POZOR! – Nařízení Evropského parlamentu a Rady (EU) 2018/1725 o ochraně fyzických osob

POZOR !!
Právě bylo zveřejněno nové Nařízení Evropského parlamentu a Rady (EU) 2018/1725 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES.
České znění naleznete zde:
https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX%3A32018R1725&from=EN&fbclid=IwAR2qmmkfFGoSTLkYcQUKrnWvQT6YCSfziqtuhxYQbl9eJduTOKTNyAWr4fA

Servisní smlouva k softwaru

Servisní smlouva k softwaru

Servisní smlouva k softwaru je klíčovým závazkovým instrumentem pro každého objednatele i dodavatele softwaru. Bohužel v praxi softwarového právníka se až příliš často setkávám se servisními smlouvami, které jsou natolik špatně nebo vágně napsané, že jsou prakticky nepoužitelné, což jde většinou k tíži objednatele (tedy podnikatele, který si koupil software, a přál si zajistit jeho kontinuální provoz).

Pro objednatele by servisní smlouva měla zajistit bezproblémovou funkčnost softwaru v období po nákupu licence, pro dodavatele je servisní smlouva zárukou pravidelného a opakujícího se zdroje příjmu po dokončení softwarové dodávky.

V tomto článku vysvětlím, co je to servisní smlouva, kdo by měl servisní smlouvu uzavřít a jaké minimální náležitosti (z mého subjektivního pohledu) by servisní smlouva měla obsahovat.

Co je servisní smlouva

Servisní smlouva je dohoda mezi dodavatelem softwaru a objednatelem o údržbě a případně též podpoře, kterou zajistí dodavatel.

Servisní smlouva je tzv. nepojmenovanou smlouvou ve smyslu § 1746 odst. 2 Občanského zákoníku („ObčZ”). To znamená, že neexistuje podpůrná zákonná úprava servisní smlouvy oproti například smlouvě licenční, která je vymezena v § 2358 a násl. ObčZ.

Běžnou vlastností softwaru je, že po čase přestane fungovat, protože je závislý na softwaru a hardwaru třetích stran, se kterými komunikuje nebo na kterých běží. Dalším důležitým aspektem softwaru je, že když přestane fungovat, není zpravidla čas na to dohadovat se, jestli se jedná o vadu, za kterou nese odpovědnost dodavatel či nikoliv, a čekat na odstranění takové vady v zákonných lhůtách (v přiměřené době).[1]

Účelem servisní smlouvy je tedy zejména zajistit kontinuální a (relativně) bezproblémový provoz softwaru, a to jak:

  • preventivní údržbou,
  • reaktivní údržbou,
  • či poskytováním podpory.

Úroveň dostupnosti služeb, kterou se dodavatel zavázal na základě dohody s objednatelem v servisní smlouvě zajistit, se někdy označuje jako SLA, tj. service level agreement. V souvislosti se servisními smlouvami proto občas strany hovoří o úrovni SLA. O dostupnosti se píše podrobněji dále v článku.

Je zřejmé, že investovat do pořízení softwaru, který má plnit klíčovou funkci, aniž by došlo k uzavření servisní smlouvy k takovému softwaru, by mohlo být fatální. Software, který si zaslouží servisní smlouvu s dodavatelem, je zejména:

  • podnikový informační systém (ERP),
  • systém pro správu zakázek a zákazníků (CRM),
  • jakýkoliv back-end webových stránek (e-shopy, fóra, systémy pro elektronickou komunikaci, jiné druhy on-line platforem),
  • systém pro správu spisů advokátní kanceláře
  • nebo systém pro vymáhání pohledávek. Dalších příkladů bychom našli bezpočet.

Kdo by měl uzavřít servisní smlouvu

Když se bavíme o servisní smlouvě, někdy mají klienti představu, že se týká jen dodávek masivních on-prem IT systémů.[2] Určitou úroveň dostupnosti, servis, podporu apod. by však měli garantovat i poskytovatelé SaaS řešení nebo dodavatelé webových stránek.[3] Jednoduché doporučení tedy zní – mít servisní smlouvu na každé softwarové řešení, které je pro objednatele důležité.

Řada softwarových řešení a služeb, které jsou pro objednatele důležité, již mají určitou servisní smlouvu zpravidla obsaženou v podmínkách užívání (angl. terms & conditions) předmětné služby. U zbývajících služeb a řešení je nutné servis dodatečně vyjednat.

Servisní smlouvu by tedy měl mít každý podnikatel ve vztahu alespoň ke svým:

  • webovým stránkám,
  • všem e-commerce softwarovým řešením, pokud nějaké podnikatel používá (e-shopy, systémy pro správu newsletterů, analytické nástroje),
  • ERP systémům,
  • CRM systémům,
  • účetnímu systému
  • nebo systému pro správu pohledávek.

Minimální náležitosti servisní smlouvy

Jak jsem uvedl výše, servisní smlouva je nepojmenovanou smlouvou ve smyslu ObčZ. To zjednodušeně znamená, že servisní smlouva má jen takový obsah, jaký do ní smluvní strany vtisknou vyjádřením své vůle. Zákon na servisní smlouvu neklade žádné minimální požadavky snad kromě obecných požadavků pro účinnost právního jednání. Když v tomto článku píši o minimálních náležitostech, myslím tím tedy náležitosti, které jsou nezbytné pro to, aby smlouva pro obě strany (objednatele a dodavatele) měla smysl a přinesla jim kýžený užitek.

Bohužel, řada servisních smluv není formulována dostatečně určitě a nenaplní očekávání stran. Často se setkávám se servisní smlouvou, která např. obsahuje podobný závazek bez další specifikace:

„Software bude mít dostupnost 99,9 %.“

Na papíře to vypadá skvěle, ale takový závazek je ve skutečnosti naprosto neurčitý – kdo tuto dostupnost zajistí? Jedná se o 99,9 % času v pracovní době, kalendářním týdnu, měsíci? Jak se bude dostupnost měřit? Pokud dojde k porušení tohoto závazku, jaké to bude mít pro dodavatele následky?

V případě sporu mezi dodavatelem a objednatelem, bez dalších podrobností, taková servisní smlouva neposlouží svému účelu, protože nejasnosti dávají prostor vleklému sporu, což jde naprosto proti smyslu servisní smlouvy, kterým je zajistit okamžitou reakci a bezproblémový provoz IT systému.

