Legislativní opatření a zákony se vyvíjejí s ohledem na společenskou poptávku, aktuální potřeby a okolnosti. Výjimkou není ani zákon č. 181/2014 Sb., tedy zákon o kybernetické bezpečnosti. Jelikož se Česká republika zavázala k tzv. harmonizaci se směrnicemi Evropské unie, čeká na příslušnou aktualizaci i zákon o kybernetické bezpečnosti. Měly by se do něj promítnout dopady revize směrnice Evropského parlamentu a Rady EU 2016/1148 z 6. 7. 2016 týkající se opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU (tzv. směrnice NIS).
Novela směrnice NIS zatím nedoznala definitivní podoby, na jejím znění stále ještě pracuje Evropský parlament. Už nyní je přesto jisté, že finální podoba směrnice NIS bude znamenat značné dopady do zákona o kybernetické bezpečnosti, ve kterém dojde ke značným změnám. Souběžně s tím Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pracuje na dokumentu s pracovním názvem Bílá místa, v rámci kterého zjišťuje nedostatky současné právní úpravy a sbírá podněty k nápravě.
NÚKIB vyzývá k součinnosti odbornou veřejnost k zasílání podnětů, které mohou přispět k připravovanému návrhu zákona o kybernetické bezpečnosti a souvisejících předpisů. Všechny zaslané náměty bude úřad pečlivě vyhodnocovat a v případě, že je vyhodnotí jako relevantní, bude je zapracovávat do připravovaných změn. Podmínkou pro zapracování je, aby navrhovaná změna byla relevantní k dané problematice, dále aby byla alespoň stručně zdůvodněna a obsahovala návrh řešení. Navrhovaná změna musí ctít podmínky právního státu a principy, na kterých je postaven zákon o kybernetické bezpečnosti.
Vaše návrhy můžete zasílat NÚKIBu do konce června 2022, a to buďto prostřednictvím webového formuláře, nebo e-mailem s předmětem „ZKB – návrhy změn“.
NÚKIB vydal varování ohledně stále trvající kampaně podvodných telefonátů (tzv. vishing), během kterých se podvodníci vydávají za technickou podporu společnosti Microsoft. Snahou podvodníků je získání údajů k vaší platební kartě.
Scénář těchto telefonátů má vždy podobný charakteristický průběh:
Pokud se sami stanete terčem podobného telefonátu, podle NÚKIBu byste měli postupovat takto:
NÚKIB upozorňuje, že vlna těchto podvodných telefonátů bude pokračovat i v následujících dnech a týdnech, jejich frekvence se zatím nesnižuje.
V současnosti máme k dispozici a používáme celou škálu komunikačních a chatovacích aplikací a platforem. Ne všechny však odpovídají doporučovaným standardům, zejména s ohledem na použití tzv. end-to-end šifrování. Jedná se o bezpečnostní funkci, díky které je komunikace mezi příjemcem a odesílatelem zprávy ochráněná. To znamená, že není čitelná pro nikoho jiného než obě zmíněné strany, a to včetně provozovatelů komunikačních aplikací (případně dalším stranám, které mají ke komunikaci přístup nebo jej mohou získat). Pokud aplikace end-to-end šifrování nepoužívají, je komunikace dostupná i provozovatelům služby (a případně dalším stranám, viz výše).
Národní úřad pro kybernetickou a informační bezpečnost připravil analýzu následujících komunikátorů:
Aplikace, které šifrování metodou end-to-end využívají, jsme v seznamu označili tučným písmem a symbolem ✔. Kompletní analýza NÚKIB potom zohledňuje i (ne-)splnění dalších bezpečnostních parametrů zmíněných komunikátorů jako např. vyžadování osobních údajů, automatické mazání zpráv nebo spojení provozovatele s bezpečnostními incidenty ad.
Informační koncepce České republiky počítá s vybudováním národního cloud computingu, který by měl být realizován formou tzv. hybridního eGovernment cloudu (eGc). Ten by se měl skládat ze dvou částí: státní (provozované a vlastněný státem) a komerční (provozované soukromými subjekty).
Za účelem postupné realizace eGs stát (v zastoupení Ministerstvem vnitra) zřídil tzv. katalog cloud computingu. Jedná se o veřejný seznam, který obsahuje následující údaje:
22.3.2022 byli do katalogu cloud computingu zapsaní první čtyři soukromí poskytovatelé cloudových služeb. Ti úspěšně prošli náročným procesem zápisu, který mj. vyžaduje splnění 35 bezpečnostních kritérií a všech dalších požadavků plynoucích ze zákona.
