Bezpečnostní opatření v čistě cloudových organizacích

S příchodem cloudových služeb (SAAS – Software As A service) vznikly téměř okamžitě i organizace, které zcela vyloučily využití klasických IT útvarů i podnikových ITíků a zaměřily se pouze na cloudové služby. S těmito čistými organizacemi jsme se prvně setkali v roce 2021 při provádění implementací GDPR společně s ISO 27001. Kladli jsme si otázku, jak tyto organizace zajistit z hlediska bezpečnosti na přijatelnou úroveň, aby úspěšně prošly certifikací výše uvedených norem. Výsledky projektů jsme zobecnili a nyní je předkládáme k zamyšlení.    Cloudová organizace Pro pochopení předložených bezpečnostních opatření vymezujeme typickou čistě cloudovou organizaci a oblasti bezpečnosti, které se jí týkají. Vše strukturujeme podle normativní přílohy A normy ISO 27001. V zásadě se jedná o organizaci, která v místě práce zaměstnanců nedisponuje sítí, servery, doménou atp., ale pouze připojením k internetu . . .

Poskytování informací o odměňování zaměstnanců veřejného sektoru

28. 5. 2022

Problematika poskytování informací o odměňování zaměstnanců podle InfZ[1] se ve veřejném prostoru řeší v podstatě od přijetí tohoto zákona. Odpovídajícím způsobem však až do současnosti dle mého názoru vyřešena nebyla. Považuji přitom za obtížně přijatelné, že ani v roce 2022 nemáme nastavená jasná a předvídatelná pravidla, podle nichž by povinné subjekty mohly postupovat a být si přitom jisty, že je jejich postup legální a legitimní, a to jak z hlediska žadatelů o informace a jejich práva na svobodný přístup k informacím, tak z hlediska dotčených subjektů údajů a jejich práva na soukromí a ochranu osobních údajů. Judikatura nejvyšších soudů Po vydání tzv. platového nálezu Ústavního soudu[2] a formulaci tzv. platového testu[3] upřesňuje dále pravidla . . .

Polemický pohled člena redakční rady

28. 5. 2022

Článek projevuje důvěrnou znalost problematiky. Vedle toho ale také projevuje – pro mě trochu křečovitě, až to vzbuzuje podezření – snahu přetlačit závěry dosavadního postoje ÚOOÚ, vyjádřeného jak ve stanovisku 2/2014, tak hlavně ve sdělení Změna v hodnocení úrovně právní ochrany biometrických údajů z června 2017. S obdobným zpochybňováním se u odborné veřejnosti setkáme často, například i v obou významných komentářích k obecnému nařízení, tedy GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) – Praktický komentář autorů Nulíček, Donát, Nonnemann, Lichnovský, Tomíšek, Praha, Wolters Kluwer, 2017, tak i Obecné nařízení o ochraně osobních údajů, komentář autorů UŘIČAŘ, RÁMIŠ a kol., Praha: C. H. Beck, 2021. Čtenář ale těžko hádá, který odborný pohled komentátorů doprovází třeba i upřímná snaha umožnit určité technologické a obchodní záměry výrobců a uživatelů příslušných technických zařízení a SW pro použití dynamického biometrického podpisu (např. banky). Lituji, že nejnadějnější pasáž pouze letmo zmiňující dosavadní kontrolní praxi ÚOOÚ, která dle autora dokládá neudržitelnost výše uvedených postojů Úřadu, není dotažena do konkrétních argumentů z kontrol. Za poněkud slovní ekvilibristiku považuji argumentaci autora, kterou popisuje nejednotnost definice biometrického údaje v čl. 4/14 obecného nařízení (ON) oproti jeho další konkretizaci v souvislosti s konkrétním použitím v čl. 9/1 ON. Definice v čl. 4/14 ON výslovně uvádí právě i autentizaci, […]