Na náležitosti servisní smlouvy bylo sepsáno několik skvělých publikací. [4] V tomto článku chci proto popsat jen ty náležitosti, které považuji za naprosto klíčové a bez kterých podle mého názoru nemá smysl servisní smlouvu vůbec uzavírat. Jedná se o:

  • vymezení předmětu servisní smlouvy, tedy vymezení služeb, které dodavatel poskytuje objednateli na základě servisní smlouvy,
  • určení parametrů poskytovaných služeb, jako je například zmiňovaná minimální dostupnost, reakční doby a doby pro odstranění incidentů a
  • systém řešení nedodržení sjednané úrovně dostupnosti služeb.

Předmět servisní smlouvy

Servisní smlouva by v sobě vždy měla obsahovat specifikaci jejího předmětu, tj. jaké servisní služby na základě smlouvy dodavatel objednateli poskytuje. Existuje celá řada servisních služeb, jmenovitě například:

  • garance minimální dostupnosti (preventivní údržba),
  • odstraňování incidentů (reaktivní údržba),
  • nárok na bezplatné updates a případně upgrades,
  • helpdesk nebo jiná forma podpory (telefon, e-mail),
  • migrace dat, zálohování nebo jiná správa dat,
  • customizace softwaru apod.

Jak jsem uvedl výše, neexistuje podpůrná zákonná úprava servisních smluv. Každá strana přitom může při vyjednávání servisní smlouvy myslet na jiný rozsah jejího předmětu. Je proto vysoce důležité při vyjednávání „vyložit na stůl” všechny požadavky a pak se vzájemně dohodnout na přesném rozsahu servisních služeb.

Parametry poskytovaných služeb

Každá ze sjednaných servisních služeb by měla ve smlouvě být vyspecifikovaná, tj. mělo by být uvedeno, co konkrétní služba znamená, jak se bude realizovat a případně jaké bude mít parametry.

Na výše uvedeném případu „99,9% dostupnosti“ bylo patrné, jaké nejasnosti vyplynou, když není sjednáno, jak bude měřena garantovaná dostupnost softwaru, jaké bude mít porušení následky apod. Doporučuji nadefinovat všechny klíčové servisní služby a jejich parametry.

Dostupnost může být definována kvalitativně jako pravděpodobnost, že systém bude schopen fungovat podle specifikací v jakémkoli okamžiku po celou stanovenou dobu. Dostupnost také může být definována kvantitativně jako poměr času, kdy je systém dostupný k celkovému času, po který je systém nasazen.[5]

Co se týče hodnocení splnění parametru dostupnosti, je vždy důležité nastavit dva parametry a sice úroveň dostupnosti a dobu, za jakou se tato úroveň měří. Typicky může být dostupnost vyjádřena například jako 99,9 % z provozní doby za měsíc. Procentuální hodnota přitom vyjadřuje onen poměr času, kdy je systém dostupný k celkovém času provozu. Významné jsou však i ostatní uvedené prvky, a sice určení, že úroveň dostupnosti se hodnotí z provozní doby a že časové období hodnocení je jeden měsíc.[6]

U reaktivního odstraňování incidentů doporučuji vždy sjednat alespoň způsob, jakým budou hlášeny incidenty, jejich kategorizaci, reakční doby a doby pro odstranění incidentů. U posledního zmíněného parametru se pozastavím – některé servisní smlouvy neobsahují stanovenou dobu pro odstranění incidentu, ale namísto toho obsahují závazek dodavatele vyvinout úsilí incident v nějaké době odstranit. To může pochopitelně být v pořádku, protože je při sjednávání servisní smlouvy těžko odhadnutelné, v jaké době je možné objektivně odstranit všechny možné incidenty. Znamená to, že pokud dodavatel vyvine úsilí, ale nedojde k odstranění incidentu v uvedené době, nedochází z jeho strany k porušení smlouvy. V takovém případě by však servisní smlouva vždy měla navíc obsahovat závazek dodavatele incident odstranit bez zbytečného odkladu po jeho zjištění. Dále je vhodné sjednat, co znamená „odstranění incidentu” a zda tato kategorie zahrnuje i případné „workarounds” tedy dodání alternativního postupu objednateli, jak užívat software, aby došlo k obejití chyb, i když nedošlo k jejich trvalému odstranění.

Častou součástí servisních smluv je nárok objednatele na bezplatné updaty a případně upgrady. Z pohledu objednatele je zde důležité nadefinovat, co je to update a co upgrade, aby nedošlo ke sporu o nárok na novou verzi předmětného softwaru. Může být vhodné upravit i práva objednatele na případné nové produktové řady, pokud by dodavatel provedl tzv. sunsetting softwaru.[7]

V obdobném duchu je nutné se zamyslet (a někdy konzultovat s nezávislým IT dodavatelem) nad všemi službami servisní smlouvy a jejich parametry a náležitě je ve smlouvě popsat.

V případě, že v souvislosti s poskytováním servisních služeb bude ze strany dodavatele docházet ke zpracování osobních údajů [8], měla by servisní smlouva obsahovat tzv. zpracovatelská ujednání ve smyslu čl. 28 GDPR.[9] Řada servisních smluv, uzavřených před účinností GDPR, zpracovatelská ujednání neobsahují, ačkoliv na základě nich dochází ke zpracování osobních údajů zpracovatelem, čímž dochází k porušení nařízení (a to i přes to, že obdobná povinnost existovala i podle předchozí právní úpravy [10]). Pokud je toto váš případ, doporučuji uzavřít ke smlouvě dodatek anebo samostatnou zpracovatelskou smlouvu.

Řešení nedodržování sjednané úrovně dostupnosti

Servisní smlouva bez sankcí za nedodržení sjednané úrovně dostupnosti je de facto gentlemanská dohoda. I v případě, že nedojde ke sjednání sankcí, má objednatel sice z titulu případného porušení smlouvy nárok na náhradu škody podle § 2913 ObčZ (a případné další nároky), ale vznik škody, kauzální nexus a její výše se v případě softwarových sporů velmi těžce prokazuje a objednatelé tak většinou porušení servisní smlouvy sankcionují tak, že si najdou jiného dodavatele a všechny s tím spojené ztráty a náklady odepíší jako podnikatelské riziko (pokud vůbec je možné najít nového dodavatele, jinak nezbývá než skřípat zuby[11]).

Daleko lepší je sjednat si sankce za porušení servisní smlouvy (například za porušení garantované dostupnosti, nedodržení reakční doby apod.). Tradiční sankce, která se v takovém případě nabízí, je smluvní pokuta.

U některých méně závažných porušení však může být vhodnější sjednat si kredit, který se bude připisovat na účet objednatele a o který se zlevní poskytování servisních služeb v dalších obdobích.[12] Sankce v podobě kreditu ocení zejména veřejní zadavatelé, kteří uzavřeli servisní smlouvu. Ti mají povinnost uplatňovat sankce, když jsou naplněny podmínky, i když jsou s dodavatelem jinak spokojeni. Uplatňování smluvních pokut však z mé zkušenosti významně narušuje vztahy mezi objednatelem a dodavatelem, přičemž uplatnění kreditu je v tomto ohledu šetrnější.

