Kybernetická bezpečnost a odolnost je jednou z priorit pojišťoven

28. 2. 2022

Pojišťovny jsou jedním z největších správců osobních údajů. Pro řádný výkon své činnosti je potřebují ve velkém rozsahu, a nejen jsou potenciálním terčem kybernetických útoků. Jak se pojišťovny starají o osobní údaje, vysvětluje v rozhovoru právnička České asociace pojišťoven (ČAP) a gestorka pracovní skupiny pro kybernetickou bezpečnost a GDPR Jana Andraščiková. Kybernetická bezpečnost je předpokladem pro ochranu osobních údajů, napsala jste ve svém článku, který se objevil v lednovém čísle časopisu DPO PRO. NÚKIB zveřejňuje varování před kybernetickými útoky opakovaně. Pojišťovny zpracovávají osobní údaje v obrovském rozsahu, nepochybně se tedy stávají terčem takových útoků. Jakou roli hraje otázka kybernetické bezpečnosti v pojišťovnách? Kybernetická bezpečnost a odolnost je jednou z prioritních oblastí pojišťoven, které vnímají její význam pro zajištění fungování interně i navenek ve vztahu ke klientům. To je v&nbsp . . .

Aby mohla být informace kvalifikována jako osobní údaj, nemusí ještě umožňovat identifikaci subjektu údajů

28. 2. 2022

Aby mohl být určitý údaj kvalifikován jako osobní, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby, uvedl Městský soud v Praze dne 30. dubna 2021 ve svém rozhodnutí č. j. 9 A 67/2019 – 35. Vymezení sporu Žalobce se podanou žalobou domáhal zrušení rozhodnutí předsedy Rady Českého telekomunikačního úřadu (dále jen „žalovaný“), jímž byl zamítnut rozklad žalobce ve věci žádosti o poskytnutí informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „zákon o informacích“).[1] Napadeným rozhodnutím byl zamítnut rozklad žalobce a potvrzeno rozhodnutí ČTÚ o částečném neposkytnutí informace, kterou žalobce požadoval ve formě poskytnutí čtyř kopií libovolně vybraných rozhodnutí o námitce proti vyřízení reklamace na vyúčtování ceny. Po provedeném řízení, v němž mu byly postupně některé údaje poskytnuty a některé, v rozsahu . . .

NÚKIB vydal průvodce pro bezpečné nabízení a využívání cloudu

28. 1. 2022

Průvodce zařazením poptávaného cloud computingu do bezpečnostní úrovně vydal na konci loňského listopadu Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Podpůrný materiál poskytuje orgánům veřejné moci metodickou podporu pro využívání cloudových služeb v odpovídající bezpečnostní úrovni dle vyhlášky č. 315/2021 Sb., o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci. V publikaci NÚKIB uvádí, co se posuzuje a zařazuje do bezpečnostní úrovně. Předmětem takového zařazování je přitom informační nebo komunikační systém jako celek nebo jeho část, jež mohou být provozovány pomocí cloud computingu. Tento systém nebo jeho část jsou definovány jako poptávaný cloud computing. Poptávaným cloud computingem dle vyhlášky v žádném případě není konkrétní produkt, který by orgánu veřejné moci poskytovatel nabízel. U takového produktu z povahy věci nelze provést níže popsan . . .

Pandemie nám ukázala, že základní práva a svobody nejsou samozřejmost

28. 1. 2022

Pandemie Covid-19 rozbouřila debatu o důležitosti ústavních práv, zejména o právu a soukromí a právu na ochranu osobních údajů. Mnoho lidí si uvědomilo, že tato práva nejsou samozřejmostí, že jejich respektování hraje v životě důležitou roli. O hranicích těch dvou práv a o ochraně osobních údajů v době pandemie jsme si povídali s ústavním právníkem Janem Wintrem. Často se uvádí, že ochrana osobních údajů je součástí širší oblasti, kterou je ochrana soukromí. V Listině základních práv a svobod však stojí obě práva vedle sebe ve dvou odstavcích. Jaký je tedy vztah mezi těmito dvěma právy? Obě vnímám jako dílčí aspekty abstraktnějšího práva na ochranu soukromí a ochranu osobnosti podle čl. 7 a čl. 10 odst. 1. Ochrana osobních údajů podle odst. 3 je, myslím, podmnožinou abstraktnější ochrany soukromého a rodinného života podle odst. 2 . . .

Dojde-li k neoprávněnému nakládání s osobními údaji, neznamená to ještě nedostatečnost bezpečnostních opatření

28. 1. 2022

Nejvyšší správní soud vydal vloni 11. listopadu rozhodnutí č. j. 1 As 238/2021 – 33, v němž uvedl, že pouze ze skutečnosti, že dojde k neoprávněnému nakládání s osobními údaji (především, stane-li se tak v důsledku protiprávního jednání jiného subjektu), nelze dovozovat nedostatečnost opatření podle § 13 zákona o ochraně osobních údajů. Odpovědnost za přestupek není vázána na vznik poruchového negativního následku spočívajícího v neoprávněném nakládání s osobními údaji, ale na zjištěný deficit v přijetí náležitých opatření za účelem jejich ochrany. Pro vznik odpovědnosti proto není rozhodující, zda se osobní údaje podařilo ochránit či nikoliv, ale zda správce či zpracovatel osobních údajů přijal a dodržoval opatření zajišťující vhodnou úroveň ochrany jím zpracovávaných osobních údajů. Nezabezpečil osobní údaje více než 700 tisíc zákazníků Žalovaný ÚOOÚ uznal žalobce . . .

