Problematika ochrany osobních údajů 02/23

V následujícím přehledu vás seznámíme s nedávnými rozhodnutími Úřadu pro ochranu osobních údajů (ÚOOÚ), závěry provedených kontrol a s dalšími novinkami v oblasti ochrany osobních údajů.

O dalších informacích z oblasti právní ochrany osobních údajů budeme informovat v dalším vydání tohoto přehledu, nebo v právních aktualitách, které pravidelně vydáváme.

Za období roku 2022 řešil Úřad pro ochranu osobních údajů (dále jen „Úřad“) více než 900 stížností podaných v souvislosti se zasíláním obchodních sdělení. V následujícím shrnutí uvádíme několik podstatných závěrů z proběhlých kontrol:

  • Častým pochybením u zasílání obchodních sdělení bývá absence platného souhlasu se zasíláním obchodních sdělení registrovaných uživatelů (jedná-li se o webový portál). Neplatnost souhlasu je zejména v tom, že takový souhlas je „vynucený“, kdy se bez jeho udělení není možné do webového portálu registrovat. Souhlasy bývají často vymezeny jako „neomezený souhlas“ se zasíláním obchodních sdělení.

Obdobné platí v případě, pokud je souhlas začleněný např. v obchodních podmínkách. Zakoupení určité služby zákazníkem je v tomto případě podmíněné souhlasem s obchodními podmínkami. Z pohledu obecného nařízení (GDPR) se v tomto případě nejedná o svobodně udělený souhlas a je neplatný.

Jednoduchým řešením pro získání platného souhlasu může být správná aplikace zaškrtávacího políčka s možností (ne)udělení souhlasu se zasíláním obchodních sdělení při realizaci nákupu služby zákazníkem.

  • Neméně častým pochybením bývá porušení tzv. náležitostí obchodních sdělení při elektronickém šíření poštou. Mezi tyto náležitosti patří zejména: 1) zřetelné a jasné označení, že se jedná o obchodní sdělení; 2) označení totožnosti odesílatele, jehož jménem se komunikuje a 3) zasílání obchodních sdělení platnou adresou, na kterou může adresát obratem sdělit, že si nadále nepřeje, aby mu byla obchodní sdělení zasílaná.
  • V jiném konkrétním případě byla kontrolované osobě (odesílateli obchodních sdělení) uložená sankce za rozesílání nevyžádaných obchodních sdělení stěžovatelům, kteří s takovým zasíláním neposkytli souhlas a na webových stránkách odesílatele se neregistrovali.

Odesílatel tvrdil, že e-mailové adresy získal z veřejných zdrojů a stěžovatelé tak nejsou jeho zákazníky – proto od nich souhlas k zasílání obchodních sdělení nemohl nezískat.
I v tomto případě se však dle závěru Úřadu jedná o porušení zákonné povinnosti mít prokazatelně k dispozici předchozí souhlas uživatelů a jejich elektronický kontakt (byť získán z veřejných zdrojů) využili za účelem šíření obchodních sdělení.

  • Úřad dále v souvislosti s výjimkou oslovení s nabídkou bez souhlasu, která se vztahuje na zákazníky obchodní společnosti (§ 7 odst. 3 zákona č. 480/2004 Sb., o některých službách informační společnosti), připomíná, že tato výjimka se vztahuje pouze na zákazníky dané společnosti, která získala jejich údaje v souvislosti s prodejem zboží či služeb a nabízela skrze obchodní sdělení vlastní či obdobné výrobky či služby.

Výjimka se však nevztahuje na zákazníky jiné společnosti, a to ani v případě, kdy spolu tyto společnosti sdílí společnou marketingovou databázi a jednatelé těchto společností jsou rodinnými příslušníky. Údaje musí společnosti získat přímo od svých zákazníků, nikoli z veřejně dostupných zdrojů (např. rejstříků).

Zákaznická data pro účely marketingového oslovení nemohou sdílet mezi více společnostmi, pokud k tomu zákazníci daných společností neudělili výslovný souhlas.
I pro tuto výjimku platí předpoklad, že zákazník musí mít vždy možnost jednoduchým způsobem, zdarma nebo na účet této obchodní společnosti souhlas s využitím svého elektronického kontaktu pro účely zasílání obdobných nabídek odmítnout.

Úřad provedl společně s Českým úřadem zeměměřičským a katastrálním (ČÚZK) kontrolu zpracování osobních údajů u osoby, která poskytovala služby mj. založené na zpracování katastrálních dat.