Pozor na servisní smlouvy, které se řídí právním řádem common law (Anglie a Walesu, některého ze států USA apod.). Common law obecně neumožňuje sjednání smluvních pokut (ačkoliv Anglie zaznamenává v tomto ohledu určitý posun [13]) a namísto smluvních pokut je potřeba delikátně sestavit klauzule o tzv. paušalizované náhradě škody (angl. „liquidated damages”).

Shrnutí

Všichni podnikatelé by měli ke klíčovým IT systémům mít uzavřenou odpovídající servisní smlouvu, která zajistí bezproblémový provoz předmětných systémů. Tato smlouva, jelikož je z pohledu ObčZ nepojmenovaná, by měla co nejpřesněji obsahovat svůj předmět, parametry poskytovaných služeb a případné sankce za nedodržení smlouvy. V opačném případě může dojít až k paralýze podnikání, pokud vypadne klíčový IT systém a ze strany dodavatele neexistuje závazek takový výpadek za rozumných podmínek odstranit. Pokud je objednatel skrze koupenou licenci a závislost na IT systému v postavení, kdy nemůže jednoduše servis zadat třetí osobě a nemůže bez IT systému existovat, může se jednat o situaci naprosto fatální. Doporučuji vždy nastavení servisní smlouvy konzultovat s právníkem, který rozumí problematice softwarového práva, a případně též s nezávislým IT konzultantem.

 

Zdroj: www.pravniprostor.cz

Mysterium pojmu ‚zpracování‘. Nepochopení GDPR přineslo absurdní obavy

(ilustrační snímek) Dětský obrázek. | na serveru Lidovky.cz | aktuální zprávy
(ilustrační snímek) Dětský obrázek. | foto: pp.userapi.com

 

PRAHA Vystavování výkresů ve škole s podpisem dítěte není zpracováním osobních údajů. Extenzivní výklad je v konfliktu s právemna svobodu slova a informace.

Během hysterické kampaně kolem Obecného nařízení o ochraně osobních údajů, pod zkratkou GDPR, aniž by si mnozí uvědomovali, že první písmeno té zkratky znamená, že se jedná o předpis obecný, před nímž mají někdy přednost zákony, zaznívala řada absurdních názorů a obav. Například: Mohou novináři zveřejnit jméno člověka, se kterým vedli rozhovor? Může škola vystavit výkresy dětí s podpisem? Příčina zmatků tkví v nepochopení a dezinterpretaci pojmu „zpracování osobních údajů“.

Výklad pojmu je ale důležitější než úvahy, zda ten či onen údaj je osobním, když některé, například adresy elektronické komunikace, jsou osobními údaji někdy až na základě toho, že jsou k identifikaciuživatelůzpracovávány.

Dokument versus zpracování

Při výkladu je třeba držet se definice a působnosti Obecného nařízení a pod pojmem zpracování rozumět jakékoliv operaceprováděné s osobními údaji. Nařízení se vztahuje na zcela nebo částečně automatizované a neautomatizované zpracování osobních údajů, které jsou v evidenci či do ní patří. Zpracování osobních údajů není dokument, který nějaké osobní údaje obsahuje, ale operace s osobními údaji. Na osobní údaje v jakémkoli dokumentu se ochrana vztahuje jen na základě operací prováděných k určitému účelu. Vše vzniklo před několika desetiletími z obav z ohrožení soukromí tím, že prostředky výpočetní technikydokážou informace o lidech vyhodnotit mnohonásobně rychleji než člověk.

Prostředím, kde dochází zpracováním osobních údajů k ohrožení soukromí nejvíc, je internet. Ten je však primárně zdrojem pro automatizovaně prováděné operace s osobními údaji, často bez vědomí dotčených osob. Také vyhledávače provádějí operace s osobními údaji a jejich provozovatelé jsou v postavení správců osobních údajů, jak judikoval Soudní dvůr EU (SDEU) v případu Google Spain. Ti mají na žádost subjektu údajů posoudit, zda je odkaz na zdrojovou stránku ještě aktuální a zda při vyhledávání údajů tímto způsobem převažuje právo na veřejnost informace o určité osobě, nebo právo na soukromí.

O výmazu nestrukturovaných osobních údajů na zdrojové stránce by musel rozhodnout soud. Zveřejnění nestrukturovaných osobních údajů na internetu zpracováním není. Nejvyšší správní soud ČR nedávno poněkud vytrženě z kontextu citoval z rozhodnutí Soudního dvora EU v případu Lindqvist – „úkon, který spočívá v tom, že se na internetové stránce odkáže na různé osoby, které jsou identifikoványbuď svým jménem, nebo jinými prostředky, (…) je zcela nebo částečně automatizovaným zpracováním osobních údajů“ – a uvedl, že v daném případě SDEU vyložil, že zveřejnění osobních údajů je zpracováním.

Zveřejním-li v nějakém chatu větu „Včera jsem byl s kolegy Vaškem a Milanem na fotbale“, provádím úkon, který spočívá v tom, že odkazuji na dvě různé osoby. Je-li z kontextu zřejmá moje totožnost, lze zjistit i naše zaměstnání a totožnost kolegů. Má-li jít o automatizované zpracování osobních údajů, musím ke zveřejnění mít nějaký právní důvod. Kolegů jsem se na souhlas neptal a zveřejnění není ani nezbytné pro ochranu mých práv. Coby správce osobních údajů tedy porušuji právo na ochranu osobních údajů svých kolegů.

Mýtus výkresů ve škole

Důsledky takového výkladu pro svobodu slova a projevu jsou zřejmé. Nikdo by na internetu nesměl zveřejnit jakoukoli informaci nebo názor na dvě či více osob bez jejich souhlasu, aniž by byl schopen zdůvodnit, že je to pro ochranu práv nezbytné. To, že určitý úkon probíhá automatizovaně, ještě neznamená, že jde o automatizovaně prováděnou operaci s osobními údaji, když k nestrukturovaným údajům není přidávána hodnota jejich uspořádáním, strukturováním, seřazením či zkombinováním. Právním důvodem pro zveřejnění informace o jiných osobách, která není jejich evidencí, vstupem nebo výstupem z ní či automatizovaného souboru osobních dat, je prostě právo na svobodu slova a projevu. Pokud by mí kolegové považovali zveřejnění za zásah do soukromí, museli by se obrátit na soud.

