SOFTWARE I HARDWARE SPOLEČNOSTÍ HUAWEI A ZTE JE BEZPEČNOSTNÍ HROZBOU

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal VAROVÁNÍ před používáním softwaru i hardwaru společností Huawei Technologies Co., Ltd., a ZTE Corporation. Používání těchto prostředků představuje bezpečnostní hrozbu.

„K vydání tohoto varování nás vedly naše poznatky včetně poznatků z činnosti našich bezpečnostních partnerů a také zjištění našich spojenců. Hlavním problémem je právní a politické prostředí Čínské lidové republiky, ve kterém uvedené společnosti primárně působí. Čínské zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách, a tudíž pouštět je do systémů, které jsou klíčové pro chod státu, může představovat hrozbu,“ říká ředitel NÚKIB Dušan Navrátil.

NÚKIB k vydání varování přistoupil i z toho důvodu, že Čínská lidová republika na území České republiky aktivně prosazuje své zájmy včetně provádění zpravodajských aktivit vlivového i špionážního charakteru, jak ostatně dokládají i výroční zprávy bezpečnostních služeb za rok 2017.

„Varování podle zákona o kybernetické bezpečnosti znamená, že správci systémů, které spadají do kritické informační infrastruktury, významných informačních systémů nebo provozovatelů základních služeb, se popsanými hrozbami musí zabývat a musí přijmout adekvátní opatření. Nerozlišujeme mezi systémy ve správě státu a ve správě soukromých subjektů. Naším kritériem je, zda by napadení příslušného systému mělo dopad na fungování České republiky jako suverénního státu,“ vysvětluje Dušan Navrátil.

Varování NÚKIB najdete na Úřední desce zde.

 

Zdroj: www.govcert.cz

Přímý marketing ve světle nařízení eprivacy a GDPR

Úvod

Přímý marketing je nedílnou součástí podnikání, pomáhá společnostem šířit svá obchodní sdělení a podporovat tak podnikatelské záměry a maximalizovat zisk. Samotný pojem a jeho výklad je poměrně jasný již z názvu. Přímý, „direct“, marketing se zaměřuje na komunikaci s adresáty, a to pomocí přímého kontaktu. Rovněž se však jedná o jeden z pojmů, se kterým mají podnikatelé, a to i ti zaběhlí, velký problém. Větší zájem o tuto problematiku vzbudily dva nové předpisy, které se přímého marketingu dotýkají. Jedná se o Nařízení Evropského parlamentu a Rady (EU) č. 2016/479 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) a nový návrh Nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích) (dále jen „ePrivacy“). V úvodu je potřeba upozornit, že v případě ePrivacy se stále jedná o návrh a jeho znění se v budoucnu může měnit. V oblasti přímého marketingu však již k žádným velkým změnám nedojde.

Co se považuje za přímý marketing?

Přímý marketing je činnost, jejíž součástí je zasílání přímých marketingových sdělení (kromě toho do přímého marketingu můžeme zařadit určité profilování subjektů, hodnocení úspěšnosti apod.). Nařízení ePrivacy nabízí v článku 4 odst. 3 písm. f) definici přímého marketingového sdělení. Z něj je patrné, co se tím rozumí. Jedná se o formu reklamy, a to jak písemnou, tak ústní, která je zaslána jednomu nebo více identifikovaným nebo identifikovatelným koncovým uživatelům služeb elektronických komunikací. Přímý marketing tak lze provádět například telefonicky, pomocí SMS či prostřednictvím elektronické pošty. Na zasílání fyzických reklamních letáků se ePrivacy vztahovat nebude. Přímý marketing je velmi oblíbeným nástrojem, a to hlavně z důvodu své efektivity a poměrně vysoké úspěšnosti. Oproti plošné reklamě se liší hlavně tím, že se mnohem lépe hodnotí právě jeho úspěšnost a efektivita.[1] S cílením reklamy vždy úzce souvisí zpracování osobních údajů subjektů, na které je zaměřeno. Z tohoto důvodu je potřeba brát v potaz také nařízení GDPR, které bude rozebráno níže.

Jelikož je problematika poměrně široká, zaměří se článek pouze na přímý marketing prováděný zasíláním obchodních sdělení pomocí e-mailu.

Současný stav ve společnostech

V praxi se ukázalo, že současný stav zasílání obchodních sdělení je ve společnostech poměrně tristní. V průběhu praxe jsem se setkal se třemi skupinami společností.