Přestože kontrolovaná osoba odmítla, že by byla v postavení správce – ze svých serverů vymazala software, který zajišťoval provoz služeb, které byly předmětem kontroly a všechna s ním související data, Úřadu se v datech extrahovaných od poskytovatele softwaru podařilo nalézt 427 300 rodných čísel.

Úřad také vyhodnotil postavení kontrolované osoby jako správce, protože zjistil, že kontrolovaná osoba nevyužívala osobní údaje dostupné skrze oficiální dálkový přístup do katastru nemovitostí, ale údaje z vlastní databáze, ze kterých získávala data pro své klienty, kteří využívali jejích služeb.

Úřad zjistil v dané věci četná porušení obecného nařízení o ochraně osobních údajů (GDPR), jmenovitě informační povinnosti ve vztahu k subjektům, údajů o podmínkách zpracovávání jejich osobních údajů, povinnosti předložit podklady dokládající plnění opatření přijatá v souvislosti s provozem databáze a povinnosti vést záznamy o činnostech zpracování.

ÚOOÚ v této souvislosti dále poukazuje na to, že smazáním softwaru a v něm obsažených osobních údajů nezprostí správce odpovědnosti. Správce je totiž i poté odpovědný za to, aby doložil soulad prováděného zpracování osobních údajů s GDPR. Nedoloží-li ho, dopustí se porušení GDPR, za což mu hrozí pokuta.

ÚOOÚ provedl kontrolu u obecně prospěšné společnosti poskytující sociální služby, u které došlo k neoprávněnému vstupu do prostor nezabezpečených kamerovými systémy ani systémem detekce pohybu, kde byly umístěné buňky, ze kterých byly odcizené počítače používané k registraci klientů kontrolované osoby.

Z vedlejší místnosti (serverovny) pak byl odcizen serverový počítač. Jeden z odcizených notebooků obsahoval hardware s instalovaným přihlašovacím rozhraním do vzdálených databází.

Po zjištěném bezpečnostním incidentu přijala společnost opatření v podobě blokace přihlašovacího protokolu do vzdálené databáze. Incident byl společností ohlášen na policii. Při šetření policií byly odcizené notebooky nalezeny. ÚOOÚ poté provedl analýzu nalezených počítačů. Dva notebooky nesly znaky reinstalace a nebyly v nich identifikované soubory s osobními údaji. Ve třetím notebooku však bylo velké množství osobních údajů klientů. Údaje bylo možné získat z aktuální databáze i uložených záloh databáze informačního systému.

Úřad také zjistil, že k souborům, které byly v odcizeném počítači, nebylo vyžadováno ověření uživatele a současně nebyly šifrované. Bylo konstatováno, že přístup k osobním údajům mohl získat každý, kdo měl po odcizení počítačů k zařízení přístup.

ÚOOÚ v daném případě zjistil, že nebyla přijatá vhodná technická a organizační opatření k zabezpečení osobních údajů, dále ve lhůtě nebylo nahlášené porušení zabezpečení osobních údajů a nebyl uveden důvod opožděného ohlášení. Také nedošlo k ohlášení porušení zabezpečení dotčeným subjektům údajů a ani nebyl jmenován pověřenec pro ochranu osobních údajů, i když docházelo ke zpracování zvláštní kategorie osobních údajů a zpracování bylo rozsáhlé.

ÚOOÚ zahájil kontrolu zdravotnického zařízení na základě obdržené stížnosti obsahující podezření na porušení zabezpečení osobních údajů v souvislosti s hackerským útokem. Cílem mělo být zašifrování dat s následným vymáháním finanční částky.

ÚOOÚ po provedení kontroly zjistil, že kontrolovaná osoba porušila čl. 33 odst. 1 GDPR, když bez zbytečného dokladu, kdy se dozvěděla o porušení zabezpečení osobních údajů, neohlásila porušení ÚOOÚ.

Kontrolovaná osoba zároveň nedoložila, že by vhodným způsobem oznámila porušení zabezpečení osobních údajů subjektům údajů a její dokumentace o celém incidentu neobsahovala účinky daného porušení.

Kontrolovaná osoba podala proti kontrolním zjištěním námitky, ve kterých poukázala na to, že k hackerskému útoku došlo vlivem nedostatečného nastavení ochrany osobních údajů zpracovatelem, a současně byl v mezidobí nainstalován nový software.

ÚOOÚ však ve vyřízení námitek uvedl, že instalace opravy serverového softwaru nevyřeší situace, kdy server již byl kompromitován.

ÚOOÚ provedl kontrolu dodavatele online rezervačního systému očkování – předmětem bylo porušení zabezpečení osobních údajů, které spočívalo v chybě funkcionality webových stránek kontrolované osoby, která umožnila zobrazení čísla pojištěnce (a také rodného čísla) a jeho následný přenos do USA prostřednictvím nástroje pro získávání statistických dat Google Analytics.