Výklad pojmu zpracování je důležitý pro vyrovnávání práva na ochranu soukromého a rodinného života a ochranu údajů o své osobě a práva na svobodu slova a na informace. Obě práva jsou si rovna, ani jedno není právem „svatějším“. Je třeba hledat vyrovnaný poměr mezi nimi. Pojem zpracování můžeme přirovnat k zamrzlému rybníku, v jehož středu jsme na pevnémledě registrů a evidencí. Čím extenzivněji bude tento pojem vykládán, tím více se dostáváme na tenký led, který neumožňuje konzistentní výklad. Když se to hodí, zpracování to je. Když se to nehodí, zpracování to není. Takový přístup je neakceptovatelný.

Rádoby bohulibá snaha o vyšší ochranu soukromí extenzivním výkladem pojmu se dostává do konfliktu s právem na svobodu slova a informace. Výrazná nepřiměřenost poškozuje obě práva – minimálně tím, že vyvolává odpor veřejnosti. Sdělení jména osoby, s níž novinář hovoří či o které přináší zpravodajskou informaci, není automatizovanou operací ani evidencí. Podepsané výkresy dětí nejsou automatizovanou operací ani výstupem z evidence – tou je školní matrika. Žádným takovým projevům GDPR nebrání. Zbavme proto pojem „zpracování“ jeho mysteria.

Zdroj: www.lidovky.cz

Jaký by mohl být rok 2019 v kyberbezpečnosti?

cybersecurity 2019

AxentaPředpovědi na rok 2018 často počítaly s tím, že zažijeme další globální kyberbezpečnostní incidenty typu WannaCry nebo NotPetya. Tato předpověď se však nenaplnila a celý rok uplynul bez srovnatelně velkých incidentů. To však neznamená, že proběhl tichý a pokojný rok a v roce 2019 se už nemusíme ničeho obávat.

Kromě standartních hrozeb vyšly na povrch závažné zranitelnosti procesorů Meltdown a Spectre na začátku roka, v polovici roku jsme byli svědky rozsáhlých útoků na webové stránky postavené na CMS Drupal, tzv. Drupalgeddonu a na podzim vyvolala planý poplach zpráva o čínskou armádou vykonávaných supply-chain útocích na základní desky společnosti Supermicro. V průběhu roku se též objevily úniky dat některých společností, připomeňme jen Facebook, kde mohlo dojít k ohrožení až 50 milionů účtů, nebo indickou databázi občanů Aadhaar s daty o 1,1 miliardě Indů.

I tyto události v kyberbezpečnosti měly vliv na trendy, které budeme sledovat v roce 2019. Z nich vybíráme následující:

Bezpečnost cloudových služeb
Stále více společností přesouvá svá data a IT infrastrukturu do cloudu. S tým souvisí i zvýšená potřeba zabezpečení těchto operací a zejména dat, které jsou ukládané do cloudu. Cloudové platformy a řešení jsou standardně poměrně dobře zabezpečené jejich poskytovateli, zejména tehdy, pokud se bavíme o poskytovatelích jako je Microsoft anebo Google. Jedná se však o zabezpečení samotných serverů. Zabezpečení vlastních dat a přístupu k nim, stejně jako i kontrolních mechanizmů či monitoringu zůstává na zodpovědnosti toho, komu data patří.

Hrozby nové generace
Umělou inteligenci a strojové učení používáme už teď ve vícero oblastech života. Kde jsme však zatím neviděli velký dopad těchto technologií, jsou kyberbezpečnostní útoky. Ty se dosud spoléhají na lidský faktor a omezenou automatizaci. S rozšiřováním kyberbezpečnostních defenzivních prostředků, které tyto technologie využívají na zefektivnění a zpřesnění své činnosti, je velmi pravděpodobné, že v roce 2019 začneme pozorovat používání technologií strojového učení a umělé inteligence i u útočníků.

Státem podporované útoky
Stejně jako v posledních letech i v roce 2019 bude pokračovat trend zvyšování počtu a závažnosti státem podporovaných útoků, a to nezávisle od toho, zda to budou dezinformační kampaně připisované zejména Rusku a Iránu, průmyslová špionáž jako doména Číny anebo ofenzívní operace pod taktovkou USA, Izraele a jejich spojenců. Protože jde o útočníky, kteří mají k dispozici rozsáhlé prostředky, mohou tyto útoky být hybnou silou i pro hrozby nové generace. V případě dalšího zvyšování napětí v přehřátých regionech Středního Východu a Ukrajiny můžeme být i svědky nárůstu útoků na kritickou infrastrukturu s potenciálně katastrofickými dopady.

BYOD a mobilní hrozby
I díky přesunu dat do cloudu se zvyšuje komfort práce a dokážeme k našim datům přistupovat a pracovat s nimi z libovolného místa na planetě. Nezabezpečená soukromá mobilní zařízení, jako jsou laptopy, tablety a smartphony používané jako pracovní nástroje budou představovat stále větší hrozbu a budou si vyžadovat lepší mechanizmy bezpečnostního dohledu a kontroly přístupu na úrovni srovnatelné se standardními pracovními zařízeními.

Útoky na kritickou infrastrukturu, IoT a SCADA systémy
V roce 2019 též očekáváme další nárůst útoků na kritickou infrastrukturu, IoT zařízení a SCADA systémy. Napomáhá tomu charakter státem podporovaných útoků, kde jsme doposud zaznamenávali zejména útoky za účelem špionáže a v ojedinělých případech i sabotáž, což však může zejména v přehřátých regiónech přerůst do útoků, jejichž cíl bude čistě destrukční. K těmto útokům však nemusí docházet jen v rámci státem podporovaných operací. Pro ostatní útočníky je motivující zejména vidina finančního zisku, který mohou přinášet cílené ransomwarové útoky zaměřené na kritickou infrastrukturu a SCADA systémy, nebo i drahá IoT zařízení.

GDPR a legislativa
Ruku v ruce se zvyšováním všeobecného povědomí o kyberbezpečnosti rostou i počty společností, které si uvědomují potřebu zabezpečení svých dat a IT infrastruktury. Pošťouchnutím ve správném směru jsou i požadavky z legislativy, a to jak lokálních kybernetických zákonů, tak i evropské legislativy v podobě GDPR. Silnou „motivací“ na další posun v tomto směru budou pravděpodobně první pokuty za porušení GDPR, které bychom mohli vidět už v prvých kvartálech roku 2019.

Legislativní úprava však znamená i zvýšení poptávky po službách a produktech, které pomáhají plnit dané legislativní požadavky. Mezi tyto služby patří například bezpečnostní dohledová centra (SOC – Security Operations Center), produkty sloužící na kontrolu přístupu k datům a zařízením nebo specificky zaměřené auditorské a kontrolní služby.

