• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
DoD WEDOS 2013 - Ochrana osobních údajů v e-shopu
 

DoD WEDOS 2013 - Ochrana osobních údajů v e-shopu

on

  • 201 views

 

Statistics

Views

Total Views
201
Views on SlideShare
201
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    DoD WEDOS 2013 - Ochrana osobních údajů v e-shopu DoD WEDOS 2013 - Ochrana osobních údajů v e-shopu Presentation Transcript

    • WEDOS, 24.5.2013Ing. Miloš Šnytr
    • Legislativa Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracovánímosobních údajů a o volném pohybu těchto údajů Zákon č.101/2000 Sb., o ochraně osobních údajů (ZOOU)
    • Nařízení1. Tímto nařízením se stanoví pravidla týkající seochrany fyzických osob v souvislosti sezpracováváním osobních údajů a pravidla týkající sevolného pohybu osobních údajů.2. Tímto nařízením se chrání základní práva a svobodyfyzických osob a zejména jejich právo na ochranuosobních údajů.3. Volný pohyb osobních údajů v Unii není z důvoduochrany fyzických osob v souvislosti sezpracováváním osobních údajů omezen ani zakázán.
    • Legislativa Směrnice 2000/31/ES o některých právních aspektechslužeb informační společnosti, zejménaelektronického obchodu, na vnitřním trhu(směrnice o elektronickém obchodu) Zákon č.480/2004 Sb. o některých službách informační společnosti a o změněněkterých zákonů (zákon o některých službáchinformační společnosti)
    • Legislativa Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí vodvětví elektronických komunikací (Směrnice osoukromí v elektronických komunikacích) Zákon č.127/2005 Sb. Zákon o elektronických komunikacích
    • Internet – definice z Wikipedie Internet je celosvětový systém navzájem propojenýchpočítačových sítí („síť sítí“), ve kterých mezi seboupočítače komunikují pomocí rodiny protokolů TCP/IP.Společným cílem všech lidí využívajících Internet jebezproblémová komunikace (výměna dat). Internet jsou volně propojené počítačové sítě, kteréspojují jeho jednotlivé síťové uzly. Uzlem může býtpočítač, ale i specializované zařízení (například router).Každý počítač připojený k Internetu má v rámci rodinyprotokolů TCP/IP svoji IP adresu. Pro snadnějšízapamatování se místo IP adres používají doménovájména.
    • Definice osobního údaje (USA) Osobními údaji jsou informace umožňujícíidentifikaci fyzické osoby
    • Definice osobního údaje Osobním údajem je jakákoliv informace týkající seurčeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebourčitelný, jestliže lze subjekt údajů přímo či nepřímoidentifikovat zejména na základě čísla, kódu nebojednoho či více prvků, specifických pro jehofyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. subjektem údajů je fyzická osoba, k níž se osobníúdaje vztahují
    • Definice osobního údaje Osobním údajem jsou veškeré informace o subjektu údajů. Subjektem údajů je identifikovaná fyzická osoba nebofyzická osoba, kterou lze přímo či nepřímoidentifikovat prostředky, o nichž lze důvodněpředpokládat, že je správce nebo jakákoli jiná fyzickánebo právnická osoba použijí pro identifikaci danéosoby, zejména s odkazem na identifikačníčíslo, lokalizační údaje, elektronický identifikátor nebo sodkazem na jeden či více zvláštních prvků jejífyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity;
    • Zpracováním osobních údajůje jakákoliv operace nebo soustava operací, kterésprávce nebo zpracovatel systematicky provádějí sosobními údaji, a to automatizovaně nebo jinýmiprostředky. Zpracováním osobních údajů se rozumízejména shromažďování, ukládání na nosičeinformací, zpřístupňování, úprava nebopozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebokombinování, blokování a likvidace,
    • Případ Lindqvist 1. Úkon uvedení na internetové stránce různých osob a jejichidentifikace jménem nebo jiným způsobem, napříkladuvedením jejich telefonního čísla nebo informace o jejichpracovním poměru a zájmech, je zpracováním osobních údajůzcela nebo částečně automatizovaně ve smyslu čl. 3 odst. 1směrnice 95/46/ES Evropského parlamentu a Rady ze dne24. září 1995 o ochraně jednotlivců v souvislosti sezpracováním osobních údajů a o volném pohybu těchto údajů. 2. Na takovéto zpracování osobních údajů se nevztahuježádná z výjimek uvedených v čl. 3 odst. 2 směrnice 95/46. 3. Informace, že jednotlivec utrpěl úraz nohy a je částečněinvalidní, je osobní údaj týkající se zdraví ve smyslu čl. 8odst. 1 směrnice 95/46.