První skupina společností se domnívala, že přímý marketing je možno činit na základě souhlasu se zpracováním osobních údajů. Druhá skupina se zase domnívala, že obchodní sdělení je možno zasílat vždy na základě oprávněného zájmu. Třetí skupina zasílala obchodní sdělení, vedla si databáze kontaktů a žádná pravidla neřešila (toto je ta nejhorší varianta). Článek si klade za cíl vysvětlit první dvě skupiny případů a upozornit, z jakého důvodu není ani jeden z přístupů zcela v pořádku.

Každá společnost, která chce provádět přímý marketing, musí zejména zhodnotit, jakým způsobem jej bude provádět. Je třeba klást důraz na to, aby sdělení byla zasílána transparentním způsobem a aby veškeré potřebné údaje pro zasílání sdělení byly zpracovávány korektně a zákonně.

Přímý marketing a GDPR

Nejprve se na danou problematiku podíváme z pohledu ochrany osobních údajů, tedy z pohledu GDPR. Ač se jedná o poměrně široce pojatý předpis, nalezneme v něm ustanovení, která se přímému marketingu věnují. GDPR přímý marketing nezakazuje, pouze stanovuje základní právní rámec, aby byl prováděn zákonným způsobem. Pravděpodobně nejvíce zavádějící, ale rovněž nejdůležitější, je bod 47 recitálu k GDPR, kde je přímý marketing zmíněn. V tomto bodu je uvedeno, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“

Tato jednoduchá věta způsobila u mnoha společností nemalé problémy. Bez znalosti kontextu přímého marketingu z ní totiž vyplývá, že pokud chce správce provádět přímý marketing, bude tak činit na základě právního důvodu, kterým je oprávněný zájem. Kontext je však odlišný, neboť GDPR není jediný předpis zabývající se danou problematikou. Rozdíly mezi přímým marketingem na základě oprávněného zájmu a na základě souhlasu budou rozebrány níže v textu. U GDPR je rovněž potřeba pamatovat na skutečnost, že se nevztahuje na právnické osoby. Pokud si tedy společnost vede databanky právnických osob, nemusí se starat o zabezpečení a další povinnosti stanovené v GDPR. To však neznamená, že s těmito údaji může nakládat libovolně. Pro zasílání obchodních sdělení je totiž důležitý také jiný předpis, na který se v praxi velmi často zapomíná, a tím je zákon č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů (dále jen „zákon o informační společnosti“), zejména pak § 7 tohoto zákona, který je rozebrán níže.

S GDPR se rovněž pojí rozsah zpracovávaných osobních údajů. Spolek pro ochranu osobních údajů (dále jen „Spolek“) v nedávné době vydal poziční dokument, ve kterém uvádí určitý přípustný rozsah údajů (tento dokument je v době publikace tohoto článku stále otevřen k veřejné konzultaci). Pro účely přímého marketingu a zasílání obchodních sdělení e-mailem je tak dle názoru Spolku možno zpracovávat údaje jako je jméno, příjmení, věk či informace o přečtení pro účel profilování a cílení reklamy.[2] Samozřejmostí je zpracovávání e-mailové adresy. Dle bodu 3 recitálu k ePrivacy by se ustanovení nařízení měla vztahovat rovněž na právnické osoby. I když se tedy GDPR na právnické osoby nevztahuje, doporučuje Spolek nakládat s nimi tak, jako by se na ně vztahovalo (v rozsahu zasílání obchodních sdělení).[3] S tímto postupem zcela souhlasím.

Oprávněný zájem vždy?

GDPR nám tedy říká, že přímý marketing je možno provádět na základě oprávněného zájmu. Jak jsem uvedl, bez hlubší znalosti kontextu se jeví, že je tento titul postačující vždy. Kontext je však odlišný. Kdy tedy může společnost zasílat obchodní sdělení na základě oprávněného zájmu?

V současné době je stále účinná úprava zákona o informační společnosti, která v § 7 upravuje postup, který je třeba při šíření obchodních sdělení dodržet. Podle odst. 2 je možno šířit obchodní sdělení pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Zákon o informační společnosti tak vychází z obecné zásady opt-in (zásada přihlašovací).[4] Z této zásady však existuje výjimka, kdy je v odst. 3 upraven princip opt-out.[5] Obchodní sdělení je tak možno šířit také v případě, kdy fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu v souvislosti s prodejem výrobku nebo služby. Následně je možno využít daného kontaktu pro nabízení obdobných výrobků nebo služeb, a to i bez souhlasu, na základě výše zmíněného principu opt-out. Tento princip znamená, že musí existovat možnost předem odmítnout dostávání takovýchto obchodních sdělení. Určitým způsobem se tedy v případě odst. 3 předpokládá, že zákazník chce dostávat informace vztahující se k obdobným výrobkům nebo službám.