Zdroj: www.itsec-nn.com

Pravidla pro kybernetické zabezpečení firem

KANCELÁŘ BUDOUCNOSTI

Digitální ochrana se už dnes stává celosvětově poptávanou komoditou. Zatímco v roce 2004 měl globální trh s kybernetickou bezpečností hodnotu 3,5 miliardy dolarů, v současnosti se jeho hodnota odhaduje na více než 120 miliard dolarů. Je tedy zřejmé, že i když kanceláře budoucnosti přinášejí větší pružnost, rychlost, efektivitu a úsporu času, hrozby jsou také stále silnější a komplexnější.

Canon logo„Nové technologie podporují stále větší flexibilitu a konektivitu zaměstnanců i lidí, kteří nejsou přímo součástí organizace. Lidé už dnes běžně spolupracují napříč kontinenty a časovými pásmy. Klíčová ale zůstává oblast bezpečnosti, která musí zajistit, aby společnosti v budoucnosti v neustále se měnícím světě práce neztratily stabilitu,“ říká Jan Všetička, Product Business Developer společnosti Canon CZ. Ta se stala průvodcem firem do digitálního světa a své vize i postřehy dalších odborníků rozvíjí v projektu Kancelář budoucnosti.

Ve světě plném inovací budou firmy v nejbližších letech řešit, jak do svých kanceláří co nejlépe zapojit nové technologie, které umožní zvýšit jejich produktivitu i efektivitu. Nesmějí však zapomínat, že novinky je nutné zavádět tak, aby neohrožovaly bezpečnost firmy i jejích obchodních partnerů. Odborníci společnosti Canon proto připravili 5 pravidel pro zdravé kybernetické zabezpečení firem.

Proč jsou kanceláře budoucnosti stále zranitelnější? „S pokračující digitalizací je každá společnost přirozeně méně odolná proti virtuálním bezpečnostním rizikům. Způsob práce bude brzy záviset na stálém a důvěrném digitálním kontaktu mezi dodavateli, partnery a zákazníky. To přináší celou řadu kybernetických hrozeb, jejichž potenciálními nositeli už nejsou jen lokální subjekty, ale mohou to snadno být lidé i organizace z celého světa,“ připomíná Jan Všetička.

Veškeré citlivé údaje, konektivita a automatizace totiž nabízejí mnohonásobně více příležitostí hackerům. Zvětšuje se „povrchová plocha“, která je kybernetickým útokům vystavena. Tím, že jsou informatické systémy nedílnou součástí našich každodenních profesních činností, jsou umocněné i potenciální škody, které může způsobit byť jen jediný bezpečnostní incident.

Firmy naštěstí mohou podniknout řadu kroků, které zajistí odolnost a bezpečí kanceláře budoucnosti. Součástí správné „kybernetické hygieny“ je nejen očekávání toho nejhoršího, ale také vytváření preventivních opatření:

Společnosti by měly vytvořit zvláštní bezpečnostní tým a zahrnout ho do strategických opatření. Z nejnovějších údajů shromážděných Evropskou komisí vyplývá, že pouze jedna ze tří společností na území EU má jasně definovanou bezpečnostní strategii pro ICT. Kromě toho je bezpečnostní strategie mnohem běžnější u velkých firem než u těch menších, které ji zavádějí až třikrát méně často.

Zaměstnanci jako součást řešení. Zapojení zaměstnanců, aby se podíleli na výsledcích, může být jedním z nejspolehlivějších kroků, které lze podniknout. Konzultantská společnost Gartner zjistila, že dát možnost ostatním, aby se stali součástí řízení rizik, zásadně zvyšuje úspěšnost. Zaměstnanci snadno zapomínají na to, že i drobná selhání zvyšují zranitelnost. Průzkum firmy Code42 uveřejněný v letošním Data Exposure Reportu také zmiňuje, že se nejedná pouze o problém juniorních zaměstnanců. Až 59 % výkonných ředitelů se přiznalo k tomu, že stahují software, o němž neví, zda odpovídá podnikové bezpečnosti.

Ochrana zákazníků. Vzhledem k propojenosti kanceláří budoucnosti by měly společnosti pomáhat svým klientům, aby porozuměli tomu, jak se mohou chránit nejen před právními problémy. Se zavedením GDPR je ještě mnohem důležitější zajistit dodržování předpisů ze strany zákazníků. Organizace by se měly aktivně snažit porozumět dopadům nové i chystané legislativy, aby dokázaly klientům správně poradit.

Přemýšlejte nad rámec firmy. Společnosti mohou zlepšit svoje povědomí o bezpečnostních problémech tím, že budou spolupracovat se svými partnery, dodavateli a dalšími třetími stranami a sdílet vědomosti, produkty i služby související s kybernetickou bezpečností. Díky tomu je budou moci efektivněji zvládat. Kybernetická kriminalita je natolik nebezpečná právě proto, že se neustále proměňuje a vyvíjí – její pachatelé jsou silně motivovaní a neustále se zdokonalují.

Informujte o kybernetickém útoku. Firmy zasažené kybernetickou kriminalitou jsou jen málokdy ochotné sdílet informace či spolupracovat s ostatními. Podle zprávy Sapio Research pro rok 2018 by 84 % respondentů uvítalo, kdyby je společnost, s níž spolupracují, o případném kybernetickém útoku informovala. Ale jen 37 % z nich uvedlo, že by informace poskytlo, kdyby byla napadena jejich vlastní firma. Nedostatečné sdílení přitom není vhodnou cestou. Skupiny složené ze zástupců různých organizací, které by analyzovaly hrozby a konzultovaly možná řešení, jsou mnohem lepší volbou, chtějí-li organizace úspěšně čelit rostoucímu počtu hrozeb.

„Rozhodně ale není potřeba nabývat dojmu, že kanceláře budoucnosti samy o sobě automaticky představují bezpečnostní problém. Při správném nastavení naopak mohou být inovativní technická řešení v kanceláři tím nejsilnějším motorem ekonomických změn, růstu i prosperity,“ uzavírá Jan Všetička, Product Business Developer společnosti Canon CZ.

Zdroj: www.itsec-nn.com

Proč byste měli používat správce hesel

správce hesel ICT SECURITY

Vaše heslo je slabé. Jsou to vaše narozeniny? Narozeniny vašich dětí? Vaše výročí? Nebo je to heslo123? Zvažte to: trvá pouze 14,17 minut zlomit devítimístné heslo (například 123456789), které se skládá z čísel 1-9. Pomocí botnetu nebo superpočítače může být stejné heslo spuštěno za 0,0085 sekundy. Takže slabé heslo, které používáte pro všechny účty, které máte, může být hacknuto velmi snadno a rychle. A nemyslete si, že pokud používáte malé heslo (například jméno kočky), že jste si polepšili. Osmimístné slovo z malých písmen hackne Botnet nebo superpočítač za 1,8 sekundy. Takže chlupáčci nejsou řešením. Co je to?