    • Zpracováním osobních údajůje každý úkon nebo soubor úkonů s osobními údajinebo soubory osobních údajů, které jsou prováděnypomocí či bez pomoci automatizovanýchpostupů, jako jeshromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebopozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejichzpřístupňování jiným způsobem, třídění nebokombinování, vymazání nebo zničení;
    • Správce a zpracovatel správcem je každý subjekt, který určuje účel a prostředkyzpracování osobních údajů, provádí zpracování aodpovídá za něj. Zpracováním osobních údajů můžesprávce zmocnit nebo pověřit zpracovatele, pokudzvláštní zákon nestanoví jinak, zpracovatelem je každý subjekt, který na základězvláštního zákona nebo pověření správcem zpracováváosobní údaje podle tohoto zákona,
    • Provozovatela) provozovatel e-shopu je podle ZOOU správcemosobních údajů, který především určuje účel aprostředky zpracování a je za zpracování primárněodpovědnýb) provozovatel e-shopu má na smluvním základězajištěného zpracovatele, který na základě pověřenísprávce zpracovává osobní údaje podle ZOOUc) provozovatelé jednotlivých e-shopů jsou zpracovateliosobních údajů, správcem je jiná společnost (např.mateřská, která zřizuje několik e-shopů)
    • Správce § 11 ZOOU (1) Správce je při shromažďování osobních údajůpovinen subjekt údajů informovat o tom, v jakém rozsahu apro jaký účel budou osobní údaje zpracovány, kdo a jakýmzpůsobem bude osobní údaje zpracovávat a komu mohoubýt osobní údaje zpřístupněny, nejsou-li subjektu údajůtyto informace již známy. Správce musí subjekt údajůinformovat o jeho právu přístupu k osobním údajům, právuna opravu osobních údajů, jakož i o dalších právechstanovených v § 21.
    • Správce § 11 ZOOU (2) V případě, kdy správce zpracovává osobní údajezískané od subjektu údajů, musí subjekt údajů poučit otom, zda je poskytnutí osobního údaje povinné čidobrovolné. Je-li subjekt údajů povinen podle zvláštníhozákona osobní údaje pro zpracování poskytnout, poučí jejsprávce o této skutečnosti, jakož i o následcích odmítnutíposkytnutí osobních údajů.
    • Osobní údaje v e-shopu Údaje potřebné k realizaci dodávky Jméno, adresa Údaje potřebné k účetnictví Číslo účtu, … Údaje které vytvářejí profil klienta Druh zboží, cena, oblast zájmu
    • Oznamovací povinnostCharakteristické znaky zpracování: účely zpracování – tvorba databázezákazníků, marketingové účely (mohou být i účelyzasílání obchodních sdělení nebo nabízení obchodu aslužeb, ale podmínkou je například širší rozsahnezbytně zpracovaných údajů), doba uchování nad rámec smluvních vztahů, informovanost subjektu údajů v souladu § 5 odst. 4, §12 a § 21 ZOOU a získání souhlasu subjektu údajů sezpracováním osobních údajů § 4 písm. n .
