Stručně: Paragraf stanovuje, že orgány spravující osobní údaje musí přijmout organizační a technická opatření k jejich zabezpečení, a to v míře odpovídající povaze a riziku zpracování.
§ 40 Zabezpečení zpracování osobních údajů
(1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování.
(2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby
a) tyto osobní údaje zabezpečil před neoprávněným přístupem, přenosem, změnou, zničením, ztrátou, odcizením, zneužitím nebo jiným neoprávněným zpracováním,
b) zajistil obnovitelnost těchto osobních údajů,
c) zajistil možnost určit a ověřit osobu, která tyto osobní údaje vložila nebo které byly prostřednictvím zařízení pro přenos údajů předány nebo zpřístupněny,
d) zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a
e) zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování.
(3) Povinnosti spravujícího orgánu stanovené v odstavcích 1 a 2 platí pro zpracovatele obdobně.
Výklad
Stručně
Paragraf stanovuje, že orgány spravující osobní údaje musí přijmout organizační a technická opatření k jejich zabezpečení, a to v míře odpovídající povaze a riziku zpracování.
Co to znamená v praxi
Spravující orgán musí zajistit, aby osobní údaje byly chráněny před neoprávněným přístupem, změnou, zničením nebo jiným zneužitím.
Pokud jsou údaje zpracovávány automatizovaně, je nutné zajistit jejich obnovitelnost a možnost ověřit, kdo s nimi manipuloval.
Musí být zajištěna bezpečnost a spolehlivost informačního systému, který osobní údaje obsahuje.
Tyto povinnosti platí obdobně i pro zpracovatele osobních údajů, tedy pro ty, kdo údaje zpracovávají jménem spravujícího orgánu.
Na co si dát pozor
Úroveň zabezpečení musí odpovídat konkrétní povaze, rozsahu, okolnostem, účelu a riziku zpracování dat, což znamená, že ne pro všechna data platí stejná míra zabezpečení.
Je důležité zajistit, aby nedošlo k neoprávněnému přístupu k nosičům dat nebo zařízením používaným k jejich zpracování.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.