, neboli zákon č. 101/2000 Sb. ve svém § 13 definuje zajímavou povinnost pro správce a zpracovatele osobních údajů (což je mimo jiné právě DPP). Doslova se v něm píše: (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. (3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány. Tedy přeloženo do jazyka běžných smrtelníjů jde o to, že DPP musí učinit taková opatření, aby revizoři nemohli zneužít vaše osobní údaje. Což samozřejmě dělají, ale zde vidíte, že je to v prvé řadě chyba (a odpovědnost) DPP. Sankce za nedodržení jsou pak definované níže v § 45: (1) Právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)], c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)], d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)], e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9), f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11), g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a § 21), h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13), i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a § 27), j) nevede přehled případů porušení ochrany osobních údajů podle § 88 odst. 7 zákona o elektronických komunikacích. (2) a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo b) poruší povinnosti pro zpracování citlivých údajů (§ 9). (3) Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000 000 Kč. (4) Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000 000 Kč. ...jen je škoda, že vybrané peníze budou rozkradeny v rámci rozpočtu, ale i tak mám dojem, že zásah je to více než citelný a rozhodně mediálně zajímavý, navrch si DPP napříště VELMI ohlídá, aby se revizoři chovali korektně. Což je samozřejmě první krok k celkové kultivaci divokého východu v pražské hromadné dopravě. |
|
|