ÚOOÚ po provedené kontrole uzavřel, že kontrolovaná osoba jako odborník neupozornila správce na nevhodnost pokynu k vytvoření systému, v rámci kterého URL adresa obsahovala číslo pojištence (rodné číslo) a tuto zpracovávala za současného použití služby Google Analytics. Došlo k úniku URL adres včetně čísel pojištenců v rozsahu cca 80 tisíc subjektů údajů.

Ve vymezeném období nebylo zpracování osobních údajů kontrolovanou osobou platné v souladu s GDPR, když se zpracování řídilo smlouvou, aniž by naplňovala atributy čl. 28 odst. 3 GDPR. Dále kontrolovaná osoba porušovala čl. 37 odst. 1 GDPR, kdy pro zpracování nejmenovala pověřence pro ochranu osobních údajů.

🟣Kontrola aplikací Tečka/čTečka

ÚOOÚ se ve své kontrolní činnosti zaměřil také na zpracování osobních údajů subjektu údajů v souvislosti s elektronickým certifikátem EU COVID-19, zpřístupněném na očkovacím portálu https://ocko.uzis.cz/, včetně aplikací „Tečka“ a „čTečka“.

Zjistil, že ministerstvo zdravotnictví jako kontrolovaná osoba porušilo GDPR, když v souvislosti s vydáváním původních certifikátů docházelo při načtení QR kódu čtečkou v mobilním zařízení ke zpřístupnění údaje o číslu pojištěnce držitele certifikátu a v aplikaci čTečka nebylo znemožněné pořizování screenshotu displeje. Tato skutečnost je v rozporu se smyslem aplikace, tedy ověření platnosti certifikátů, bez zanechání elektronické stopy s osobními údaji o ověření.

🟣Potvrzená miliónová pokuta pro ministerstvo vnitra

Ministerstvu vnitra byla uložena pokuta za plošné zpracování údajů o přibližně 2 000 000 osobách s onemocněním COVID-19, které se nakazily v období od 1. 4. 2021 do 8. 3. 2022, a kterým byla nařízena izolace.

Zákon o policii ČR neumožňuje plošné shromažďování takzvaných citlivých osobních údajů, ke kterým patří také informace o zdravotním stavu. Plošné zpracování takových informací s sebou nese velmi závažná rizika. Policie tím, že shromažďovala citlivá data plošně a bez vazby na konkrétní prošetřovaný případ, překročila pravomoci, které jí ukládá zákon. Shromažďování dat probíhalo navíc bez adekvátního informování dotčených osob, které je nezbytné proto, aby se dané osoby mohly proti neoprávněnému shromažďování bránit.

Policie měla před zahájením sběru osobních dat provést posouzení vlivu na ochranu osobních údajů a dále zamýšlený způsob shromažďování a zpracování údajů projednat s ÚOOÚ. Oba povinné kroky však neprovedla. Dle závěru Úřadu takové zpracování osobních údajů není možné.

Pokutu za přestupek bylo ministerstvu jako orgánu veřejné moci možné udělit na základě hlavy III. zákona o zpracovávání osobních údajů, která spadá do režimu trestně právní směrnice (Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016) a ukládání trestů veřejnoprávním subjektům nevylučuje. Za porušení povinnosti spravujícího orgánu je pak možné uložit pokutu až do výše 10 milionů korun.

Vzhledem k závažnosti přestupku a dalším okolnostem byla ministerstvu vyměřena adekvátní částka ve výši 975 000 Kč.

🟣Pokuty za zpracování osobních údajů prostřednictvím souborů cookies

Téměř dva roky platí nová úprava zákona o elektronických komunikací v souladu s evropskou úpravou zavádějící tzv. princip opt-in, tj. povinnost pro provozovatele internetových platforem získat výslovný souhlas uživatele s využíváním cookies pro zpracování jejich osobních údajů (cookies jsou textové soubory, které se na námi navštívené internetové stránce ukládají do našeho zařízení).

Úřad v uplynulém roce monitoroval zejména to, zda provozovatelé internetových platforem uvedli zpracování osobních údajů prostřednictvím souborů cookies do souladu s GDPR, neboť tím dochází ke zpracování velkého množství osobních údajů osob. V mnoha případech o tomto zpracování daný návštěvník webu nemusí vůbec vědět. Vypovídajícím výsledkem těchto kontrol bylo uložení pokut téměř ve výši 4,5 mil Kč v souhrnu.

Jaká nejčastější porušení Úřad v rámci těchto kontrol zjistil?

