné zásady poskytování informací mezi orgány územních samospráv, abychom si uvědomili, kdy je sdělování osobních údajů o opatrovanci přípustné a kdy nikoliv. Základní zásady zpracování osobních údajů při výkonu veřejného opatrovnictví Člověk omezený ve svéprávnosti, kterému soud ustanovil veřejného opatrovníka, neztrácí právo na ochranu svého soukromí a osobních údajů.[1] Akceptujeme-li, že už samotné ustanovení veřejného opatrovníka nepochybně představuje podstatný zásah do soukromí opatrovaného, přináší výkon veřejného opatrovnictví v prvé řadě pro každého, kdo se této role ujme, závazek nastavit pravidla pro výkon veřejného opatrovnictví tak, aby respektovala vedle principů veřejného opatrovnictví coby podpůrného opatření[2] právo opatrovance na ochranu před neoprávněným zasahováním do soukromého života, jakož i jeho právo před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.[3] Zjednodušeně to znamená nejprve posoudit, komu a co o opatrovanci může veřejný opatrovník […]