    • Obchodní sdělení obchodním sdělením všechny formy sdělení určenéhok přímé či nepřímé podpoře zboží či služeb neboimage podniku fyzické či právnické osoby, kterávykonává regulovanou činnost 2) nebo jepodnikatelem 3) vykonávajícím činnost, která neníregulovanou činností; za obchodní sdělení se považuje také reklama podlezvláštního právního předpisu (zákon o reklamě).
    • Obchodní sdělení Za obchodní sdělení se nepovažují údaje umožňujícípřímý přístup k informacím o činnosti fyzické čiprávnické osoby nebo podniku, zejména doménovéjméno nebo adresa elektronické pošty; za obchodnísdělení se dále nepovažují údaje týkající sezboží, služeb nebo image fyzické či právnické osobynebo podniku, získané uživatelem nezávisle,
    • Obchodní sdělení § 7 (1) Obchodní sdělení lze šířit elektronickýmiprostředky jen za podmínek stanovených tímtozákonem. (2) Podrobnosti elektronického kontaktu lze zaúčelem šíření obchodních sdělení elektronickýmiprostředky využít pouze ve vztahu k uživatelům, kteřík tomu dali předchozí souhlas.
    • Obchodní sdělení § 7 (3) Nehledě na odstavec 2, pokud fyzická nebo právnickáosoba získá od svého zákazníka podrobnosti jeho elektronickéhokontaktu pro elektronickou poštu v souvislosti s prodejemvýrobku nebo služby podle požadavků ochrany osobních údajůupravených zvláštním právním předpisem 5), může tato fyzickáči právnická osoba využít tyto podrobnosti elektronickéhokontaktu pro potřeby šíření obchodních sdělení týkajících sejejích vlastních obdobných výrobků nebo služeb zapředpokladu, že zákazník má jasnou a zřetelnou možnostjednoduchým způsobem, zdarma nebo na účet této fyzické neboprávnické osoby odmítnout souhlas s takovýmto využitím svéhoelektronického kontaktu i při zasílání každé jednotlivézprávy, pokud původně toto využití neodmítl.
    • Obchodní sdělení § 7 (4) Zaslání elektronické pošty za účelem šíření obchodníhosdělení je zakázáno, pokud a) tato není zřetelně a jasně označena jako obchodní sdělení, b) skrývá nebo utajuje totožnost odesílatele, jehož jménem sekomunikace uskutečňuje, nebo c) je zaslána bez platné adresy, na kterou by mohl adresát přímoa účinně zaslat informaci o tom, že si nepřeje, aby mu bylyobchodní informace odesílatelem nadále zasílány.
    • Robinsoni Směrnice o el. obchodu: členské státy přijmou opatření, aby zaručily, žeposkytovatelé služeb, kteří zasílají nevyžádaná obchodnísdělení elektronickou poštou, budou pravidelně nahlížetdo seznamů, do nichž se mohou zapisovat fyzickéosoby, které si nepřejí, aby jim byly takové informacezasílány, a že je budou respektovat.
    • Směrnice o soukromí velektronických komunikacích (17) pro účely této směrnice by měl mít souhlasuživatele nebo účastníka, bez ohledu na to, zdaúčastník je fyzická či právnická osoba, stejný významjako souhlas subjektu údajů definovaný a dáleupřesněný ve směrnici 95/46/ES. Souhlas může býtudělen jakýmkoli vhodným způsobem, kterýumožňuje vyjádřit svobodně poskytnutý, zvláštní ainformovaný projev vůle uživatele, včetně označenízaškrtnutím políčka při návštěvě webové stránkyna internetu;
    • Odpovědnostzákon č.480/2004 Sb. Odpovědnost poskytovatele služby za obsahpřenášených informací 3 Odpovědnost poskytovatele služby za obsah automatickydočasně meziukládaných informací 4 Odpovědnost poskytovatele služby za ukládání obsahuinformací poskytovaných uživatelem 5
    • Odpovědnost §3 Poskytovatel služby, jež spočívá v přenosu informacíposkytnutých uživatelem prostřednictvím sítíelektronických komunikací nebo ve zprostředkovánípřístupu k sítím elektronických komunikací za účelempřenosu informací, odpovídá za obsah přenášenýchinformací, jen pokud přenos sám iniciuje, zvolí uživatele přenášené informace, nebo zvolí nebo změní obsah přenášené informace. Přenos informací a zprostředkování přístupu podleodstavce 1 zahrnuje také automatické krátkodobědočasné ukládání přenášených informací.