K nabízení zprostředkovatelské služby je třeba mít „co zprostředkovávat“

27. 1. 2022

Dne 7. října 2021 vydal Nejvyšší správní soud rozhodnutí č. j. 7 As 146/2021. V něm se vyjádřil, že vázaný zástupce se ve smyslu čl. Obecného nařízení nachází v pozici zpracovatele, který v rámci své činnosti zprostředkovával služby stěžovatele, přičemž docházelo i ke shromažďování osobních údajů potenciálních klientů, jež shromažďovala a zpracovávala právě za účelem určeným stěžovatelem. Průběh řízení Rozhodnutím Úřadu pro ochranu osobních údajů (Úřad) bylo žalobci uloženo: zajistit provedení výmazu osobních údajů o subjektu údajů – P. D., bytem K. 350, M.; zajistit právní tituly pro zpracování osobních údajů všech subjektů údajů, vůči kterým je žalobce v postavení správce osobních údajů, tedy tam, kde sám určil účel a prostředky zpracování, dle čl. 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti . . .

Potřeba znalosti právní úpravy ochrany osobních údajů by mě nemohla minout

28. 12. 2021

Úřad pro ochranu osobních údajů byl zřízen 1. června 2000 jako nezávislý správní orgán pro danou problematiku. Postupně se ujal dozoru nad dodržováním povinností stanovených právními předpisy v oblasti ochrany osobních údajů. Posléze přibyly i další kompetence, například podle zákona o svobodném přístupu k informacím. U tohoto vývoje byla od počátku i Miroslava Matoušová. Patříte k nejdéle sloužícím zaměstnancům Úřadu pro ochranu osobních údajů. Jak se v průběhu let měnily názory této instituce na problematiku ochrany osobních údajů a na postavení jako dozorového a konzultačního orgánu? Ano, je to tak, i když jsem pouze ve druhém sledu nejdéle sloužících zaměstnanců. Několik kolegů tu totiž působí skutečně od samého počátku. Obecně se názory Úřadu formovaly ani ne tak podle systematiky předpisů, které ochranu osobních údajů v České republice v kterémkoli okamžiku upravovaly . . .

Souhlas prostřednictvím cookies s předem zaškrtnutým políčkem není právoplatný

28. 11. 2021

Velký senát Soudního dvora vydal dne 1. října 2019 rozhodnutí o předběžné otázce týkající se prohlášení o souhlasu prostřednictvím předem zaškrtnutého „políčka“. Žádost o rozhodnutí o předběžné otázce se týkal výkladu čl. 2 písm. f) a čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích ve spojení s čl. 2 písm. h) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jakož i čl. 6 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.&nbsp . . .

Dnes už je Obecné nařízení (GDPR) chápáno jako zbytečná byrokracie

28. 11. 2021

Ochrana osobních údajů není novým právním odvětvím. V našem právním řádu se nachází už dlouho, byť zasloužené pozornosti se jí dostalo až v souvislosti s Obecným nařízením (GDPR). O vývoji pohledu na ochranu osobních údajů a jejím vnímání veřejností jsme si povídali s dlouholetým bývalým inspektorem Úřadu pro ochranu osobních údajů (ÚOOÚ) a současným pověřencem Milošem Šnytrem. Věnujete se ochraně osobních údajů mnoho let. Od dob, kdy lidé byli překvapeni tím, že něco takového vůbec existuje, až po současnost, kdy díky medializaci Obecného nařízení (GDPR) mají všichni alespoň povědomí o tom, co jsou osobní údaje. Je možné říct, jak se změnilo chování jednotlivých aktérů – ÚOOÚ, správců i subjektů osobních údajů? S ochranou osobních údajů jsem se podrobně seznámil v roce 1996, když jsem jako náměstek předsedy Úřadu pro státní informační syst . . .

Rozhodnutí soudů nejsou po vyhlášení veřejně přístupnou informací

28. 10. 2021

Městský soud v Praze vydal dne 20. dubna 2021 rozhodnutí, č. j. 14A 1/2021 o žalobě proti Úřadu pro ochranu osobních údajů. Žalobce se domáhal zrušení rozhodnutí předsedkyně úřadu, kterým byl zamítnut rozklad žalobce a současně jím bylo potvrzeno rozhodnutí Úřadu pro ochranu osobních údajů. Soud potvrdil dosavadní závěry, že judikatura soudů stojí na zásadě, že osobní údaje lze zveřejnit pouze při veřejném vyhlášení rozsudku, nikoliv také kdykoliv poté. Samotným vyhlášením se nestávají veřejně přístupnou informací, na kterou by se nevztahovala ochrana Obecného nařízení (GDPR) a zákona o zpracování osobních údajů. Správní orgány v řízení dostatečně prokázaly, že žalobce zveřejnil osobní údaje dotčené osoby, a v tomto směru také dostatečně zjistily skutkový stav věci. Soud také konstatoval, že zákonný důvod dle čl. 6 odst. 1 písm. f) Obecného nařízení (GDPR) umožňuje upřednostnit práva jiných osob před právem subjektu údajů na ochranu osobních . . .