  • nejčastějším porušením navzdory nové právní úpravě bylo právě používání souborů cookies bez souhlasů návštěvníků internetových platforem – tj. bez jejich souhlasu se soubory cookies nahrávaly do jejich zařízení,
  • častým pochybením dále bývají nedostatky souhlasu se zpracováním osobních údajů, který by měl v souladu s GDPR být: předem udělený, svobodný, informovaný, jednoduše udělitelný a odvolatelný, prokazatelný a konkrétní (uživatel musí mít možnost (ne)udělit souhlas pro každý z účelů použití cookies),
  • pochybení Úřad také spatřuje v nedostatečném plnění informační povinnosti, nemožnosti souhlas odvolat, nesprávném umístění tlačítek „souhlas“ a „nesouhlas“ v cookies liště (tlačítka by měla být ve stejné vrstvě v rámci cookies lišty a výrazně se neodlišovat, aby nedocházelo k ovlivňování uživatele při udělování (ne)souhlasu),
    a dále i nedostatečné reagování cookies lišty na individuální nastavení zpracování osobních údajů nebo neumožnění či znesnadnění čtení webové stránky.

🟣Rámec ochrany soukromí (Data Privacy Framework)

K 10. 7. 2023 přijala Evropská komise rozhodnutí o odpovídající úrovni ochrany osobních údajů, kterým potvrzuje nový Rámec ochrany soukromí (Data Privacy Framework) mezi EU a USA.

Ten nahrazuje svého předchůdce „štít na ochranu soukromí“ (Privacy Shield), který umožňoval předávání osobních údajů do USA. Pro nedostatečnou úpravu ochrany proti zásahům do předávaných osobních údajů ze strany USA, byl však v roce 2020 Soudním dvorem Evropské unie zrušený. Po několikaletém jednání o novém štítu na ochranu soukromí, vstoupil od července 2023 v platnost rámec nový.

Jak bude nyní předávání osobních údajů do USA vypadat v praxi?

Evropská komise tímto rozhodnutím ve smyslu čl. 45 odst. 3 obecného nařízení o ochraně osobních údajů (dále jen „GDPR“) potvrzuje, že USA zajišťují odpovídající úroveň ochrany pro předávání osobních údajů mezi EU a společnostmi USA, která je srovnatelná s úrovní ochrany v EU. Pro dovozce osobních údajů to znamená, že pokud se daná americká společnost účastní programu Rámce ochrany soukromí (tj. prokázala soulad s požadavky na ochranu údajů, a zapsala se na oficiální seznam certifikovaných společností dle nového programu – https://www.dataprivacyframework.gov/s/), mohou realizovat předávání osobních údajů do USA za stejných podmínek jako v rámci Evropské unie (resp. Evropského hospodářského prostoru). Tedy bez nutnosti jiných doplňujících opatření (zejména použití nástrojů pro předávání dle čl. 46 GDPR).

Zjednodušeně lze říci, že pokud se americká společnost účastní nového Rámce ochrany soukromí, je pro účely předávání osobních údajů subjektů EU považovaná za bezpečnou.

V případě, že společnosti z USA v programu Rámce ochrany soukromí zapsané nejsou, je možné jim předávat osobní údaje pouze za použití některého z nástrojů dle čl. 46 GDPR, mezi které patří např. standardní smluvní doložky o ochraně osobních údajů či závazná podniková pravidla, přičemž vývozce bude nadále povinný provést vyhodnocení, zda daný nástroj skutečně poskytuje vhodné záruky ochrany pro předané údaje (tzv. Transfer Impact Assessment).

Evropská komise dále v provedeném posouzení došla u problematické otázky přístupu amerických orgánů veřejné moci k předaným osobním údajům k závěru, že tento přístup není v takovém rozsahu, který by šel nad nezbytný a přiměřený rámec toho, co je v demokratické společnosti obecně uznávané. I přes to je subjektům osobních údajů z EU daná možnost využít několik mechanismů nápravy jako je uplatnění stížnosti u příslušné organizace v USA, případně u svého národního úřadu pro ochranu osobních údajů. Pokud jsou dále jejich údaje shromažďované a využívané zpravodajskými službami USA, mohou se subjekty údajů z EU obrátit i na nově zřízený Soud pro přezkum ochrany údajů.

🟣Přehled základních otázek a odpovědí vztahujících se k Data Privacy Framework („DPF“)

Jak lze na základě DPF předávat osobní údaje do USA?