    • Odpovědnost §4Poskytovatel služby, jež spočívá v přenosu informacíposkytnutých uživatelem, odpovídá za obsah informacíautomaticky dočasně meziukládaných, jen pokud změní obsah informace, nevyhoví podmínkám přístupu k informaci, nedodržuje pravidla o aktualizaci informace, která jsou obecněuznávána a používána v příslušném odvětví, překročí povolené používání technologie obecně uznávané apoužívané v příslušném odvětví s cílem získat údaje o užíváníinformace, nebo ihned nepřijme opatření vedoucí k odstranění jím uložené informacenebo ke znemožnění přístupu k ní, jakmile zjistí, že informace bylana výchozím místě přenosu ze sítě odstraněna nebo k ní bylznemožněn přístup nebo soud nařídil stažení či znemožnění přístupuk této informaci.
    • Odpovědnost §5 (1) Poskytovatel služby, jež spočívá v ukládání informací poskytnutýchuživatelem, odpovídá za obsah informací uložených na žádostuživatele, jen mohl-li vzhledem k předmětu své činnosti a okolnostem a povazepřípadu vědět, že obsah ukládaných informací nebo jednání uživatelejsou protiprávní, nebo dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládanýchinformací nebo o protiprávním jednání uživatele a neprodleněneučinil veškeré kroky, které lze po něm požadovat, k odstraněnínebo znepřístupnění takovýchto informací. (2) Poskytovatel služby uvedený v odstavci 1 odpovídá vždy za obsahuložených informací v případě, že vykonává přímo nebo nepřímorozhodující vliv na činnost uživatele.
    • Odpovědnost §6Poskytovatelé služeb uvedení v 3 až 5 nejsou povinni dohlížet na obsah jimi přenášených nebo ukládanýchinformací, aktivně vyhledávat skutečnosti a okolnosti poukazujícína protiprávní obsah informace.
    • Zabezpečení údajů - §13 ZOOUSprávce a zpracovatel jsou povinni přijmout takováopatření, aby nemohlo dojít k neoprávněnému nebonahodilému přístupu k osobním údajům, k jejichzměně, zničení či ztrátě, neoprávněným přenosům, kjejich jinému neoprávněnému zpracování, jakož i kjinému zneužití osobních údajů. Tato povinnost platí ipo ukončení zpracování osobních údajů.
    • Bezpečnost zpracovávání Článek 30 1. S ohledem na stav techniky a náklady provedenípřijmou správce a zpracovatel vhodná technická aorganizační opatření, aby zajistili úroveňbezpečnosti, která bude odpovídat rizikům vyplývajícím zezpracování a z povahy osobních údajů, jež mají býtchráněny. 2. Správce a zpracovatel přijmou po vyhodnocení rizikopatření podle odstavce 1, aby ochránili osobní údaje přednáhodným či nepovoleným zničením nebo před náhodnouztrátou a aby předešli jakýmkoli nepovoleným formámzpracování, zejména nedovolenému sdělování či šířeníosobních údajů, přístupu k nim nebo jejich pozměnění.