Před vstupem ePrivacy v účinnost je tak potřeba pamatovat na úpravu zákona o informační společnosti, kde je upraveno šíření obchodních sdělení. Tato úprava je často velmi opomíjena a přehlížena.

Na základě oprávněného zájmu tak lze provádět přímý marketing pouze za určitých předpokladů. Pro použití oprávněného zájmu je velmi důležité, aby toto zpracování subjekt údajů očekával. Proto lze oprávněný zájem využít pouze v případech, kdy se jedná o zákazníka, kterému bude správce nabízet zboží či služby podobné zakoupenému zboží či službě. Když si totiž zákazník zakoupí určité zboží, může důvodně očekávat zasílání obchodních sdělení, týkající se obdobných výrobků nebo služeb. Jedná se o vymezenou výseč, ve které je možno využít tohoto právního titulu. Musí tedy existovat zákaznický vztah (viz níže) a pro oprávněný zájem bude nabízena pouze obdobná služba či výrobek. Pokud zákazník zakoupí zájezd u cestovní kanceláře, může očekávat, že bude v přiměřené míře dostávat obchodní sdělení týkající se dalších zájezdů. Je potřeba znovu upozornit, že zákazník musí mít dle § 7 odst. 3 zákona o informační společnosti možnost odmítnout zasílání těchto sdělení před zahájením zasílání. V ostatních případech se již bude muset správce osobních údajů spolehnout na souhlas.

Jak má do budoucna vypadat souhlas?

Nová úprava ePrivacy nám do budoucna přinese jasnější odkaz na náležitosti souhlasu. Právě souhlas se zpracováním podle čl. 9 ePrivacy musí splňovat náležitosti upravené v GDPR. Každý souhlas tak musí být určitý, srozumitelný, informovaný a jednoznačný. Bohužel nepostačí ani starý souhlas se zpracováním osobních údajů. Souhlas tedy musí splňovat náležitosti čl. 4 odst. 11 a čl. 7 GDPR. Jelikož však neexistují náležitosti souhlasu ani v současném zákoně o informační společnosti, je nanejvýš jasné, že souhlas musí již dnes splňovat náležitosti dle GDPR.

Získávání souhlasu je rovněž poměrně problematické. Za obchodní sdělení je totiž, dle Úřadu pro ochranu osobních údajů, nutné považovat také žádost o vyslovení souhlasu se zasíláním obchodních sdělení nebo zaslání prostého odkazu na přístup k internetovým stránkám podnikatele.[6]

Kde je hranice mezi „zákazníkem“ a „nezákazníkem“?

Z recitálu k ePrivacy, přesněji bodu 33, vyplývá, že je možno v kontextu existujícího zákaznického vztahuumožnit používání kontaktních údajů pro elektronickou poštu. Dle mého názoru je tak velmi důležitá právě skutečnost, že vztah již existuje, zákazník si něco zakoupil a na základě toho je zasíláno obchodní sdělení. Ač nařízení obsahuje pojem „v souvislosti“ s prodejem výrobku nebo služby, nedomnívám se, že postačí určitá fáze kontraktace. Dle mého názoru je tak potřeba, aby existoval uzavřený smluvní vztah mezi zákazníkem a zasílatelem obchodního sdělení. Dle některých autorů je však stanovisko opačné, přičemž odkazují na úpravu občanského zákoníků, přesněji na § 2986 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, který je vykládán tak, že stačí, aby existovala pokročilejší fáze kontraktace.[7] Dle názoru Spolku může být zákazníkem také osoba, která projevila určitý zájem o získání zboží či služby, či osoba, která se registrovala do e-shopu.[8] Osobně se nedomnívám, že tomu tak je, neboť skutečnost, že se zákazník například registruje na e-shopu ještě neznamená, že očekává zasílání obchodních sdělení, ovšem s tímto názorem jdu pravděpodobně „proti proudu“.

Právo vznést námitku proti přímému marketingu

Pokud se tedy jedná o zákazníka, kterému jsou nabízeny obdobné výrobky a služby, musí mít možnost jednoduchým způsobem vznést námitku proti tomuto zasílání. Takto zní čl. 16 ePrivacy. Znění § 7 odst. 3 zákona o informační společnosti, který ještě nereflektuje toto nové právo stanovené v čl. 21 GDPR, hovoří o možnosti jednoduchým způsobem odmítnout souhlas (svým způsobem se však jedná o to samé).