Od 10. 7. 2023 mohou být osobní údaje předávané z EU organizacím USA bez nutnosti použití nástrojů pro předávání (jako např. standardních doložek o ochraně osobních údajů, právně závazného a vymahatelného nástroje mezi subjekty a další, které jsou zakotveny v čl. 46 GDPR), a to za podmínky, že tyto americké organizace jsou zapsané v Seznamu rámce ochrany soukromí, který lze naleznout pod tímto odkazem Participant Search (dataprivacyframework.gov).

Jak předávat osobní údaje do USA, pokud dovozce dat není na Seznamu rámce ochrany soukromí?

Předávání je možné, ale pouze za splnění několika podmínek. Jelikož se na takové předávání Rozhodnutí o odpovídající ochraně nevztahuje, vyžaduje se pro jeho uskutečnění dodržování vhodných záruk ochrany osobních údajů, vymahatelná práva a účinná právní ochrana subjektů údajů – tedy soulad s článkem 46 GDPR, který zakotvuje tyto vhodné záruky:

  1. stanovení právně závazného a vymahatelného nástroje mezi orgány nebo subjekty veřejné moci;
  2. stanovení závazných podnikových pravidel;
  3. uplatnění standardních doložek o ochraně osobních údajů;
  4. schválení kodexu chování spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele;
  5. schválení mechanismu pro vydání osvědčení o ochraně údajů;
  6. dále také stanovení smluvních doložek mezi smluvními stranami;
  7. zavedení ustanovení určených k vložení do správních ujednání mezi orgány nebo subjekty veřejné moci, která zahrnují vymahatelná a účinná práva subjektů údajů.

Platí, že veškeré záruky zavedené vládou USA v oblasti národní bezpečnosti, se vztahují na všechny údaje předávané do US bez ohledu na použitý nástroj pro předávání.

Jakým způsobem mohou subjekty údajů v EU podávat stížnosti?

Odvolání fyzických osob, které byly dotčeny nedodržením zásad ochrany soukromí a sankce pro organizace, které se těmito zásadami neřídí, jsou nápravné mechanismy zajišťující dodržování těchto zásad.

V rámci nich pak rozhodují nezávislé odvolací mechanismy, a to bezplatně s možností přiznání náhrady škody. Odvolací mechanismy musí splňovat požadavky zásady odvolací, prosazovací a odpovědnosti. Mimo jiné musí bez zbytečného odkladu reagovat na stížnosti na dodržování zásad, které jim byly postoupené skrze ministerstvo jednotlivými úřady členských států EU.

Odpověď na stížnost by měla uvádět, zda je stížnost opodstatněná, a jak organizace daný problém napraví. Opravné prostředky musí být pro fyzické osoby snadno dostupné a bezplatné a informovat je o dalším postupu při řešení sporu. V rámci odvolacího řízení může dojít k využití opravných prostředků a sankcí spočívajících v odstranění nebo nápravě vadného stavu a zajištění budoucího souladu zpracování s těmito zásadami. Případně může dojít také k ukončení zpracování osobních údajů stěžovatele.

Jak využít nový mechanismus nápravy v oblasti národní bezpečnosti?

Subjekty údajů v EU mohou podat stížnost ke svému národnímu úřadu pro ochranu osobních údajů (ÚOOÚ). Ten zajistí postoupení stížnosti EDPB (Evropský sbor pro ochranu osobních údajů), který ji následně odešle úřadům v USA příslušným k vyřízení stížnosti. Subjekt by měl obdržet informaci o dalším postupu vyřizování stížnosti, a to včetně výsledků vyřízení podané stížnosti. Podmínkou přípustnosti stížností není povinnost doložit, že údaje stěžovatele byly shromažďovány zpravodajskými službami USA.

Uskuteční se v budoucnu přezkum Rozhodnutí o odpovídající ochraně?

Ano, první přezkum Rozhodnutí o odpovídající ochraně proběhne rok po vstupu tohoto rozhodnutí v platnost. Dále se předpokládá, že se následné přezkumy uskuteční nejméně jednou za čtyři roky.

🟣Směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společenské úrovně kybernetické bezpečnosti v Unii (NIS2)

Návrh nového zákona o kybernetické bezpečnosti a jeho vyhlášky transponují do českého právního řádu směrnici NIS2, která přináší zásadní změny v oblasti kyberbezpečnosti. Nyní máme k dispozici verzi návrhu zákona, který byl předložen do mezirezortního připomínkového řízení. Lze tedy očekávat, že v rámci legislativního procesu dojde ještě k dalším změnám.

Transpoziční lhůta směrnice požaduje účinnost zákona k 18. říjnu 2024. Dle průběhu legislativního procesu předpokládáme účinnost zákona koncem roku 2024.

