Provázanost GDPR s kybernetickou bezpečností stoupá

V měsíčníku Veřejná správa vyšel rozhovor o GDPR a kybernetické bezpečnosti s Jiřím Kauckým, předsedou Úřadu pro ochranu osobních údajů.

Ten zejména upozorňuje na to, že provázanost ochrany osobních údajů s kybernetickou bezpečností stále stoupá a my se na to všichni musíme připravit.

Zde je výtah části zmíněného rozhovoru:

V posledních týdnech zesílily kybernetické útoky.
Co když se ztratí osobní údaje obyvatel v důsledku kybernetických útoků?

V případě, kdy dojde k úspěšnému hackerskému útoku a budou odcizeny osobní údaje, takzvaná data breach, musí správce všechny případy porušení zabezpečení evidovat a vyhodnotit, je-li potřeba takové porušení nahlásit Úřadu (čl. 33 GDPR).

Oznamovat není nutné ty případy, kdy je nepravděpodobné, že by takové porušení mělo za následek riziko pro práva a svobody fyzických osob.

Pokud je ovšem pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce osobních údajů povinen oznámit takové porušení, a to bez zbytečného odkladu, nejen Úřadu, ale i dotčeným subjektům údajů.

Jak na takovou situaci Úřad nahlíží?

Jakkoliv v žádném případě nehodláme trestat oběti například hackerských útoků, jsou případy, kdy správce natolik zásadním způsobem zanedbal své povinnosti chránit osobní údaje, že bude na místě uplatnění sankčních pravomocí.

V této souvislosti je třeba klást důraz na otřepaný fakt, že základem je prevence.

To znamená udělat vše, co je technologicky, ekonomicky, personálně i administrativně možné.

Pokud už přeci jen k porušení zabezpečení dojde, nastupují pro správce zákonné povinnosti, jako právě ohlašovací povinnost, a to nám, i třeba NÚKIBu, spadá-li správce do povinných osob dle zákona o kybernetické bezpečnosti.

Důležitá je i minimalizace škod a náprava stavu.

Teprve následně se řeší, zda případně bylo možné situaci předejít.

Nemůžeme tak položit rovnítko mezi únik dat, způsobený kybernetickým útokem, a sankční odpovědností správce osobních údajů.

Vždy je nutné posoudit míru zabezpečení v kontextu zpracování osobních údajů.

Daří se územním samosprávám skloubit konzultační roli s dozorovou činností tak, aby Úřad nekontroloval sám sebe?

Musím přiznat, že se jedná o velmi důležité a zároveň citlivé věci.

Nepřekročitelným mantinelem naší konzultační činnosti je zachování nezávislosti Úřadu při výkonu dozorové působnosti. Naším úkolem nejen ve vztahu k územní samosprávě by mělo být pomáhat těm, kteří o to skutečně stojí.

Dozorový úřad ovšem nemůže sloužit jako servisní organizace. Je třeba rovněž mít na zřeteli, že kvalita odpovědi zpravidla odpovídá kvalitě otázky.

Při běžné konzultační činnosti nemůže být cílem jakéhokoliv záměru ze strany Úřadu schvalovat či navrhovat k nim jiná řešení, to je odpovědností správce.

Pověřenci územních samospráv se při konzultacích s ÚOOÚ dozvědí, jaké nároky a povinnosti na ně GDPR klade, na co všechno pamatovat a zda se nejedná o již známý problém, který jsme prověřili kontrolou.

Konzultaci je třeba chápat jako prevenci porušení pravidel. Na druhou stranu i kontrola má zpravidla velký edukativní význam, a to bez ohledu na její výsledek.

Od začátku roku došlo ke změně právní úpravy ohledně zpracování takzvaných cookies. Zaznamenal Úřad v této souvislosti podněty na porušení u obecních webů?

Podněty a stížnosti, které nám byly po novele zákona o elektronických komunikacích ve vztahu ke zpracování osobních údajů prostřednictvím souborů cookies doručeny, se téměř ve všech případech týkají soukromoprávních subjektů.

Podněty směřované vůči územním samosprávným celkům jsme zatím obdrželi tři.

Kam se mohou obce obracet v případě nejasností v ochraně osobních údajů?

Primárně na svého pověřence pro ochranu osobních údajů, který musí být jmenován ze zákona.

Je možné se obrátit i na nás, konkrétně na oddělení konzultací.

Celý rozhovor si můžete přečíst zde: