Ani v letním dovolenkovém období nepřimhouřil Úřad pro ochranu osobních údajů (dále jen „Úřad“) své bystré dozorové oko.
Drony – nový koníček a zábava
Nové zábavě propadá čím dál víc amatérů. Ti by si měli uvědomit, a to ještě před nákupem, nejpozději po rozbalení a přípravě k prvním letům, že mají řadu práv a povinností, jejichž nedodržení, případně neznalost, jim mohou přinést problémy. Již od roku 2021 se totiž majitelé všech skupin dronů musí řídit regulačními pravidly Evropské unie, ovšem i českou legislativu, kdy má hlavní slovo český Úřad pro civilní letectví, který vydal Opatření obecné povahy. Zejména kvůli riziku narušování soukromí a tím pádem i zákonů a morálních zásad je nyní nutné provést registraci dronu, jeho pilota i provozovatele – aby bylo možné potenciální pachatele přestupků a trestných činů snadno dohledat.
Nyní vstoupil do této oblasti i dozorový Úřad. Jeho doporučení č. 01/2024 (z 8. července 2024) ke zpracování osobních údajů prostřednictvím záznamu z kamer, kterými jsou vybavena bezpilotní letadla, které navazuje na původního stanoviska Úřadu ke Zpracování osobních údajů prostřednictvím záznamů z kamer, kterými jsou vybaveny bezpilotní letadla z ledna 2013.
Kamerová zařízení umístěná na bezpilotních letadlech technicky umožňují systematické zachycování a zpracování záběrů identifikovaných nebo identifikovatelných fyzických osob, a to včetně ryze soukromého prostředí, ve kterém se tyto osoby pohybují nebo které obývají (zahrady, byty apod.). Dochází tak poměrně jednoduchou cestou k získání osobních údajů i z prostředí, které by jinak bylo velmi obtížně dostupné.
Znovu aktuálně k pověřencům
Již jsme se v jednom z předchozích článků zabývali problematikou pověřenců pro ochranu osobních údajů (dále jen pověřenci), tehdy v reflexi na závěry červnového semináře v Poslanecké sněmovně, který se konal pod záštitou poslance Roberta Králíčka.
Před šesti lety přineslo Obecné nařízení o ochraně osobních údajů (dále jen „obecné nařízení) modernizovaný rámec pro dodržování souladu s předpisy týkajícími se ochrany údajů v Evropě, který je principiálně založený na odpovědnosti. Tedy odpovědnosti správců, to znamená organizací, institucí a orgánů veřejné moci.
Jádrem právního rámce jsou právě pověřenci, kteří usnadní dodržování souladu s ustanoveními obecného nařízení a dalšími legislativními požadavky k ochraně osobních údajů.
Povinnost jmenovat pověřence, to je případ veškerých orgánů veřejné moci a veřejných subjektů (bez ohledu na to, jaké údaje zpracovávají) a dalších organizací, které – jako hlavní činnost – systematicky a ve velkém rozsahu monitorují fyzické osoby nebo které ve velkém rozsahu zpracovávají zvláštní kategorie osobních údajů. Pověřenci mají důležitou a nezastupitelnou roli při zajištění transparentnosti a ochrany osobních údajů ve všech aspektech činnosti organizací.
V aktuálním srpnovém doporučení Úřadu č. 2/2024 (ze dne 1. srpna 2024) k postavení pověřenců považuje za alarmující trend omezování úvazků, případně dokonce rušení pozic pověřenců pro ochranu osobních údajů, v institucích samosprávy a státní správy, včetně škol, muzeí, kulturních institucí a úřadů, a jejich nahrazování externí službou.
V doporučení je mj. uvedeno (pro přesnost uvádíme citaci): Pověřenec je osoba a funkční role, která povinně nebo dobrovolně působí u správce a zpracovatele osobních údajů a plní obecným nařízením stanovené úkoly. Hraje tedy klíčovou roli při prosazování ochrany osobních údajů v rámci organizace a pomáhá při realizaci a dodržování zásad zpracování údajů, práv subjektů údajů, záměrné a standardní ochrany osobních údajů, vedení záznamů o činnostech zpracování, zabezpečení zpracování a ohlašování a oznamování případů porušení zabezpečení osobních údajů.
Podílí se na vyřizování žádostí a stížností subjektů údajů, vypracování posouzení vlivu na ochranu osobních údajů, návrzích smluv a jejich vyjednávání, definování procesů ochrany osobních údajů i na rozhodování o zpracování a zajištění jeho zákonnosti.
Pověřenec funguje rovněž jako kontaktní místo pro subjekty údajů, kontaktní místo pro komunikaci s Úřadem, poskytuje poradenství v záležitostech ochrany osobních údajů, školení zaměstnanců, případně plní další úkoly spojené s ochranou osobních údajů.
Podrobněji – zdroj: https://uoou.gov.cz/media/publikace/dokumnety/doporuceni-uoou-02-2024-z-1-8-2024.pdf
Regulace podle NIS 2 se prodírá houštinami legislativního procesu
Aktuálně je v legislativním procesu návrh zákona o kybernetické bezpečnosti, tedy regulace podle NIS 2. Bylo odpracováno mnoho hodin odpovědné práce, proběhly stovky hodin seminářů, konzultací, a ještě nejsme na dohled finální podoby. V červenci byl schválen návrh zákona vládou a nyní vstoupí do další fáze na půdu poslanecké sněmovny.
Velmi inspirativní je hodnotící zpráva dopadů regulace (RIA). Předchozí totiž Legislativní rada vlády rozcupovala, když ji označila, že je zpracována „nedostatečným způsobem a obsahuje značné nedostatky“. Nově zveřejněná RIA se na desítkách stran vypořádala s původními připomínkami a označenými nedostatky. Významnou částí je zavedení mechanismu bezpečnosti dodavatelského řetězce. Jádrem je strategická hrozba možné závislosti na rizikových dodavatelích technologií pro infrastrukturu.
Máme jistě v živé paměti kybernetické útoky, včetně rozsahu morálních i finančních škod v desítkách milionů korun. Narušení telekomunikačních služeb, internetového provozu by paralyzovalo náš běžný život a škody by se podle NUKIB pohybovaly v rozsahu 2,5 -10 % denního HDP, tedy od 400 mil. do 1644 mld. Kč každý den.
Dalším kritickým je energetický sektor, ve kterém by případný incident způsobil přerušení dodávek energie. Není překvapením, že nejmenší škody by incident způsobil ve státní správě, zpozdily by se administrativní procesy. Ovšem ty si dokážeme napáchat sami, i bez kybernetického útoku, čehož jsme aktuálně svědky při nepovedené digitalizaci stavebního řízení. Prevence nebude levná, ale je nutné do budoucnosti investovat do naší bezpečnosti a odolnosti.
Relevantní a přehledné informace k nové směrnici NIS2 najdeme na nis2.nukib.gov.cz
Jaroslav Vítek, předseda Asociace pověřenců ČR