    • Ohlašování případů narušeníbezpečnosti osobních údajůorgánu dozoru Článek 31 1. Dojde-li k narušení bezpečnosti osobníchúdajů, správce jej ohlásí orgánu dozoru, a to bezzbytečného odkladu, a je-li to možné, nejpozději do 24hodin od chvíle, kdy toto narušení zjistil. Pokud nenípřípad ohlášen orgánu dozoru do 24 hodin, k ohlášeníje třeba připojit odůvodnění.
    • Elektronické komunikace §88 v případě porušení ochrany osobních údajůfyzické osoby je povinen podnikatel poskytujícíveřejně dostupnou službu elektronických komunikacíoznámit bez zbytečného odkladu tuto skutečnostÚřadu pro ochranu osobních údajů. Toto oznámeníobsahuje popis důsledků porušení ochrany a technickáochranná opatření, která podnikatel přijal, nebonavrhuje přijmout.
    • Jmenování inspektora ochranyúdajů Článek 35 1. Správce a zpracovatel jmenují inspektora ochranyúdajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci čiveřejnoprávní subjekt nebo b) zpracování provádí podnik zaměstnávající 250 či víceosob nebo c) hlavní činnost správce nebo zpracovatele spočívá vezpracovávání údajů, která kvůli své povaze, rozsahu a/neboúčelu vyžadují pravidelné a systematické sledovánísubjektů údajů.
    • Kontrolující jsou povinni prokázat se kontrolovanému průkazem, jehož vzor upravínařízení vlády, oznámit kontrolovanému zahájení kontroly, šetřit práva a právem chráněné zájmy kontrolovaných, předat neprodleně převzaté doklady, jakož i kopiepaměťových médií kontrolovanému, pominou-li důvodyjejich převzetí, řádně ochraňovat zajištěné doklady proti jejichztrátě, zničení, poškození nebo zneužití, pořizovat o výsledcích kontroly kontrolní protokol
    • Kontrolující jsou povinni povinností kontrolujících je seznámit kontrolované sobsahem kontrolního protokolu a předat jim jehostejnopis. Seznámení s kontrolním protokolem a jehopřevzetí potvrzují kontrolovaní podpisem kontrolníhoprotokolu. Odmítne-li kontrolovaný seznámit se skontrolním protokolem nebo toto seznámenípotvrdit, vyznačí se tyto skutečnosti v kontrolnímprotokolu.
    • Inzertní portál - příklad1. provozovatel (správce) serveru2. provozovatel (správce) inzertní aplikace3. klienti
    • Inzertní portál Inzertní aplikace jsou provozovány za účelem zveřejněníúdajů, které někdy přímo, většinou však nepřímoidentifikují či umožňují identifikaci osob nabízejících čipoptávajících nějaké zboží či službu. Účel a prostředky jsou, jak z uvedenéhovyplývá, stanoveny provozovatelem této aplikace. Provozovatel nemá možnost aktivně prověřovatsprávnost všech vkládaných údajů, měl by všaksamostatně odstranit ty údaje, které zjevně porušujíprávní předpisy a na základě upozornění také ostatní(zejména pokud půjde o nepřesné či nepravdivé údaje).
    • Inzertní portál Když subjekt údajů zjistí, že některý z inzerátů mu působíújmu tím, že uvádí jeho osobní údaje bez jeho souhlasu či, žejsou v inzerátu uvedeny údaje nepřesné, může naprovozovateli portálu, v souladu s 21 ZOOU, požadovatodstranění či opravení zveřejněné informace. Provozovateléinzertních portálů by měli, v souladu se svým postavenímsprávců osobních údajů, doplnit své obchodní podmínky o tytoinformace a zavést opatření umožňující se jednoduchýmzpůsobem domoci příslušných úprav. Informace o zpracováníosobních údajů by měla být uvedena na portálu v přehlednéformě. Subjekt údajů, který se bude domáhat nápravy dle 21ZOOU, bude však muset prokázat, že je skutečně touosobou, které je zveřejněnou informací dotčena.
    • Děkuji za pozornostIng. Miloš Šnytrmilos.snytr@uoou.cz