GDPR Academy

Nedostatky v zabezpečení a v riadnom výkone práv cestovnej kancelárie

Popis problému, ktorý vznikol

Cestovnej kancelárii bola uložená pokuta za porušenie pravidiel ochrany osobných údajov vo výške 6500 eur. Nedostatky sa týkali oblasti výkonu práv dotknutých osôb a oblasti bezpečného spracúvania osobných údajov.

Zákazník cestovnej kancelárie sa obrátil na Kanceláriu ombudsmana s podozrením na nedodržiavanie pravidiel GDPR prevádzkovateľom.

Prevádzkovateľ – cestovná kancelária získavala osobné údaje potrebné pre víza prostredníctvom elektronického formulára, ktorý bol umiestnený na jej webovom sídle. Získavanie údajov však prebiehalo prostredníctvom nešifrovaného protokolu. Následne bola žiadosť o vydanie víza uložená vo formáte PDF na webovom serveri, ktorý nebol dostatočne zabezpečený. Žiadosti o vydanie víz obsahovali mená, priezviská, kontaktné údaje dotknutých osôb a čísla pasov.

Dotknutá osoba si uplatnila právo na výmaz jej osobných údajov, prevádzkovateľ však požiadavke nevyhovel.

Celý dokument si môžete prečítať na adrese: https://tietosuoja.fi/en/-/administrative-fine-imposed-on-travel-agency-for-data-protection-violations

Čo urobiť, aby ste sa neocitli v rovnakej situácii?

Z pohľadu zodpovednosti rozlišujeme cestovnú kanceláriu a cestovnú agentúru. Jedna z nich je v pozícii prevádzkovateľa a druhá sprostredkovateľa. Jeden aj druhý subjekt musí prijať dostatočné technické a personálne opatrenia pre zabezpečenie ochrany osobných údajov. Jedným z nich je aj získavanie osobných údajov v bezpečnom prostredí, a to napríklad s využitím šifrovaného protokolu “https”. Je preto už akýmsi bezpečnostným štandardom, že internetové stránky, prostredníctvom ktorých dochádza aj k získavaniu údajov, týmto protokolom disponujú. 

Výkon práv dotknutých osôb je dôležitou kapitolou všeobecného nariadenia o ochrane údajov. O aké práva ide si nájdete v čl. 12 až čl. 23 GDPR. Osobitne právu na výmaz resp. právu “na zabudnutie” je venovaný čl. 17. Keď obdržíte žiadosť dotknutej osoby ste povinný do 30 dní žiadosť posúdiť a náležite vybaviť. V osobitných prípadoch si môžete lehotu predĺžiť. Každá vaša oprávnená osoba by mala byť pripravená žiadosť prevziať a následne odovzdať kompetentnému pracovníkovi (napríklad vášmu špecialistovi pre ochranu osobných údajov). V žiadnom prípade nedovoľte, aby žiadosť skončila v šuflíku alebo v koši bez toho, aby nebola dotknutá osoba informovaná o jej výsledku. V opačnom prípade riskujete, že sa dotknutá osoba obráti na Úrad na ochranu osobných údajov.

Kde v GDPR Academy nájdete jednoduché vysvetlenie, ako to urobiť?

Rozdiel medzi prevádzkovateľom a sprostredkovateľom nájdete v 1. lekcii online kurzu GDPR pre firmy a organizácie. Ako je to s výkonom práv, čomu vyhovieť a čomu nie, kedy dotknutú osobu informovať a kedy si môžete lehotu predĺžiť nájdete v 6. lekcii. 

Vaše oprávnené osoby si zaviažete pokynmi v samostatnom online kurze GDPR pre oprávnenú osobu. Je určený pre pracovníkov, ktorí pri výkone svojich pracovných povinností spracúvajú osobné údaje. 

Aby bol vo vašej firme prehľad, ako výkon práv dotknutých osôb zabezpečiť, prevezmite si špeciálnu bezpečnostnú smernicu, ktorá je určená práve na to.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top