Na koho dopadne nový zákon o kybernetické bezpečnosti?

Zákon dopadne na poskytovatele regulovaných služeb. Jejich výčet je možné nalézt ve vyhlášce o regulovaných službách. U regulovaných služeb se dále určuje režim nižších či vyšších povinností.

Jaké hlavní povinnosti ze zákona plynou?

  1. Do 30 dnů, kdy subjekt zjistí, že naplnil kritéria pro identifikaci regulované služby, je povinen se registrovat prostřednictvím Portálu NÚKIB. NÚKIB následně pošle subjektu vyrozumění o zápisu regulované služby,
  2. Do 30 dnů od doručení vyrozumění o zápisu regulované služby musí subjekt nahlásit kontaktní údaje prostřednictvím Portálu NÚKIB,
  3. Subjekt definuje rozsah řízení kybernetické bezpečnosti v organizaci. Pokud subjekt nestanoví rozsah, má se za to, že v rozsahu je celá služba,
  4. Subjekt je povinen nejpozději do 1 roku od doručení vyrozumění o zápisu regulované služby od NÚKIB zavést bezpečnostní opatření. Opatření mají být zavedena podle režimu, ve kterém je služba určena,
  5. Subjekt hlásí kybernetické bezpečnostní incidenty prostřednictvím Portálu NÚKIB podle režimu, ve kterém je služba určena,
  6. Subjekt má informovat zákazníky o incidentech a hrozbách,
  7. Subjekt je povinen provádět úkony uvedené v protiopatření vydaných NÚKIB a oznámit NÚKIB výsledek,
  8. Vybrané strategicky významné služby musí plnit povinnosti z mechanismu bezpečnosti dodavatelského řetězce, jako je zjišťovat a evidovat informace o dodavatelích bezpečnostně významných dodávek,
  9. Strategicky významné služby musí zajistit dostupnost v nezbytném rozsahu, ve stanoveném čase a kvalitě z území České republiky.

Jak bude vypadat proces hlášení kybernetických bezpečnostních incidentů?

Poskytovatelé regulovaných služeb mají 1 rok od registrace přes Portál NÚKIB na to, aby začali hlásit incidenty. Proces hlášení incidentů potom záleží na druhu režimu, do kterého služba spadá.

Povinná osoba ve vyšším režimu musí hlásit NÚKIB všechny incidenty, které mají původ v kybernetickém prostoru a zároveň u nich nelze vyloučit úmyslné zavinění. V nižším režimu je nutné hlásit Národnímu CERT všechny incidenty, které mají původ v kybernetickém prostoru, mají významný dopad a zároveň u nich nelze vyloučit úmyslné zavinění.

Prvním krokem po zjištění incidentu by mělo být takzvané prvotní hlášení. To by měl udělat subjekt do 24 hodin po zjištění incidentu. Hlášení by mělo obsahovat identifikační údaje organizace, základní údaje o incidentu, zda byl způsoben nezákonným zásahem a zda by mohl mít přeshraniční dopad. Na základě toho sdělí NÚKIB poskytovateli ve vyšším režimu, jestli má incident významný dopad. Pokud nemá, tak tím proces pro ohlašovatele končí.

V ostatních případech musí subjekt podat oznámení do 72 hodin po zjištění incidentu. Oznámení by mělo obsahovat prvotní posouzení incidentu, dopad incidentu a indikátory kompromitace. Na výzvu NÚKIB nebo Národního CERT má subjekt povinnost vydat průběžnou zprávu. Zpráva musí obsahovat informace o podstatných změnách stavu zvládání incidentu. Nejpozději do 30 dnů od oznámení musí subjekt vydat závěrečnou zprávu, která má obsahovat podrobný popis incidentu, jeho závažnosti a dopadu, druh hrozby, pravděpodobnou příčinu incidentu, učiněná a probíhající opatřeni ke zmírnění následků a případný přeshraniční dopad incidentu. Pokud incident stále trvá, předloží organizace po uplynutí lhůty průběžnou zprávu o aktuálním stavu zvládání incidentu, a po jeho vyřešení nejpozději do 30 dnů závěrečnou zprávu o vyřešení incidentu.

Jak bude vypadat mechanismus prověřování dodavatelského řetězce?

Mechanismus dopadne na poskytovatele strategicky významných služeb, část systému, kterou si poskytovatelé sami určí jako kritickou, část systému, kterou úřad určí jako nepominutelnou a bezpečnostně významné dodávky směřující do IT.