„Zapsaní poskytovatelé splnili veškeré požadavky zákona č. 365/2000 Sb. pro zápis do katalogu cloud computingu a jsou způsobilí zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy, bezúhonní v rozsahu bezúhonnosti požadované po kvalifikovaném správci kvalifikovaného systému elektronické identifikace a způsobilí pro poskytnutí cloud computingu orgánu veřejné správy z hlediska veřejného pořádku, bezpečnosti a dodržování práv třetích osob,“ informovalo o zápisu do katalogu cloud computingu Ministerstvo vnitra.
Úřad pro ochranu osobních údajů (ÚOOÚ) publikoval na svých webových stránkách výroční zprávu za minulý rok. Ve výroční správě Úřad shrnuje svoji činnost během roku 2021, mj. se vyjadřuje ke svému výkladovému stanovisku ohledně novely zákona o elektronických komunikacích, konkr. k otázce cookies. Úřad konstatoval, že by uživatel stránek měl mít možnost svobodné volby, tedy odmítnutí souhlasu stejně jako jeho udělení. Provozovatelé webových stránek se tedy museli připravit na změnu, kdy je možné shromažďovat osobní údaje návštěvníků stránek pouze na základě jejich prokazatelného souhlasu (princip „opt-in“). O těchto skutečnostech jsme vás informovali v našem loňském prosincovém přehledu novinek.
ÚOOÚ se dále ve své výroční zprávě detailně věnuje opatřením přijatým během pandemie covid-19, uvádí příklady z provedené kontrolní činnosti a neopomíjí ani evropskou a mezinárodní spolupráci vč. problematiky předávání osobních údajů do třetích zemí a mezinárodním organizacím.
Úřad ve své zprávě uvádí i několik zajímavých čísel, např. nejčastější stížnosti a podněty:
V předchozím (březnovém) přehledu novinek jsme vás informovali, že Nejvyšší správní soud (NSS) vydal usnesení, podle kterého nemocnice nejsou veřejným subjektem – nelze jim tedy uložit pokutu za případné porušení směrnic GDPR. A to i v případech, kdy jsou nemocnice zřízeny a vlastněny veřejnými orgány moci (kraji) a jsou financovány z veřejného zdravotního pojištění.
Zanedlouho poté ale potvrdil NSS pokutu ve výši 40 000 Kč uloženou nemocnici kontrolované Úřadem pro ochranu osobních údajů. Jak k tomu došlo? Zmíněná nemocnice sice poskytuje zdravotní péči, které je bezesporu ve veřejném zájmu, ovšem patří zároveň mezi akciové společnosti, které nečerpají prostředky z veřejných rozpočtů. Z toho důvodu není veřejným subjektem ve smyslu zákona o zpracování osobních údajů, u něhož by mělo být rozhodnuto o upuštění od potrestání.
„Nemocnice, coby akciová společnost, nedostává peníze na svůj provoz a fungování přímo z veřejných rozpočtů. Získává je jako protiplnění za konkrétní lékařské úkony, které vykáže zdravotním pojišťovnám. Stejným způsobem je ostatně financován jakýkoli jiný poskytovatel zdravotnické péče,“ vyjádřil se k celému případu předseda ÚOOÚ Jiří Kaucký.
Evropská pohraniční a pobřežní agentura pro ochranu hranic Frontex využívá ke zpracování dat kombinované cloudové řešení. To se skládá z produktů Microsoft Office 365, cloudu od Amazon Web Services a cloudového řešení Microsoft Azure.
Jakým způsobem agentura Frontex zpracovává osobní osobních údaje, tím se zabýval Evropský inspektor ochrany osobních údajů (EDPS), který dozoruje zpracování dat unijními institucemi. Po ukončení šetření EDPS došel k závěru, že Frontex postupoval v rozporu s příslušnými pravidly. Neprovedl totiž dostatečné posouzení dopadů na ochranu soukromí. Podle EDPS Frontext adekvátním způsobem neposoudil rizika a nutnost dalších opatření k ochraně dat. EDPS dále konstatoval, že Frontext nedokumentoval nezbytnost využití právě uvedených cloudových služeb, ani právní odůvodnění pro sběr „servisních dat“ ze strany Microsoftu.