Právo vznést námitku dle GDPR je poměrně zajímavý institut, který by si zasloužit samostatný článek. Obecně je možno vznést námitku hlavně proti zpracování na základě oprávněného zájmu. Často tento institut přirovnávám k institutu odvolání souhlasu. Při uplatnění práva vznést námitku však musí správce prokázat, že má pro zpracování závažné oprávněné důvody. Znamená to tedy, že v některých případech, kdy subjekt údajů vznese námitku proti zpracování, jí nemusí být vyhověno. Přímý marketing je však jedna z výjimek, která potvrzuje toto pravidlo. Právě ustanovení čl. 21 odst. 2 a 3 GDPR hovoří o námitce vůči přímému marketingu. Jedná se o velmi jednoduché odmítnutí, kdy v případě, že subjekt údajů tuto námitku vznese, musí správce se zpracováním pro tyto účely přestat bez dalšího. Již se nezkoumá, zda má správce oprávněný zájem k takovému zpracování či nikoliv.

Nařízení ePrivacy jde stejným směrem jako současný zákon o informační společnosti, ovšem mnohem důkladněji reflektuje terminologii GDPR, kdy již nehovoří o pouhém odmítnutí přímého marketingu, ale o možnosti vznést námitku proti přímému marketingu. Je zde reflektována možnost zpracovávat údaje pro přímý marketing na základě oprávněného zájmu, ovšem rovněž je dodržena možnost přímý marketing jednoduchým způsobem odmítnout.

Shrnutí

Prostor pro využívání oprávněného zájmu v oblasti přímého marketingu je poměrně malý, ovšem existuje. Častěji bude existovat touha posílat širší rozsah sdělení, než pouze sdělení na výrobky a služby, které souvisí s dříve poskytnutým plněním. Z toho důvodu bude často využíván souhlas se zasíláním obchodních sdělení.

Praxe bývá bohužel opačná. Z důvodu nekompetentních informací se spousta subjektů domnívá, že provádět přímý marketing lze na základě oprávněného zájmu a souhlas si tak nezískávají nikdy. Tím však naráží na velký problém, který velmi rád a často kontroluje Úřad pro ochranu osobních údajů.

Příkladů udělení statisícových pokut za zasílání obchodních sdělení bez souhlasu je velké množství[9] a jedná se o jeden velmi častý prohřešek, který provází současnou úpravu.

Do budoucna, tedy po účinnosti ePrivacy, očekávám, že v této oblasti k obrovským změnám nedojde. Zejména s ohledem na mediální dopad GDPR předpokládám, že společnosti, které doposud zasílání obchodních sdělení vůbec neřešily, budou do budoucna dohánět své resty. Jednou se tak možná dočkáme dne, kdy nám přestane přicházet nevyžádaná pošta.

Autor pracuje v advokátní kanceláři.

 

Zdroj: www.iurium.cz

Obrana před kyberútoky (nejen) v roce 2019

axenta cybersecurity 2019

Známé pravidlo říká, že nejlepší obranou je útok. V kyberprostoru to však neplatí. Tedy neplatí to, pokud nejste státem podporovaná skupina, nebo armáda a neděláte to ze strategických důvodů. My ostatní si musíme vystačit s konvenčními obrannými prostředky a na tzv. hack-back můžeme zapomenout. Navíc by nám to v 99,9% případů ani nepomohlo.

Co nám ale pomoci může, je připravenost. Proto se v této sérii článků podíváme na to, jak se poučit z chyb minulosti a být připraven na (nejen) nové útoky v roce 2019.

Standardní opatření – hesla, firewally, záplaty, vzdělávání

Potřeba bezpečných hesel a využívání správců hesel by již měla být každému jasná. S větším množstvím úniků dat vidíme, že je nutná i multifaktorová autentizace, kde navíc už nestačí SMSka na mobil, který představuje jen další zařízení, které je snadno zneužitelné. V současnosti jsou prostředky vícefaktorové autentizace už mnohem dostupnější i pro běžné uživatele, což umožňuje jejich zařazení do běžných bezpečnostních opatření v organizaci.

Druhým opatřením je firewall, který je dnes již standardem snad v každé společnosti. Bohužel je však častokrát chybně chápán jako něco, co slouží jen jako stěna mezi internetem a naší sítí. Stejně důležité využití firewallu však spočívá v segmentaci sítě.