Prověření bude zaměřené na existující dodavatele a jejich poddodavatele či potencionální dodavatele, kteří mají vliv na konečný produkt. Pokud Úřad zjistí významné ohrožení bezpečnosti České republiky nebo vnitřního či veřejného pořádku, může podle míry zjištěného rizika vydat varování, reaktivní protiopatření nebo opatření obecné povahy, kterým stanoví podmínky či úplně zakáže využití rizikového dodavatele.

🟣Zákon č. 171/2023 Sb., o ochraně oznamovatelů

Nový zákon o ochraně oznamovatelů má nabýt účinnosti 1. 8. 2023. Bude se vztahovat na subjekty s více než 50 zaměstnanci, obce s více než 10 tisíci obyvateli, veřejné zadavatele, orgány veřejné moci a ve vybraných oblastech i na některé další subjekty.

Zaměstnavatelé uvedení v zákoně o ochraně tzv. whistleblowerů jsou povinni mít od 1. 8. 2023 zprovozněný interní oznamovací systém, jehož prostřednictvím má být možné oznamovat vyjmenovaná protiprávní jednání. Zaměstnavatelé, kteří zaměstnávají od 50 do 249 zaměstnanců, mají lhůtu na implementaci interního oznamovacího systému prodlouženou až do 15. prosince 2023.

Smyslem systému má být ochraňovat identitu oznamovatelů protiprávního jednání, které má znaky trestného činu, přestupku, za nějž lze uložit pokutu s horní hranicí alespoň 100 tisíc korun, jednání porušujícího zákon o ochraně oznamovatelů anebo jiný právní předpis EU ve vymezených oblastech. Schválený zákon je tedy v řadě oblastí přísnější než evropská směrnice, protože umožňuje hlášení většího množství případů.

Přijetí a prošetření důvodnosti bude mít na starosti takzvaná příslušná osoba, která má působit nezávisle a nestranně. O výsledku šetření oznámení musí poté příslušná osoba oznamovatele v zákonem stanovené lhůtě vyrozumět. Za nesplnění těchto povinností hrozí povinnému subjektu pokuta až 1 milion korun. Na opačné straně – osobám, které podaly nepravdivé oznámení, hrozí pokuta až 50 tisíc korun.

🟣Zahájená společná dozorová akce EDPB – CEF 2023

Evropský sbor pro ochranu osobních údajů (EDPB) zahájil koordinovanou dozorovou akci (CEF), do které se mělo zapojit 26 úřadů Evropského sboru pro ochranu osobních údajů.

Společná dozorová akce byla zaměřená na prověření úlohy a postavení pověřenců pro ochranu osobních údajů v jednotlivých zemích evropského hospodářského prostoru. Pověřenci pro ochranu osobních údajů sehrávají důležitou roli jako prostředníci mezi úřady pro ochranu osobních údajů, jednotlivci, obchodními organizacemi a veřejnou správou.

Cílem dozorové akce je posouzení odpovídajícího postavení pověřenců v jejich organizacích podle čl. 37 až 39 Obecného nařízení GDPR a prověření, jestli disponují dostatečnými zdroji pro plnění svých úkolů. Dozorové úřady pro ochranu osobních údajů poté rozhodnou o případném dalším vnitrostátním dohledu a vynucovacích opatřeních. Kromě toho je cílem akce umožnit hlubší vhled do tématu, a umožnit tak následná cílená opatření na úrovni EU.

🟣Seznamy majitelů datových schránek zmizí ze systému otevřených dat

Ze systému otevřených dat budou odstraněné seznamy nepodnikajících fyzických osob. Dosud bylo možné je dohledat na webu Datových schránek v Národním katalogu otevřených dat.

Na této změně se dohodli představitelé ÚOOÚ a Digitální informační agentura (DIA). Seznam držitelů datových schránek byl zveřejněný tak, že umožňoval dálkový přístup v otevřeném a strojově čitelném formátu. V seznamu držitelů datových schránek bylo možné zjistit adresu trvalého pobytu držitelů, což ÚOOÚ vyhodnotil jako nadbytečné zpracování osobních údajů. ÚOOÚ z těchto důvodů upozornil zřizovatele datových schránek Ministerstvo vnitra na to, že tento způsob zveřejňování datových schránek je s ohledem na zásady zpracování osobních údajů podle GDPR nepřijatelný.

Od 1. 4. 2023 převzala agendu datových schránek DIA, která okamžitě podstoupila kroky k odstranění seznamů nepodnikajících FO. Na společném jednání ÚOOÚ a DIA byla dohodnutá spolupráce na přípravě legislativy, která by tuto problematiku řešila.