Dynamický biometrický podpis

28. 5. 2022

Část první: Jedná se o biometrický údaj?     Na českém trhu finančních služeb si získal popularitu tzv. dynamický biometrický podpis (DBP), který se možná stal obětí svého názvu. Je z něj totiž na první pohled patrné, že se jedná o osobní údaj zvláštní kategorie. Je tomu ale skutečně tak? Podstata biometrie DBP je třeba odlišovat od prostého podpisu vytvořeného na tabulce, který je pouhým obrázkem, jaký lze nakreslit na jakémkoli dotykovém displeji. Aby však mohl být podpis označen jako biometrický, musí obsahovat aktivní biometrické charakteristiky, které nevznikají náhodně, ale mají dynamický charakter vycházející z fyziologických a biomechanických schopností a z procesu individuálního učení.[1] Senzory podepisovacího zařízení mohou měřit tlak pera, rychlost, náklon atd., a tudíž lze zachytit podobné charakteristiky podpisu jako při zkoumání fyzického podpisu na papíře. Není však zřejmé, zda lze tyto biometrické charakteristiky technicky relevantním způsobem zaznamenat a zejména rekonstruovat. Nařízení GDPR[2] biometrické údaje definuje jako „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.“[3] Lze mít za to, že je-li identita podepisující osoby předem známa, nedochází ke zpracování biometrických údajů za účelem „jedinečné identifikace fyzické osoby,“ kterou až na výjimky uvedené […]

Soudní dvůr EU: Úřady musí shromažďovat osobní údaje pouze v nezbytném rozsahu, nikoliv plošně

V řadě veřejnoprávních agend je zakotvena obecná povinnost součinnosti třetích osob s příslušnými úřady. I tato povinnost, resp. oprávnění veřejnoprávních subjektů, však má v demokratickém státě své hranice. Jednou z nich je ochrana soukromí a osobních údajů. Jako příklad těchto zmocnění můžeme jmenovat povinnost všech fyzických a právnických osob i veřejnoprávních subjektů poskytovat policii na její vyžádání věcnou a osobní pomoc včetně informací a osobních údajů[1], doplněnou o výslovné oprávnění policie získávat údaje z různých veřejných evidencí[2]. Orgány finanční správy mají rovněž přístup do řady rejstříků a databází, např. registru obyvatel, evidence občanských průkazů, registr pojištěnců veřejného zdravotního pojištění atd.[3] Tento přístup je navíc dle zákona . . .

Co dělá Spolek pro ochranu osobních údajů pro pověřence?

Představujeme další pracovní komisi Komise pro otázky pověřenců je jednou z tradičních a klíčových pracovních komisí Spolku pro ochranu osobních údajů, které vám už od loňského roku v měsíčníku DPO PRO průběžně představujeme. Od počátku své existence se zaměřuje na otázky spojené s výkonem činnosti pověřence pro ochranu osobních údajů, jeho postavením, odpovědnostmi a dalšími záležitostmi s jeho činností souvisejícími. Co je úkolem komise? Komise pro otázky pověřenců sdružuje především pověřence ve veřejné správě i soukromém sektoru a snaží se je podporovat v hledání vyvážených přístupů v rámci implementace GDPR do každodenní činnosti pověřence. Tradičně se tato komise podílí na přípravě stanovisek k vydaným návrhům vodítek EDPB a dalších stanovisek a prov . . .

Pokud přijmete za své, že je potřeba věnovat určitou pozornost ochraně osobních dat, pak tak činíte bez ohledu na to, zda vám za to hrozí postih

Ombudsman (oficiálně veřejný ochránce práv) chrání osoby před jednáním úřadů a dalších institucí, pokud je toto jednání v rozporu s právem, neodpovídá principům demokratického právního státu nebo jsou úřady nečinné. Jednou z oblastí, v níž je možné podávat podněty, je také oblast ochrany osobních údajů. I sama Kancelář VOP musí zajistit ochranu osobních údajů při svém provozu. Jak nacházet balanc při plnění obou rolí, vysvětluje v rozhovoru pověřenkyně Kanceláře VOP Veronika Gabrišová. Zákon o zpracování osobních údajů zavedl výjimku pro veřejnou správu, díky které nelze správcům osobních údajů ve veřejné sféře uložit finanční sankci. Máte zkušenost s tím, že by subjekty veřejné sféry hřešily na tuto výjimku a nevěnovaly se této oblasti tak, jak by bylo třeba? Takovou zkušenost nemám. Obecné nařízení (GDPR) a jeho postupn . . .