Máme pro vás další nálož novinek, které se týkají kyberbezpečnosti. Jak to bude s cookies od začátku roku 2022, má zaměstnavatel právo či povinnost po vás požadovat očkovací/testovací certifikáty? Od letoška mohou podnikatelé požádat finanční správu, aby součástí jejich DIČ nebylo rodné číslo. Nejvyšší správní soud zveřejnil rozsudek, jímž zpochybnil rozhodnutí o pokutě 1,5 milionu korun uložené společnosti Internet Mall. Očkovací loterie na Slovensku hrubým způsobem porušila GDPR a Velká Británie bude udělovat pokuty za výchozí hesla v zařízeních.
Ve středu 15. 9. 2021 poslanecká sněmovna přehlasovala senát a schválila novelu zákona o elektronických komunikacích. Znamená to, že od 1.1. 2022 bude možné ukládat cookies pouze se souhlasem návštěvníků webu. Prostřednictvím cookies dochází ke zpracování osobních údajů nejčastěji za účelem zajištění provozu (technické cookies), analýzy návštěvnosti (analytické cookies) a zobrazení personalizovaných reklam (marketingové cookies).
Správci webových stránek budou moci shromažďovat osobní údaje návštěvníků těchto stránek pouze na základě jejich prokazatelného souhlasu. Získání svobodného, konkrétního a informovaného souhlasu neumožňuje situace, kdy je v prohlížeči „souhlas“ předem automaticky nastaven. Navíc dle obecného nařízení je to právě správce, kdo musí být schopen doložit, že mu subjekt údajů udělil souhlas se zpracováním svých dat.
Uživatel musí mít možnost souhlas jednoduše odmítnout či odvolat, aniž by to pro něho představovalo újmu, např. že by se mu bez udělení souhlasu nezobrazil obsah webových stránek. Navíc musí mít jasným a srozumitelným způsobem poskytnuty přesné a úplné informace o všech podstatných otázkách, jako jsou povaha zpracovávaných údajů, účely zpracování, příjemci, jimž budou údaje případně předány či práva subjektu údajů.
Pandemická situace se opět s ochlazením přiostřuje, a proto vyvolává v zaměstnancích a jejich zaměstnavatelích mnoho otázek, co se týká požadování testovacích či očkovacích certifikátů. Jak to tedy je s poskytováním těchto informací a co to znamená pro zaměstnavatele v rámci GDPR?
Více se dozvíte v našem článku na blogu.
Úřad pro ochranu osobních údajů uložil společnosti SMS finance, a.s. povinnost, vymazat osobní údaje fyzických osob, k jejichž zpracování nedoložila právní titul podle čl. 6 obecného nařízení. Šlo zejména o osobní údaje získané prostřednictvím vázané zástupkyně této společnosti, která oslovila potenciálního klienta na základě dat, k jejichž získání nebyla společnost schopna doložit řádný právní titul.
Společnost se následně obrátila na Městský soud v Praze. Ve správní žalobě proti rozhodnutí Úřadu společnost uvedla, že za nesprávně zpracovávané osobní údaje neodpovídá ona, nýbrž její spolupracovníci jako vázaní zástupci, kteří jsou samostatnými podnikatelskými subjekty. Městský soud v Praze správní žalobu společnosti zamítl.
Zamítnuta byla také následná kasační stížnost, kterou společnost podala k Nejvyššímu správnímu soudu, ten ve svém odůvodnění konstatoval, že i když zpracovatel (v tomto případě ona vázaná zástupkyně) ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch vyvíjí činnost.
Rodné číslo podnikatelů už nemusí automaticky být součástí jejich daňového identifikačního čísla (DIČ). Novou možnost přinesla novela daňového řádu, která platí od letošního ledna. Stát tak vyšel vstříc zejména ochráncům osobních údajů.
Má to však jeden háček. Pouze ten, kdo o to finanční úřad výslovně požádá, získá DIČ tvořené „vlastním identifikátorem správce daně, který bude na rozdíl od rodného čísla koncipován jako bezvýznamový“ – tedy číslo, které s tím rodným nijak nesouvisí. Všichni ostatní podnikatelé – tedy i ti, kteří začínají – však dál automaticky dostávají DIČ podle rodného čísla.
Také podle ministerstva vnitra není správné, aby obsahem DIČ bylo rodné číslo. Plošná změna všech DIČ ze starého na nový formát je však podle něj poměrně složitá. Rodná čísla samozřejmě nejsou problémem jen v DIČ. O tom, že by měla zmizet třeba i z občanských průkazů a různých registrů jako základní identifikátor fyzické osoby, se mluví přes deset let. Ukončení využívání rodného čísla je v plánu v roce 2025.
Dne 11. listopadu 2021 Nejvyšší správní soud zpochybnil rozhodnutí o pokutě 1,5 milionu korun uložené provozovateli e-shopu Mall.cz, v souvislosti s únikem osobních údajů stovek tisíc uživatelských účtů. Ze samotné skutečnosti, že k úniku došlo, údajně nelze automaticky vyvozovat spáchání přestupku. Úřad pro ochranu osobních údajů (ÚOOÚ) by se měl zabývat tím, jaká bezpečnostní opatření proti hackerům firma ve sporném období uplatňovala a zda byla přiměřená.
RTVS totiž na obrazovce při vysílání relace „Byť zdravý je výhra” zveřejnila citlivé údaje některých losovacích lístků soutěžících, které obsahovaly adresu a telefonní čísla. Těmito záběry televize zveřejnila soukromé údaje soutěžících, což je porušení GDPR. RTVS ale vinu odmítá, jako argument uvedla, že na zaslaných záběrech nejsou osobní údaje na lístcích zachycené v čitelné podobě tak, aby z nich bylo možné identifikovat konkrétní osobu.
Vláda Velké Británie vydala nový zákon, který chrání chytrá zařízení připojená k internetu.
Zákon o bezpečnosti zařízení a telekomunikační infrastruktury má tři body:
Nový zákon se týká chytrých telefonů, routerů, bezpečnostních kamer, herních konzolí, chytrých reproduktorů, a kuchyňské techniky a hraček připojených k internetu. Naopak se netýká počítačů, aut, zdravotních zařízení a chytrých měřičů. Zákon se netýká jen zařízení vyrobených ve Velké Británii, ale také levného importu například z Číny. Za nedodržení jsou stanoveny pokuty až 10 miliónů liber nebo 4 % ročního obratu. Také je stanovena denní pokuta do 20 tisíc liber za probíhající porušování.
Říjen byl dle Národního úřadu pro kybernetickou a informační bezpečnost druhým nejrušnějším měsícem tohoto roku! Zaznamenal totiž 14 kybernetických incidentů. Většina z nich neměla vážné následky a podařilo se je rychle vyřešit. Prvenství má stále březen, během kterého se odehrálo 30 případů, z nichž většinu zapříčinily zranitelnosti Microsoft Exchange Serveru.
Podle specialisty vzdělávacích technologií a on-line vzdělávání Davida Kudrny mezi lidmi koluje řada mýtů, kvůli kterým kybernetickou bezpečnost zlehčují. Jedinou cestou, jak kybernetickým útokům a hrozbám předcházet je pravidelné vzdělávání uživatelů.
Pokud vás zajímají vzdělávací materiály NÚKIB, podívejte se sem. Celý rozhovor najdete zde.