Přijde nám samozřejmé, že z Wi-Fi sítě, do které se uživatelé připojují mobilem, by asi neměl být povolen přístup do sítě, ve které máme umístěny důležité servery nebo citlivá data. Kolik společností však má odpovídající nastavení na firewallu? Nemluvě o tom, že o důležitosti segmentace jsme se již několikáté přesvědčili v roce 2017 při útocích WannaCry a NotPetya. Nesegmentované sítě při napadení tímto malwarem umožnily jeho rychlé šíření v interních sítích, což mělo za následek obrovské škody.

Neméně důležitým opatřením je záplatování. O tom jsme se také přesvědčili nejen v roce 2017 při WannaCry a NotPetya, ale také v dubnu a srpnu roku 2018, kdy probíhaly globální útoky na weby využívající CMS Drupal (tzv. Drupalgeddon) resp. webový framework Apache Struts. Tyto útoky zneužívaly zranitelnosti, které byly opraveny během pár hodin po jejich zveřejnění. Přesto bylo velké množství webů hacknutých. Důvodem bylo zanedbané záplatování.

Zejména v případě uživatelského softwaru existuje velmi málo výjimek, které mohou omluvit nezáplatovaný software. V případě softwaru používaného v kritické infrastruktuře, v nemocnicích a dalších kritických odvětvích je však situace mnohem složitější. Situaci komplikuje nejen finanční náročnost, ale zejména v případě vysoce specializovaného softwaru nedostupnost záplat, požadavky na zpětnou kompatibilitu, zda vysoké nároky na dostupnost zařízení, které neumožňují důkladné záplatování softwaru daného zařízení.

Dobrou zprávou však je, že i v případě, že není možné software důkladně záplatovat, můžeme z toho plynoucí rizika často snížit vhodnou kombinací ostatních bezpečnostních opatření, které zabrání zneužití přítomných zranitelností.

Nesmíme zapomenout ani na vzdělávání. Na jedné straně s postupným zdokonalováním technik sociálního inženýrství přicházíme na to, že tvrzení o tom, že uživatel je nejslabší článek, nemusí být univerzálně platné. Na straně druhé je spearphishing stále nejrozšířenější metodou útoku pokročilejších útočníků – a navíc i velmi úspěšnou.

Vysokou úspěšnost můžeme kromě rafinovanosti útočníků připsat zejména málo vzdělaným uživatelům. Velké množství veřejně dostupných dat o uživatelů jen pomáhá útočníkům, kteří dokáží s použitím těchto dat dokonale oklamat uživatele, aby si nainstaloval malware nebo z něj dostat přístupové údaje. Vždyť kdo by nekliknul v e-mailu o výpadku vody v posilovně, do které běžně chodí, o čemž informuje na svém veřejném profilu v Instagramu?

Endpoint řešení

Kliknutím ve výše zmíněném e-mailu si uživatel právě nainstaloval do počítače malware, který umožní útočníkovi zaznamenávat stisky kláves, podvrhnout mu falešnou stránku internetbankingu nebo se přes jeho počítač dostat k firemním datům. Právě tomuto by se dalo zabránit pomocí vhodně zvoleného endpoint řešení. Klasické EDR řešení můžeme chápat jednoduše jako antiviry na steroidech. I proto často antivirem splývají přesto, že nabízejí více funkcionality zaměřené na pokročilých útočníků namísto komoditního malwaru.

Dobře zvolený EDR software dokáže na základě behaviorální analýzy a využití AI zablokovat, nebo alespoň detekovat různé druhy malwaru a aktivit útočníka na napadeném počítači a následně počítač „opravit“ do zdravého stavu. To se vztahuje nejen na pokročilých útočníků ale také na zcela běžné spamové e-maily obsahující malware v přílohách, malware pocházející z pochybných webových stránek či nestandardní způsoby nákazy, například malware z USB zařízení.

Ani EDR však nepředstavuje všelék a sám o sobě nedokáže útokům 100% zabránit. Velkým problémem může být i tzv. insider threat. Pod tím si můžeme představit úmyslné poškozování IT infrastruktury nebo krádež citlivých dat, či sabotáž, kterou dobrovolně provádí samotný zaměstnanec. Pokud si k tomu domyslíme aktuální trend přesunu nejen dat ale i infrastruktury do cloudu, vyvstává obecný požadavek na řešení problému správy přístupu.

I o tom, jak řešit správu přístupu, si řekneme v dalším článku z této série.

Zdroj: www.itsec-nn.com

Pověřenci

Nejdůležitější informace a nejčastější dotazy k pověřenci pro ochranu osobních údajů (DPO).

 

Kdo musí jmenovat pověřence pro ochranu osobních údajů? 

Povinnost jmenovat pověřence pro ochranu osobních údajů se netýká všech správců nebo zpracovatelů, ale pouze těch, kteří provádějí zpracování uvedená v čl. 37 odst. 1 GDPR.

!! Nové !! Jaké musí mít pověřenec kvalifikační předpoklady?

Ke kvalifikačním požadavkům na pověřence Úřad upozorňuje, že „nedefinování“ požadované úrovně odborných znalostí pověřence v normativním textu GDPR vyplývá z toho, že nařízení upravuje pouze a právě aspekty ochrany osobních údajů v užším slova smyslu.  Požadavek čl. 37 odst. 5, že pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů a své schopnosti plnit úkoly stanovené v článku 39, vyjadřuje, že kvalifikační předpoklady se vztahují rovněž k hlavním činnostem správce,  jejichž součástí je zpracování osobních údajů, nebo k činnosti veřejných subjektů. Tyto činnosti předurčují další kvalifikační požadavky na osobu pověřence. !! Nové !!

!! Nové !! Jaké jsou podmínky na působení externího pověřence?

K externímu postavení pověřence Úřad upozorňuje na pokyn Evropského sboru pro ochranu osobních údajů, s nímž se jako člen, který se na přípravě pokynů spolupodílel, ztotožňuje:

WP243 příloha Často kladené otázky:

Je možné jmenovat externího pověřence pro ochranu osobních údajů (čl. 37 odst. 6)? 

Ano. Podle čl. 37 odst. 6 může být pověřenec pro ochranu osobních údajů pracovníkem správce či zpracovatele (interní pověřenec pro ochranu osobních údajů), nebo může „úkoly plnit na základě smlouvy o poskytování služeb“. To znamená, že pověřenec pro ochranu osobních údajů může být externí, a v tomto případě může být jeho funkce vykonávána na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo s organizací. 

Je-li pověřenec pro ochranu osobních údajů externí, vztahují se na něj veškeré požadavky podle článků 37 až 39. Jak je uvedeno v pokynech, je-li funkce pověřence pro ochranu osobních údajů vykonávána externím poskytovatelem služeb, skupina osob pracujících pro tento subjekt může účinně plnit úkoly pověřence pro ochranu osobních údajů jako tým, za který je odpovědný určený hlavní kontakt a „odpovědná osoba“ pro klienta. V tomto případě je nezbytné, aby každý člen externí organizace vykonávající funkce pověřence pro ochranu osobních údajů splňoval veškeré příslušné požadavky GDPR. V zájmu právní jasnosti a dobré organizace pokyny doporučují ve smlouvě o poskytování služeb jasně rozdělit úkoly v rámci externího týmu pověřenců pro ochranu osobních údajů a určit jednu osobu jakožto hlavní kontakt a „odpovědnou“ osobu pro klienta.

Hlavní kontakt a odpovědnou osobu pro každého klienta pak musí správce sdělit Úřadu.!! Nové !!

Jak sdělit kontaktní údaje na pověřence?

Některým správcům a zpracovatelům vznikne účinností obecného nařízení o ochraně osobních údajů povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). V této souvislosti jsou dle článku 37 odst. 7 obecného nařízení povinni jak zveřejnit kontaktní údaje na pověřence, tak je i sdělit dozorovému úřadu, tj. Úřadu pro ochranu osobních údajů.

Forma sdělování kontaktních údajů na pověřence dozorovému úřadu není obecným nařízením blíže konkretizována. Sdělení lze učinit zejména prostřednictvím elektronických kontaktů (e-mail: posta@uoou.cz, datová schránka: qkbaa2n) s uvedením předmětu zprávy „oznámení pověřence“.

Obsahem sdělení je:

• identifikace správce nebo zpracovatele, který sděluje kontaktní údaje na pověřence
• označení pověřence (jméno, příjmení)
• kontaktní údaje na pověřence (e-mail, telefon)

Kontaktní údaje na pověřence sděluje správce či zpracovatel, nikoli daná fyzická osoba, která bude vykonávat funkci pověřence, a to i v případě, kdy funkci pověřence zastává pro více organizací.

Obecné nařízení nespecifikuje ani formu zveřejnění kontaktních údajů správcem nebo zpracovatelem. Nejvhodnější forma zveřejnění je prostřednictvím internetových stránek, případně lze takovéto zveřejnění u některých subjektů doplnit na úřední desce.

Jakým způsobem by měla probíhat konzultace pověřenců a dalších osob, zajišťujících soulad zpracování u správce či zpracovatele s Úřadem pro ochranu osobních údajů?

Řešit problémy každodenní praxe a správně aplikovat jednotlivá ustanovení GDPR je úkolem správců, případně jejich pověřenců.

Ačkoli Úřad nemá v rámci GDPR, jakožto dozorový úřad, stanovenu přímou konzultační roli, vyjma jeho role ve specifickém institutu předchozích konzultací (dle čl. 36 GDPR), poskytuje i nadále konzultace (odpovědi na dotazy) v rámci svých personálních možností. Pro nejefektivnější využívání odborníků Úřadu ke konzultacím doporučujeme pověřencům, resp. správcům či zpracovatelům, dodržovat následující postup:

  • Identifikujte a analyzujte problém

Konkrétní popis situace (základní parametry příslušného zpracování).

  • Vyhledejte a zpracujte vhodná řešení 

K otázkám, které při tom vyvstanou, hledejte vhodná řešení za použití příslušných ustanovení relevantních právních předpisů, tedy často nejen GDPR.

Návrh řešení by měl být stručný a výstižný, nicméně postihující všechny podstatné aspekty původního problému, tj. jak ty, které stály na počátku, tak ty, které byly identifikovány v předchozím kroku.

  • Zašlete relevantní dokumenty/informace

Úřadu zašlete takové dokumenty/informace, které jsou nutné k posouzení kontextu dotazu. Úřad také informuje, že v rámci konzultační činnosti neschvaluje ani neposuzuje návrhy či revize interních předpisů nebo provozní či uživatelské dokumentace informačních systémů používaných ke zpracování osobních údajů.

UPOZORNĚNÍ: I v případě, že dojde ke splnění výše uvedených podmínek, nadále platí, že konzultace není ani závěrem z uplatnění dozorových pravomocí, ani závazným stanoviskem Úřadu.

Odkazy

  • Základní příručka
    Nejdůležitější informace k DPO
  • Jak konzultovat s Úřadem [PDF, 505 kB]
    Doporučení pověřencům pro ochranu osobních údajů a dalším osobám, zajišťující soulad zpracování u správce či zpracovatele.
  • Otázky a odpovědi
    Nejčastější odpovědi Úřadu na dotazy k DPO
  • Pokyny Sboru k pověřencům
    Dokumenty Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupiny WP29), které poskytují výklad významných prvků zaváděných obecným nařízením o ochraně osobních údajů.
  • Pokyny Sboru k pověřencům (často kladené otázky)
    Jedna z příloh Pokynů Sboru má za cíl zodpovědět zjednodušenou a snadno čitelnou formou některé klíčové otázky k tomuto tématu.
Zdroj: www.uoou.cz

Facebook dostal v Itálii pokutu deset milionů eur

Italský úřad pro ochranu spotřebitelů a hospodářské soutěže (AGCM) uložil americké společnosti Facebook pokutu ve výši deseti milionů eur (téměř 260 milionů korun) za to, že mimo jiné neinformoval uživatele „adekvátně a okamžitě” ohledně užívání jejich osobních údajů.

Ilustrační foto

Ilustrační foto

FOTO: Dado Ruvic, Reuters

pátek 7. prosince 2018, 21:11 – Řím

Podle deníku The Guardian se jedná o jeden z nejvyšších finančních trestů, jaký kdy provozovatel stejnojmenné sociální sítě dostal. Italský úřad o kroku informoval v páteční tiskové zprávě.

AGCM uvedl, že kalifornská firma porušila čtyři paragrafy italského řádu pro ochranu spotřebitelů. Facebook prý při vytváření účtu nedostatečně informoval uživatele o skutečné hodnotě jejich dat a o tom, k čemu budou využity. Podle úřadu zdůrazňoval pouze bezplatnou povahu své platformy a zamlčoval výdělečnou složku svých operací, čímž lidi pobízel k rozhodnutí, které by při znalosti všech faktů neučinili.

AGCM také jako „agresivní praktiku” kritizuje sdílení dat se třetími stranami za komerčními účely, které je prováděno „bez předchozího vyjádřeného souhlasu, tudíž způsobem nevědomým a automatickým”. Úřad tím odkazuje i na výchozí nastavení služeb Facebooku, která „připravují předávání uživatelských dat stránkám a aplikacím”. Kromě zaplacení pokuty žádá po firmě zveřejnění „opravného” prohlášení, kterým by veřejnost o problematice podrobně informovala.

Šéf Facebooku Mark Zuckerberg při středečním slyšení v americkém Kongresu.

Šéf Facebooku Mark Zuckerberg

FOTO: Reuters

Facebook v první reakci uvedl, že lidé mají na platformě své osobní informace ve vlastní moci a že po nedávných změnách jsou nastavení týkající se soukromí snáze dohledatelná. „Zkoumáme rozhodnutí AGCM a přejeme si, abychom s ním mohli spolupracovat na rozptýlení obav. Letos jsme učinili naše smluvní podmínky jasnějšími, abychom lidem pomohli pochopit, jak používáme data a jak naše podnikání funguje,” píše se v prohlášení.

The Guardian uvádí, že italské úřady na Facebook kvůli jeho datové politice vytváří výrazný tlak. Už loni AGCM udělil společnosti pokutu tři miliony eur (78 milionů korun), protože prý tlačila uživatele své chatovací služby WhatsApp do sdílení dat se základní facebookovou mobilní aplikací .

Oproti tomu v Británii dostal Facebook za údajné prohřešky v rámci skandálu Cambridge Analytica pokutu jen 500 000 liber (14,5 milionu korun), což je zároveň nejvyšší postih, jaký může britský úřad pro ochranu osobních údajů udělit.

Mnohem vyšší trest, až 1,63 miliardy dolarů (kolem 37 miliard korun), mu hrozí v případu, který vyšetřuje Irská komise pro ochranu dat. Ta zkoumá, zda bezpečnostní chyba v systémech Facebooku, která nedávno umožnila hackerům přístup k téměř 50 milionům uživatelských účtů, nepředstavovala porušení evropské směrnice pro ochranu dat (GDPR).

Oproti ročnímu zisku společnosti je však maximální možná pokuta stále pouhým zlomkem, neboť loni Facebook vydělal téměř 15,9 miliard dolarů (kolem 360 miliard korun.)

Zdroj: www.novinky.cz

Merriot přišel o data půl miliardy zákazníků

Merriot přišel o data půl miliardy zákazníků

Společnost Merriot provozující síť hotelů uvedla, že zjistila masivní neautorizovaný přístup do své databáze z roku 2014. Hacker zašifroval data a pokusil se je smazat. Hack dosahuje až 500 milionů hostů, kteří učinili rezervace v hotelu Starwood, který zahrnuje hotely Sheraton a Westin. Pro zhruba 327 milionů z tohoto čísla obsahuje ohrožené informace údaje jako jsou jména, poštovní adresy, telefonní čísla, e-mailové adresy, čísla pasu, informace o účtu Starwood Preferred Guest, datum narození, pohlaví, informace o příjezdu a odjezdu, datum rezervace a komunikaci rezervace.

Vzhledem k velikosti se jedná o nejvýznamnější únik dat. V některých případech byly rovněž součástí hacku i čísla platebních karet a data vypršení platnosti, Marriott uvedl, že není jasné, zda hackeři mají informace pro dešifrování čísel platebních karet. Pokud je ale mají, bude dešifrování jen otázkou času.

Rozsah těchto údajů může pro spotřebitele představovat problémy, zejména se ztrátou citlivých údajů, jako jsou informace o pasu.

Kancelář generálního prokurátora v New Yorku ve tweetu uvedla, že zahájila vyšetřování porušení. “Newyorčané si zaslouží vědět, že jejich osobní informace budou chráněny,” uvedla kancelář. Jiní státní státní zástupci také uvedli, že plánují vyšetřovat, včetně Marylandu a Pennsylvánie. Vzhledem k rozsahu to bude nepochybně zajímat i Evropskou komisi.

Zdroj:  www.itsec-nn.com

POZOR! – Nařízení Evropského parlamentu a Rady (EU) 2018/1725 o ochraně fyzických osob

POZOR !!
Právě bylo zveřejněno nové Nařízení Evropského parlamentu a Rady (EU) 2018/1725 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES.
České znění naleznete zde:
https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX%3A32018R1725&from=EN&fbclid=IwAR2qmmkfFGoSTLkYcQUKrnWvQT6YCSfziqtuhxYQbl9eJduTOKTNyAWr4fA