Práce se zabývá institutem porušení zabezpečení osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů a jeho vývojem po účinnosti českého zákona o zpracování osobních údajů. Pozornost je věnována nejasnému vymezení subjektů, na které dopadá výjimka ze správního trestání za porušení nařízení a poměru incidentů podléhajících pouhé interní evidenci a těch, které je nutné ohlašovat. Práce se dále snaží odpovědět na otázku, zda zakotvení výjimky ze správního trestání nevedlo k méně aktivnímu přístupu či snad rezignaci těchto subjektů v oblasti zpracování osobních údajů ve veřejné správě. Kromě výkladu relevantních ustanovení a dokumentů obsahuje práce i rozbor konkrétních dat získaných od vybraných subjektů a Úřadu pro ochranu osobních údajů, která ukazují, že se situace různí. Většina dotazovaných neeviduje žádný případ porušení zabezpečení, a u těch, kteří incidenty evidují, jsou tendence rozdílné.
Anotace v angličtině
The thesis deals with the institute of personal data breach in sense of the general data protection regulation and with its evolution after the Czech Personal Data Processing Act came into force. Attention is paid to the unclear definition of entities that are covered by the exemption from administrative punishment for violation of the regulation and the ratio of incidents subject to mere internal records and those that must be notified. The thesis also tries to answer the question whether the enshrinement of the exemption from administrative punishment did not lead to a less active approach or perhaps the resignation of these entities in the field of personal data processing in public administration. In addition to the interpretation of relevant provisions and related documents, the work also contains an analysis of specific data obtained from selected entities and the Office for Personal Data Protection, which show that the situation differs. Most respondents do not document any data breaches, and the trends are different for those who do.
personal data protection, public administration, GDPR, personal data breach, public authority, public entity, notification of a personal data breach, communication of a personal data breach, security incidents documents
Rozsah průvodní práce
46 s. (77 035 znaků)
Jazyk
CZ
Anotace
Práce se zabývá institutem porušení zabezpečení osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů a jeho vývojem po účinnosti českého zákona o zpracování osobních údajů. Pozornost je věnována nejasnému vymezení subjektů, na které dopadá výjimka ze správního trestání za porušení nařízení a poměru incidentů podléhajících pouhé interní evidenci a těch, které je nutné ohlašovat. Práce se dále snaží odpovědět na otázku, zda zakotvení výjimky ze správního trestání nevedlo k méně aktivnímu přístupu či snad rezignaci těchto subjektů v oblasti zpracování osobních údajů ve veřejné správě. Kromě výkladu relevantních ustanovení a dokumentů obsahuje práce i rozbor konkrétních dat získaných od vybraných subjektů a Úřadu pro ochranu osobních údajů, která ukazují, že se situace různí. Většina dotazovaných neeviduje žádný případ porušení zabezpečení, a u těch, kteří incidenty evidují, jsou tendence rozdílné.
Anotace v angličtině
The thesis deals with the institute of personal data breach in sense of the general data protection regulation and with its evolution after the Czech Personal Data Processing Act came into force. Attention is paid to the unclear definition of entities that are covered by the exemption from administrative punishment for violation of the regulation and the ratio of incidents subject to mere internal records and those that must be notified. The thesis also tries to answer the question whether the enshrinement of the exemption from administrative punishment did not lead to a less active approach or perhaps the resignation of these entities in the field of personal data processing in public administration. In addition to the interpretation of relevant provisions and related documents, the work also contains an analysis of specific data obtained from selected entities and the Office for Personal Data Protection, which show that the situation differs. Most respondents do not document any data breaches, and the trends are different for those who do.
personal data protection, public administration, GDPR, personal data breach, public authority, public entity, notification of a personal data breach, communication of a personal data breach, security incidents documents
Zásady pro vypracování
Práce si klade za cíl zmapovat požadavky obecného nařízení o ochraně osobních údajů na postup při porušení zabezpečení osobních údajů podle čl. 33 a 34 obecného nařízení. Bude zkoumáno, jak porušení zabezpečení osobních údajů identifikovat a kdy a jak ho následně hlásit příslušným subjektům. Celá problematika bude zkoumána ve vztahu k veřejné správě. Bude zjišťována četnost porušení zabezpečení ve veřejné správě, jejich charakter a příčiny a na jejich základě případně doporučena opatření.
Zásady pro vypracování
Práce si klade za cíl zmapovat požadavky obecného nařízení o ochraně osobních údajů na postup při porušení zabezpečení osobních údajů podle čl. 33 a 34 obecného nařízení. Bude zkoumáno, jak porušení zabezpečení osobních údajů identifikovat a kdy a jak ho následně hlásit příslušným subjektům. Celá problematika bude zkoumána ve vztahu k veřejné správě. Bude zjišťována četnost porušení zabezpečení ve veřejné správě, jejich charakter a příčiny a na jejich základě případně doporučena opatření.
Seznam doporučené literatury
Hendrych, D. a kol. (2016). Správní právo. Obecná část (9. vyd.). Praha: C. H. Beck.
Maldoff, B. The Risk-Based Approach in the GDPR: Interpretation and Implications. Dostupné z: https://iapp.org/media/pdf/resource_center/GDPR_Study_Maldoff.pdf.
Melotíková, P. (2018). Ochrana osobních údajů v rámci veřejné správy. Praha: Leges.
nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Úřední věstník. L119, 4. 5. 2016, s. 1 88. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=celex%3A32016R0679.
Nulíček, M., Donát, J., Nonnemann F., Lichnovský, B., Tomíšek, J. (2017). GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR.
Seznam doporučené literatury
Hendrych, D. a kol. (2016). Správní právo. Obecná část (9. vyd.). Praha: C. H. Beck.
Maldoff, B. The Risk-Based Approach in the GDPR: Interpretation and Implications. Dostupné z: https://iapp.org/media/pdf/resource_center/GDPR_Study_Maldoff.pdf.
Melotíková, P. (2018). Ochrana osobních údajů v rámci veřejné správy. Praha: Leges.
nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Úřední věstník. L119, 4. 5. 2016, s. 1 88. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=celex%3A32016R0679.
Nulíček, M., Donát, J., Nonnemann F., Lichnovský, B., Tomíšek, J. (2017). GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR.