1) Jakým způsobem máte právně ošetřeno sdílení citlivých dat uvnitř společnosti?

SYLVA FLORÍKOVÁ

MANAŽERKA COMPLIANCE, KOMERČNÍ BANKA

1) Komerční banka (KB) se při zpracování klientských údajů řídí zákony České republiky. KB zavedla prostřednictvím vnitřních předpisů přísná pravidla jednání jejích zaměstnanců, která zajišťují bezpečnost klientských údajů v souladu s principy bankovního tajemství, mlčenlivosti a ochrany osobních údajů. Hlavním pilířem principů pro sdílení informací v rámci KB je pravidlo "need-to-know". Pro zaměstnance to znamená, že veškeré údaje, které požadují nebo které nahlížejí v informačních systémech KB, musí být nezbytně nutné k výkonu jejich pracovních povinností a mají povinnost zdokumentovat a vysvětlit účel, pro který byly údaje nezbytné. KB předává údaje o klientech třetím osobám jen v případech vymezených zákonem nebo na základě souhlasu klienta. I v těchto případech však KB předává údaje jen v nezbytně nutném rozsahu a za dodržení dalších podmínek stanovených zákonem. Problematice ochrany údajů je věnována pozornost také v oblasti vzdělávání formou školení nebo specializovaných upozornění a vybrané postupy podléhají kontrole nezávislých útvarů. KB může rovněž zpracovávat klientské údaje prostřednictvím smluvních partnerů. Tito partneři musí splňovat přísné požadavky KB na ochranu údajů a mlčenlivosti, čímž KB zajišťuje důvěrnost těchto informací a jejich ochranu.

JAROSLAV VYSTRK

VEDOUCÍ ODDĚLENÍ PRÁVNÍCH ZÁLEŽITOSTÍ, ARCELORMITTAL OSTRAVA

1) V naší společnosti máme ochranu obchodního tajemství upravenou v interních předpisech, stejně jako nakládání s osobními údaji. Všichni zaměstnanci jsou pak periodicky v tříletém intervalu proškolováni o ochraně osobních údajů a nakládání s nimi stejně jako o ochraně obchodního tajemství. Na základě proškolení zaměstnanci také podepisují dokument nazvaný "Prohlášení o mlčenlivosti dle ustanovení § 17 Obchodního zákoníku" a "Souhlas zaměstnance se zpracováním, shromažďováním a uchováváním osobních údajů". Tyto dokumenty se pak stávají součástí osobních spisů zaměstnanců. Jako součást nadnárodní korporace máme taktéž implementovány tzv. "Binding corporate rules" v souladu s evropskou legislativou pro předávání osobních údajů a dále má společnost smluvně ošetřeno i předávání osobních údajů mimo území Evropské unie na základě "Data Transfer Agreement". Co se týká předávání osobních údajů v rámci Evropské unie, v této oblasti se rovněž řídíme příslušnými interními předpisy a právními předpisy Evropského společenství.

TOMÁŠ CHLOUPEK

ČLEN PŘEDSTAVENSTVA, APS HOLDING SE

1) Na kontrolu přenosu a sdílení citlivých dat v rámci společnosti APS Holding SE je s ohledem na předmět naší obchodní činnosti, kterým jsou investice, valuace, analýzy a další činnosti, kladen vysoký důraz. Z uvedeného důvodu jsme se již v minulosti rozhodli absolvovat certifikační proces podle mezinárodní normy ISO/IEC 27001:2005, která definuje požadavky na zavedení systému řízení bezpečnosti dat a informací. Součástí uvedeného certifikačního procesu byla detailní definice rizik napadení, poškození a zneužití informací a to jak v rámci společnosti, tak i pro případ vnějšího napadení. Byl přijat soubor interních pravidel a předpisů pro efektivní řízení a omezování případných hrozeb, opatření a požadavků k zajištění ochrany a bezpečnosti všech důležitých aktiv a dat společnosti, tj. informací (včetně informací osobní povahy), know-how, majetku a osob. Systém lze dle našeho názoru a zkušeností považovat za komplexní řešení ochrany informací, osob a majetku při jejich oběhu, zpracování a využívání s ohledem na jejich dostupnost, úplnost a utajení.

Související