Průběžně vás informujeme (viz zářijový, říjnový, listopadový i prosincový bulletin) o nové směrnici EU NIS2, která se dotkne více než 6000 organizací v ČR. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) na téma implementace NIS2 připravil specializované stránky, kde se dočtete koho se nové povinnosti týkají, jakým způsobem budou muset organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika. Problematiku implementace nové směrnice jsme pro vás shrnuli i my, a to v samostatném článku o NIS2.
Směrnice NIS2 v průběhu ledna již vstoupila v platnost na celém území EU (a tedy je k dispozici i její kompletní znění). To znamená, že již běží jednadvacetiměsíční lhůta pro implementaci normy do legislativy jednotlivých států EU.
Chcete vědět, zda budou mít připravované změny skutečně dopad i na vaši společnost? Obraťte se na nás, problematikou NIS2 vás provedeme krok za krokem a vy tak získáte jistotu, že budete v souladu s legislativou, jakmile směrnice vstoupí v platnost prováděcím zákonem České republiky.
Česká republika se v rámci Evropské unie zavázala ke zvyšování bezpečnosti elektronické komunikace. V říjnu 2021 bylo v této souvislosti vydáno ochranné opatření k zabezpečení e-mailové komunikace, které nabylo účinnosti od 1. 1. 2023. Správci a provozovatelé informačních systémů, které jsou klíčové pro fungování státu, by tedy měli mít splněné veškeré požadavky a body k zabezpečení e-mailových schránek, které vyplývají z metodiky NÚKIB.
Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil plán kontrol pro rok 2023. Z plánu vyplývá, že se ÚOOÚ zaměří především na korektní zpracovávání a uchovávání osobních údajů:
Dále se počítá s kontrolami určitých informačních systémů Policie České republiky a s hloubkovým zaměřením na oblast telemarketingu (v úzké spolupráci s Českým telekomunikačním úřadem). Ve většině případů jde o periodické kontroly, které je ÚOOÚ povinen vykonávat.
V zářijovém bulletinu jsme vás informovali o zatím druhé vůbec nejvyšší pokutě (cca 405 milionů €) za porušení GDPR, kterou byla sankciována společnost Meta a její sociální síť Instagram irským úřadem pro ochranu dat. Neuběhlo ani půl roku a tentýž úřad rozhodl o dalších postizích pro platformy Facebook a Instagram, konkrétně se jedná o pokutu v souhrnné výši 390 milionů € za nekorektní zpracování osobních údajů svých zákazníků pro tzv. behaviorální (zájmovou) reklamu. Určitou zajímavostí je, že Evropský sbor pro ochranu osobních údajů ještě výrazně navýšil částku původně navrhovanou irským úřadem. V případech obou sociálních sítí totiž Evropský sbor pro ochranu osobních údajů dospěl k závěru, že společnost Meta údaje svých klientů zpracovávala v rozporu se zákonem. Společnost Meta dostala dále uloženo, aby uvedla své postupy zpracování údajů do souladu s GDPR, a to do tří měsíců.
Národní úřad pro kybernetickou a informační bezpečnost přináší zajímavé informace o novinkách z oblasti výzkumu a vývoje kyberbezpečnosti:
Tato i další témata NÚKIB rozebírá ve svém posledním vydání zpravodaje. Dozvíte se zde i tipy na nadcházející akce.
Přesně před rokem jsme vás v lednovém bulletinu informovali, že telemarketingové společnosti nemohou svévolně kontaktovat telefonní účastníky na bázi přístupu „opt-out“ (nyní již nelegální díky novele § 89 odst. 3 zákona o elektronických komunikacích), tedy že musí mít udělený aktivní souhlas s telemarketingovými hovory.
Od té doby obdržel Český telekomunikační úřad (ČTÚ) téměř 800 stížností na nevyžádané marketingové telefonáty. Jejich řešení bylo v drtivé většině případů značně komplikované – ať už kvůli nekompletním podnětům stěžovatelů nebo z technických důvodů. Telemarketingové společnosti často volají ze zahraničí či používají předplacené SIM karty. Na konci prosince se ovšem podařilo jeden subjekt usvědčit z nejméně 21 nevyžádaných telefonátů, za což mu ČTÚ vyměřil pokutu ve výši 420 000 Kč. Rozhodnutí zatím není pravomocné.
V rámci Policie ČR došlo k přelomovému rozhodnutí nechat na dobrovolné bázi odebírat DNA vzorky policistům, kteří se pohybují na místech kriminálních činů. Za tímto rozhodnutím stojí především snaha usnadnit a urychlit práci forenzních techniků a specialistů, a tím urychlit i celé vyšetřování. V praxi se totiž běžně stává, že technici na místě zajistí DNA policistů, typicky na cigaretových nedopalcích. Policisté jsou pochopitelně poučení, jak se na místě činu chovat, přesto nelze nikdy vyloučit kontaminaci vlastní DNA.
Odvrácenou stranou ovšem může být potenciální zneužití databáze DNA vzorků. K problematice se vyjádřil i František Nonneman ze Spolku pro ochranu osobních údajů: „Z operativního hlediska je to určitě dobrá myšlenka. Má to svůj význam, ale chtělo by to pořádně napsaná pravidla. Je to dlouholetý spor mezi Českým úřadem pro ochranu osobních údajů a ministerstvem vnitra, že neexistuje právní zákon na národní databázi DNA. Pár vět je v zákoně o policii. Úřad říká, že je to málo, podle policie to stačí a nejsou tam stanovena detailní pravidla.“ Mluvčí policejního prezidia připomíná, že je odběr DNA dobrovolný a probíhá na základě písemného souhlasu se zpracováním osobních údajů.