V aktuální oblasti je jedinou možností dobrého zabezpečení silné heslo náhodných znaků, jako je například $^uI0!JvR. Tyto typy hesel se stanou exponenciálně těžšími k prolomení. Zároveň je těžší zapamatovat si je – zejména při použití různých hesel pro každý účet, který máte. A to je, moji přátelé, přesně to, co byste měli dělat. Chcete-li mít přehled o těchto heslech, musíte použít správce hesel.

Nejen, že správce hesel uchovává tato hesla uzamčená v šifrovaném trezoru (k němuž lze přistupovat pouze s heslem), většina z nich obsahuje silné generátory hesel, takže nemusíte přijít s náhodným řetězcem znaků vy sami.

Takže pokud používáte správce hesel, můžete nejen udržet všechna tato silná hesla bezpečně ukrytá, můžete snadno generovat velmi silná hesla, která se budou používat pro vaše účty. Všichni by se měli obrátit na správce hesel dříve, než se ocitnete v hledáčku hackera, který způsobí, že přijdete o data nebo i hůř.

Dnešní lekce tedy zní, pokud nepoužíváte správce hesel k vytváření a ukládání silných hesel, není to otázka, zda, ale když budou vaše účty hacknuty.

Tolik originální článek, který si dovolím doplnit. Takto silná hesla opravdu nelze spravovat bez správce hesel. Pokud například v zaměstnání máte mít nějaké jedno heslo k systému apod. snažte si jej udělat tak, aby nebylo úplně jednoduché, zkuste nějaké písmeno nahradit číslem např. An1ck4. Hlavně si toto heslo nikam nepište do blízkosti klávesnice. Patří to mezi časté nešvary.

Přeložil: Petr Gondek, DPO, managing director GDPR Support s.r.o.

Zdroj: www.itsec-nn.com

Aplikace České školní inspekce umožňovala komukoli stáhnout údaje o žácích.

Údaje o až 140 tisících žácích druhého stupně bylo možné získat z testovací aplikace České školní inspekce, která se dá stáhnout z webu. Na problém upozornil pedagog Libor Klubal a ověřil jej poté také Michal Bláha z projektu Hlídač státu.

Zobrazit obrázek na TwitteruZobrazit obrázek na TwitteruZobrazit obrázek na TwitteruZobrazit obrázek na Twitteru

Jak včera upozornil @libor_klubal, Česká školní inspekce umožňuje komukoliv stáhnout seznamy žáků 6./9.tříd ZŠ včetně infa o jejich zdrav.znevýhodnění. Pozitivně jsme to včera otestovali a stáhli tisíce údajů během 1 hod.
Autory aplikace jsou dle (c) NESS a.s. a iteligence a.s.

Údaje žáků nebyly v aplikaci nijak chráněny. Stačilo v ní zadat tzv. REDIZO (Resortní identifikátor právnické osoby), tedy kód identifikující jednotlivé školy, a pak už bylo bez problémů možné stáhnout jmenný seznam žáků, včetně některých citlivých informací, jako je například jejich případné zdravotní znevýhodnění.

Problém potvrdil také náměstek inspekce Ondřej Andrys. Šlo podle něj o technickou chybu, ke které došlo při nedávných úpravách systému. Pro server iRozhlas.cz také potvrdil, že byl problém už napraven.

Jaká technická chyba mohla vést k tomu, že stahování dat nebylo nijak chráněno, už náměstek neupřesnil.

Zdroj: www.lupa.cz

Malé a střední podniky slouží hackerům jako brána do větších firem.

security studie

Ze studie Small and Mighty společnosti Cisco vyplývá, že více než dříve se malé a střední podniky stávají terčem kybernetických útoků. Zpravidla totiž nemají vybudovanou tak sofistikovanou bezpečnostní architekturu jako ty velké. Nicméně s nimi pravidelně komunikuji, například v rámci dodavatelského řetězce. Hackeři se proto snaží nejenom získat jejich data, ale zároveň rozšířit svoji aktivitu i do sítí větších podniků.

Mnoho malých a středních podniků (SMB) si již uvědomuje, že jsou vystaveny stejným hrozbám jako ty největší firmy. Nicméně často toto zjištění přichází až po útoku. Společnost Cisco provedla globální výzkum mezi 1816 zástupci malých (do 250 zaměstnanců) a středních (250-499 zaměstnanců) firem, aby analyzovala aktuální bezpečnostní trendy v tomto segmentu. Z něj vyplývá, že více než polovina z respondentů (53 %) již zažila úspěšný kybernetický útok na svoji firmu.

Úspěšné kybernetické útoky měly zpravidla velký finanční dopad na fungování těchto podniků. Z odpovědí zástupců středně velkých podniků vyplývá, že 30 % z napadených zaznamenalo ztrátu menší než 100 000 amerických dolarů. Nicméně pětina odpověděla, že celkové ztráty podle odhadů dokonce překročily milion dolarů. Jednou z příčin je nízké procento vyšetřovaných incidentů. Průměrný SMB podnik se musí denně vypořádat s téměř 5000 bezpečnostními varováními denně, přičemž vyšetřuje pouze 55,6 % z nich. Mezi nejčastější typy útoků, se kterými se SMB podniky setkaly, patří:

  • Phishing (79 %) – snaha emailem, telefonicky, nebo textovou zprávou získat citlivá data. Útočník se vydává za jinou osobu se zdánlivě legitimním požadavkem.
  • Sofistikované techniky na konkrétní cíl (77 %) – útoky zpravidla využívají pokročilé typy malwaru, jehož cílem je proniknout do sítě předem definované organizace.
  • Ransomware (77 %) – vyděračský software, který uzamkne počítač a útočník žádá výpalné.
  • DDoS útok (75 %) – útočník zajistí, aby se na internetové služby či stránky připojovalo velké množství zařízení, čímž dojde k jejich přehlcení a následnému výpadku.
  • Prolomení BYOD zařízení (74 %) – útočník se dostane do osobního zařízení zaměstnance a po připojení tohoto zařízení do firemní sítě se nebezpečný software rozšíří i do ní.

Firmy stále hledají ideální způsob, jak efektivně investovat do technologií a personálu, aby se útokům vyhnuly. Jednou z překážek je však nedostatek bezpečnostních specialistů na trhu. Podle průzkumu by kromě do náboru zaměstnanců chtěly investovat ještě také do:

  • zlepšení zabezpečení koncových zařízení a do řešení proti pokročilým hrozbám (19 %)
  • lepšího zabezpečení webových aplikací a do ochrany proti útokům z webů (18 %)
  • technologií pro prevenci proti útokům, která zabrání pokusům o průnik do sítě (17 %)

    Zdroj: www.itsec-nn.com

Kyberútoky na nejméně 131 univerzit v 16 zemích.