Dne 3. 11. 2023 byl nový zákon vyhlášen ve Sbírce zákonů a 1. 2. 2024 má nabýt účinnosti. Nová úprava nemění rozsah údajů zveřejňovaných v seznamu, ale nahrazuje princip opt-out principem opt-in – tedy místo automatického zápisu na seznam s možností podat žádost o výmaz může fyzická osoba nebo podnikající fyzická osoba požádat o zápis na seznam. Dále nově mohou podnikající i fyzické osoby podat žádost o výmaz ze seznamu.

🟣Průvodce ochranou osobních údajů pro malé podniky

Evropský sbor pro ochranu osobních údajů (EDPB) na svém webu zveřejnil Průvodce ochranou osobních údajů pro malé podniky. Prostřednictvím průvodce se EDPB snaží informovat menší podniky o různých aspektech GDPR. Průvodce má být snadno přístupný, srozumitelný a interaktivní (obsahuje videa, grafiky a další materiály).

V současnosti je k dispozici pouze v angličtině, časem bude přístupný i v dalších jazycích. Průvodce naleznete pod tímto odkazem: https://edpb.europa.eu/sme-data-protection-guide/home_en.

🟣Digital Governance Act (DGA) – Nařízení EU o správě dat z pohledu osobních údajů

DGA bylo publikované v Úředním věstníku EU 3. 6. 2022 a nabude účinnosti 24. 9. 2023. Nařízení má usnadnit sdílení osobních i neosobních dat v rámci zemí EU, kde budou pro tento účel vytvořené zprostředkovatelské struktury.

Doplňkem DGA bude akt o datech (DA), který mimo jiné zavede povinné sdílení dat. Definice dat, na které se DGA vztahuje, je velmi široká a zahrnuje i osobní údaje. DGA stanoví pravidla pro usnadnění opětovného použití údajů veřejného sektoru, na které se vztahuje stávající ochrana (obchodní tajemství, duševní vlastnictví nebo ochrana údajů), rámec pro zprostředkovatele dat (povinná certifikace), datový altruismus a pro Evropský sbor pro datové inovace (EDIB).

DGA je subsidiární k GDPR a není jím nijak dotčeno. DGA má velký dopad na postavení úřadů pro ochranu osobních údajů, jelikož jim ukládá řadu nových povinností.

DGA např. v čl. 7 odůvodnění popisuje techniky jako syntetická data a diferenciální soukromí, které by měly podporovat ochranu osobních údajů, a navíc umožnit veřejnému sektoru větší sdílení dat. Čl. 5 odst. 5 a bod 8 odůvodnění se potom zabývá podporou anonymizace souborů.

Opětovná identifikace subjektů z anonymizovaných souborů by měla být podle nařízení zakázaná. V čl. 25 odst. 1 a 3 zavádí evropský formulář souhlasu s datovým altruismem, který bude vytvořen ve spolupráci s Evropským sborem pro ochranu osobních údajů (EDPB).

O datový altruismus se jedná v případě, kdy jednotlivci a firmy dobrovolně bez odměny zpřístupní data k použití pro realizaci cíle veřejného zájmu (například pro boj proti změně klimatu). Tento souhlas bude možné také odvolat.

🟣Konflikt práva na svobodu projevu s právem být zapomenut  

Velký senát Evropského soudu pro lidská práva (ESLP) rozhodl rozsudkem dne 4. 7. 2023 o stížnosti belgického vydavatele Hurbaina proti Belgii (č. 57292/16), který brojil proti rozhodnutí belgických soudů, které mu uložily anonymizovat archivovanou elektronickou verzi článku z roku 1994. V něm bylo uvedené jméno a příjmení pana G., řidiče odpovědného za smrtelnou dopravní nehodu.

ESLP uvedl, že stěžovatelem namítaný zásah do jeho práva na svobodu projevu a svobodu tisku byl v daném případě souladný s právem a sledoval legitimní cíl, kterým byla ochrana pověsti nebo práv jiných, konkrétně pana G. a respektování jeho soukromého života. ESLP zohlednil, že v daném případě „právo být zapomenut“ bylo panem G. uplatněno 20 let po událostech, které zjevně neměly historický význam, pan G. nebyl veřejnou osobou, což nepřispělo k veřejnému zájmu o článek, který pouze statisticky přispěl k veřejné diskusi o bezpečnosti silničního provozu.

Pan G. byl veřejnosti neznámý a nevzbudil zájem veřejnosti ani v době, kdy zveřejněná událost nastala, a to ani v době, kdy byla archivovaná verze článku publikovaná na internet. Z toho důvodu převážilo právo pana G. „být zapomenout“ nad svobodou projevu a tisku belgického vydavatele (stěžovatele).

Impressum

©Haven Advisory 2024. Všechna práva vyhrazena