Kyberútoky na nejméně 131 univerzit v 16 zemích

Bezpečnostní odborníci detekovali četné kyberútoky na nejméně 131 univerzit v 16 zemích. Tyto pokusy o získání citlivých univerzitních informací se uskutečnily v posledních 12 měsících, a šlo o téměř tisícovku phishingových útoků. Podvodníci mají zájem o přístupové údaje zaměstnanců a studentů, jejich IP adresy a údaje o jejich poloze. Ve většině případů za tímto účelem vytvářejí webové stránky pro zadávání přihlašovacích údajů a hesel do univerzitních intranetových systémů, které jsou na první pohled totožné s autentickými stránkami.

Zatímco bezpečnost účtů zaměstnanců bank a průmyslových podniků je dnes už samozřejmostí, osobní účty studentů a pracovníků univerzit se z hlediska kyberútoků mohou jevit jako nevýznamné cíle. Ve skutečnosti však mohou být informace získané úspěšným phishingem na univerzitních účtech dokonce ještě cennější. Jejich databáze totiž obsahují mnoho významných a exkluzivních výzkumů, pokrývajících témata od ekonomiky až po jadernou fyziku. Kromě toho na univerzitách probíhají také doktorské programy, v rámci kterých mohou kyberzločinci získat přístup k dalším cenným odborným znalostem, ale také k soukromým informacím a potenciálně kompromitujícím materiálům.

I přesto, že univerzity dbají na svou IT bezpečnost, útočníci najdou způsoby, jak se do jejich systémů nabourat. Zaměřují se totiž na jejich nejslabší článek, samotné uživatele. Scénář je téměř vždy stejný. Útočníci vytvoří identickou webovou stránku univerzity, která se liší jen několika písmeny ve webové adrese. Oběti obvykle naletí, zadají své přístupové údaje a poskytnou tak útočníkům cenné informace. Úspěšnost takových útoků se pak zvyšuje s použitím těch nejvhodnějších metod sociálního inženýrství.

Celkově experti detekovali 961 útoků na 131 univerzitách zaměřených většinou na výuku v anglickém jazyce. 83 z nich se nachází v USA a 21 sídlí ve Velké Británii. Obzvláště velkou pozornost zaměřili útočníci na University of Washington. Kaspersky Lab zjistila, že na tuto konkrétní školu bylo namířeno 111 útoků. Statistiky dále ukazují, že útokům čelily vzdělávací instituce také v Asii, Evropě a Africe.

“Počet subjektů, na které phishing cílí, je znepokojivý. Potvrzuje se, že vzdělávání se stává pro kyberzločince atraktivním tématem. Představitelé univerzit by si měli být vědomi toho, že každý z jejích zaměstnanců a studentů může představovat slabý článek a poskytnout kyberzločincům přístup do interních systémů. Měli by proto preventivně učinit patřičná bezpečnostní opatření,” říká Naděžda Děmidová, bezpečnostní odbornice ve společnosti Kaspersky Lab.

Bezpečnostní doporučení, abyste se nestali obětí phishingu:

  • Dřív než na cokoliv kliknete, vždy adresu zkontrolujte a přesvědčte se, že je autentická. Bezpečnější než na link kliknout, je přepsat ho přímo do adresního řádku prohlížeče. Pokud si nejste jistí, že je stránka bezpečná, nikdy své přihlašovací údaje nezadávejte. Když dodatečně zjistíte, že jste je zadali na podvodné stránce, okamžitě změňte své heslo.
  • Nikdy nepoužívejte stejné heslo pro různé stránky a služby. Jinak budou v případě jeho odcizení ohroženy všechny vaše účty. Pro vytvoření dostatečně bezpečného hesla, které je zároveň snadné si zapamatovat, použijte správce hesel.
  • Pro to, aby nikdo nemohl proniknout do vašeho připojení a nepozorovaně nahradit autentický web tím falešným, nebo sledovat vaše aktivity na internetu, používejte vždy zabezpečené připojení, zabezpečené Wi-Fi se silným šifrováním a heslem nebo použijte řešení VPN, která připojení šifrují.
  • Používáte-li k brouzdání na internetu vlastní zařízení, třeba jen mobilní telefon, vždy používejte pokročilé bezpečnostní řešení, které vás upozorní při vstupu na phishingovou stránku.
  • Firmy by měly své zaměstnance poučit o tom, aby nikdy nesdíleli citlivé údaje, jako jsou jméno a heslo k jejich účtům, s třetími stranami a neklikali na linky od neověřeného odesílatele nebo v podezřelých mailech.
  • Firmy by také měly implementovat spolehlivé endpoint bezpečnostní řešení s anti-phishingovými technologiemi

    Zdroj: www.itsec-nn.com

GDPR v praxi, aneb jak přijít o práci dříve než jí dostanete, jen protože jste upozornili na chybu.

SPECIALISTA IT SECURITY

Dnes jsem měl rozhovor se svým známým, který mi vyprávěl jak XXXXXBank neoprávněně nakládá s jeho údaji, dle jeho slov uvádí subjekty údajů v omyl a předává bez souhlasu údaje dalším společnostem. Navíc dle jeho slov je XXXXXBank v naprosto katastrofickém stavu při uplatňování svých práv.

Celé se mi to zdálo velice nepravděpodobné. Ale po hodinovém rozhovoru a prozkoumání všech podkladů se nedá než souhlasit. Abych tedy popsal strasti mého známého:

Přihlásil se skrze portál jobs.cz do výběrového řízení XXXXXBank. Po pár dnech jej kontaktovali z personální agentury, aby se dostavil na pohovor. K jejich smůle je jednou z předností známého to, že se věnuje problematice GDPR. Nicméně neváhal a vyrazil na pohovor do personální agentury XXXXX. Na začátku pohovoru se zeptal, kde získali jeho osobní údaje, dostalo se mu odpovědi, že neví, ale pokud je u nich v databázi, tak asi z té. Posléze absolvoval v personální agentuře cca 30 minutový pohovor, který dle jeho slov, vedla velmi zmatená paní. Po té, co jí sdělil, proč je na pohovoru a vysvětlil jí situaci a sdělil jí, že jeho údaje získali neoprávněně. Jako vysvětlení se mu dostalo slov, že zajišťují personální nábor pro zmíněnou XXXXXBank, který je smluvně zajištěn. Zde však vzniká problém, ze kterého je vidět jak je GDPR neřešeno a zanedbáváno. Personalistika je u většiny organizací místo s největšími mezerami. Na portálu jobs.cz je uvedeno, že správcem OÚ je ten, kdo zveřejňuje nabídku práce. Dále je zde uvedeno, že osobní údaje nikomu nepředávají. Pokud tak činí, tak zadavatel nabídky musí v rámci dané nabídky informovat komu budou údaje předávány. U dané nabídky práce, ale žádná informace o předávání údajů nebyla.

Pouze odkaz na informaci o ochraně osobních údajů samotného bankovního ústavu. Po prostudování tohoto dokumentu zde vychází dva fakty. XXXXXBank neinformuje, jak zpracovává osobní údaje za účelem náboru zaměstnanců. Jediné co zde uvádí, je, že mohou předávat osobní údaje dalším zpracovatelům, jejichž seznam je zveřejněn na webových stránkách. Jenže ani po hodinovém hledání, se takový seznam nedalo najít (máme uložený screen, ukážeme za 30 dní, viz závěr článku). Známý navíc pročetl, jak nakládá s osobními údaji i samotná personální agentura. Zde se objevil další problém. Nenašel, kde uplatnit svá práva a jak. Také jsem tedy prozkoumal agenturu a zjistil zajímavý fakt, že personální agentura, která má 50000+ životopisů v databázi (prý sděleno majitelem agentury), jejíž hlavní činností je každodenní vyhodnocování kandidátů, nemá jmenovaného pověřence ochrany osobních údajů. Dalo by se očekávat, že pokud by takový pověřenec byl, nic takové by nenastalo.

Zde by se mohlo zdát, že strasti kolegy končí, jenže ono je to naopak. V informaci o zpracování osobních údajů vystavovatele nabízené pozice, je zmínka, že svá práva můžete uplatnit na každé pobočce. Kolega je velmi pečlivý a tak zašel do pobočky XXXXXBank a požádal o informaci jaké osobní údaje o jeho osobě zpracovávají (budou vědět, že je jejich klientem, ale také žadatelem o práci?). Než byl jeho požadavek vyřízen prošel přes tři osoby a skončil u pracovnice přepážky, které asistovala ředitelka pobočky. Ředitelka pobočky se obořila na známého, že je jasné jaké informace o jeho osobě zpracovávají a, že jsou to informace, které potřebují k vedení jeho účtu. To známého velmi nadchlo a jal se vysvětlovat samotné nařízení a trval na uplatnění svých práv. Po krátkém rozhovoru byla známému vytisknuta jeho smlouva o vedení účtu, s tím, že toto jsou informace, které o něm zpracovávají. Kolega se tedy prý jal vysvětlovat, jak funguje takové uplatnění práv a zda si to nechtějí rozmyslet. Paní na přepážce nevěděla co má dělat, ale paní ředitelka prý zvedla telefon a poradila se s někým, kdo je proškolený a něco ví. Po chvíli prý přišla a s úsměvem na tváři oznámila kolegovi, že na to mají 30 dní. Kolega se jen usmál, protože to se jim snažil poradit. Ať přijmou jeho požadavek, řádně ho zpracují a pak mu do 30 dnů dají odpověď. Neboť XXXXXBank nemá zjevně proškolené zaměstnance a nastaven proces uplatnění práv, sepsali s ním takovýto „požadavek“ (viz obrázek) a rozloučili se s ním.

požadavek banka

Známý tedy všechny zúčastněné upozornil na chyby. Změní se však něco? Kdo všechno se tedy dopustil chyb?

V první řadě Jobs.cz uzavřel smlouvu s organizací, jež řádně neprověřil a tím porušil článek 28. Společnost XXXXXBank, vzhledem ke spolupráci s personální agenturou, lze označit za viníka z té samé chyby. Dále společnost XXXXXBank uvedla kolegu (a asi mnoho dalších) v omyl tím, že jim poskytla nepravdivé a nepřesné informace. XXXXXBank, také zjevně předávala osobní údaje v rozporu s nařízením GDPR. XXXXXBank, také zjevně nemá proškolené zaměstnance, neboť nikdo nevěděl, co má dělat a co to kolega vlastně chce (jaká on má práva a jaké oni povinnosti). XXXXXBank navíc nemá zpracovaný proces pro uplatnění svých práv. Je celkem jasné, že navíc XXXXXBank neposkytne mému kolegovi přesné informace o tom, jaké informace o něm zpracovává, neboť nezahrne do těchto údajů jím zaslaný životopis. V neposlední řadě by banka, vědoma si incidentu, měla sama informovat Úřad pro ochranu osobních údajů. A to už v době vydání tohoto článku.

Dalším v řadě je tedy personální agentura, která získala osobní údaje neoprávněně. Personální agentura zjevně nemá zájem o to, aby její klienti mohli uplatnit svá práva, navíc jejich údaje, chce zpracovávat 10 let což je u životopisů neadekvátní doba, po kterou ani nemůže vyhovět nařízení, aby udržela zpracovávané informace aktuální. Personální agentura navíc nemá jmenovaného pověřence, který by na jejich aktivity dohlížel a kontroloval přesně tyto problémy. Agenturu jsem kontaktoval a její sdělení je, že dle jejich právního zástupce „Pověřence pro ochranu osobních údajů nepotřebují“, ale že pro jistotu se s dotazem obrátí na ÚOOÚ. Neznám personální agenturu, ve které by nedocházelo k rozsáhlému a pravidelnému vyhodnocování a monitorování subjektů.

Na jeden den, a jednoho kolegu to bylo hodně. A co myslíte? Zachovají se všichni dle zákona? Vědí, co mají vůbec dělat? Upřímně, bohužel se čím dál tím víc setkávám s tím, že „GDPR Lawyer“ vlastně ani neví, o čem Nařízení GDPR je, nebo spíše nemají zkušenosti z reálné praxe. Ale pro banky a podobné instituce je stále právník víc než kybernetik.

Dovoluji si konstatovat, že pokud má být GDPR správně implementováno, je třeba spolupráce více profesí a dobře sladěného týmu. Proto doporučuji komunikovat jen se společnostmi, které takový tým mají. Je to u ostatních personálních agentur jiné? Jsou ostatní banky lepší? Lze vůbec chtít, aby si organizace vážili nás a našich práv?

Článek bude mít pokračování za 30 dní, kdy vyprší lhůta oběma společnostem k podání informací. Pak odhalíme i jejich jména. Zatím jim ponecháváme čas „seskupit síly a vzpamatovat se“.

Petr Gondek, DPO, managing director GDPR Support s.r.o.

Zdroj: www.itsec-nn.com