Menu

Aktuality

Pokud v současné pandemické době existuje oblast, kde dostává ochrana soukromí skutečně na frak, tak tím je bezesporu projekt tzv. “inteligentní karantény”. Nicméně si nemyslím, že tomu tak ve skutečnosti musí být a pokud se zamyslíme nad pravými důvody uvádění různých trasovacích aplikací do života, tak v tomto případě budu jednoznačně pro takové aktivity. Pokud má být jakákoliv aplikace maximálně efektivní, tak musí být zavedena plošně, nejlépe globálně tak, aby v ní zpracovávaná data mohla být analyzována bez ohledu na národní zájmy, zákony či hranice. Upřímně řečeno, koronavirus si také nevybírá země, do kterých vstoupí a hlavně se nás na nic neptá. A proto je třeba se jeho šíření postavit úplně stejným způsobem.

V první řadě jakékoliv sledování osob, které jsou buď nakaženy nebo jim to bezprostředně hrozí, nemůže být založeno na jejich souhlasu. Opět se mi vrací doba GDPR souhlasové tsunami před účinností nařízení v roce 2018, kdy si každá organizace chtěla pojistit zpracování osobních dat souhlasem. Proboha, zkusme již na tento naprosto nejistý právní titul zpracování na chvíli zapomenout a použít pro boj s virem něco stabilnějšího a hlavně rozumnějšího. A že se nám těch možností nabízí celkem dost.

Neustále kritizované GDPR ve svém článku 6 odst 1. jasně říká, že lze osobní údaje zpracovávat, pokud je to nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Nacházíme se v nouzovém stavu, vir napadá po celém světě tisíce lidí denně, takže si můžeme pomoc i dalším právním titulem, kterým bezesporu je zpracování osobních údajů za účelem ochrany životně důležitých zájmů fyzických osob. Co ještě více než naše zdraví k naplnění tohoto účelu potřebujeme? Místo toho tvůrci aplikace okamžitě sahají po souhlasu, který ráno udělím, v poledne se mi rozleží v hlavě a večer odvolám. Jak stabilní a přesné asi takové zpracování může být?

Pokud má projekt inteligentní karantény smysluplně pomoc v boji proti šíření viru, tak se musí vztahovat na všechny osoby bez rozdílu věku, pohlaví a jejich lokace. A v žádném případě nesmí fungovat na vůli osob, zda-li v něm chtějí být či nikoliv. Stát prostě nařídí ať už formou zákona nebo vládního nařízení, že každá infikovaná osoba bude do trasování zařazena a jen díky takto získaným datům může aplikace ochránit zbytek populace, která se domnívá, že je zdravá.

Nejdůležitější pro funkčnost aplikace je dostatek kvalitních dat z různých zdrojů, nejenom od mobilních operátorů, která budou zpracovávána a analyzována buď v anonymizované nebo pseudonymizované podobě. Pokud tyto technické parametry budou dostatečně zajištěny, tak si nemyslím, že se o svoje soukromí musíme tolik bát. Čeho se však bojím mnohem více, je ztráta důvěry v ty organizace, úřady nebo i soukromé osoby, které aplikaci vyvíjí a k samotným datům mají přístup. Jsou to právě ony, kdo mají zajistit zpracování našich lokalizačních dat jenom za účelem zabránění šíření virové epidemie, nikoliv data vytěžovat pro jiné méně bohulibé účely.

Není vůbec náhodou, proč se například Facebook a Google na těchto trasovacích  projektech nechtějí nikde na světě podílet. Jejich důvěra, bohužel ve světle skandálu typu Cambridge Analytica a jiných kauz v současné době mediálně a regulátory hojně sledovaných, spadla téměř na dno a těžko by v pandemické době přesvědčovali veřejnost, jednotlivé vlády a hlavně nás, samotné uživatele, že data, kterými disponují, nepoužijí pod rouškou koronaviru pro jiné, pro ně mnohem komerčně zajímavější využití. Dle mého názoru je to velká škoda, protože oba technologické giganty disponují takovými daty, o kterých se všem tajným službám na světě může jen zdát, a tím by jejich zapojení do trasování v celosvětovém tažení proti koronaviru mohlo mít obrovský pozitivní přínos. Ano, jednou ztracená důvěra se získává zpět velmi těžce a dlouho.

Souhlasím proto s autorem tohoto článku, že pokud má mít inteligentní karanténa smysl, musí být postavena na úplně jiných základech než je doteď ze strany ministerstva zdravotnictví komunikována. Podobné aplikace se ve světě již osvědčily a zjevně k úbytku infikovaných osob výrazně přispěly i za cenu snížené ochrany soukromí jednotlivých osob. České verzi aplikace chybí řada podstatných atributů, především transparentnost a jednoznačná informovanost o tom, za jakým účelem budou data zpracovávána, jaká data a z jakých zdrojů budou analyzována, po jak dlouhou dobu, kdo k nim bude mít přístup, kde budou uchovávána a jak kvalitně budou zabezpečena před jejich zneužitím. Pokud nemá mít tato aplikace pouze krátkodobý efekt, ale postupným zlepšováním může přispívat ke globálnímu, přinejmenším evropskému sdílení dat, tak je třeba si tuto přípravnou fázi poctivě odpracovat.

Rozhodně bych byla pro celosvětové zavedení inteligentní karantény s jednotnými pravidly, pokud by měla výrazným způsobem přispět k uvolnění té fyzické, protože v omezování našeho pohybu spatřuji mnohem větší omezování svobody a soukromí než efektivní a relativně přesně zacílené sdílení dat o šíření viru. Žijeme v době technologické, tak ji pojďme konečně využít v náš prospěch a ochranu. Máme k tomu jedinečnou možnost, která se jen tak opakovat nebude.


Má ochrana zdraví veřejnosti přednost před ochranou našeho soukromí? Smí zaměstnavatelé sbírat a zpracovávat informace o zdravotním stavu svých zaměstnanců? Kde jsou hranice toho, co je v pořádku a co už je za hranou?

Koronavirová krize možná poprvé otevřela “pandořinu skříňku” a samotnému testu je podrobena i životaschopnost GDPR právě v té pomyslné bitvě mezi ochranou našeho soukromí versus ochranou zdraví a bezpečnosti. 

I v době pandemie je potřeba dodržovat zákony. Pomyslná hranice mezi ochranou soukromí na straně jedné a ochranou bezpečnosti na straně druhé může být významným způsobem broušena národními legislativami a hlavně sociálně kulturními zvyklostmi.

Přestože se pohybujeme v režimu obecného nařízení platného v rámci celé EU, tak jeho výklad je třeba provádět v kontextu dalších národních zákonů, především zákona o ochraně veřejného zdraví, zákoníku práce a v neposlední řadě i krizového zákona, na základě kterého byl vyhlášen nouzový stav.

Na ochranu soukromí nemáme absolutní právo, na druhou stranu se ho nemůžeme bezmezně vzdát jen kvůli hrozícímu koronavirovému onemocnění.

Pravidla stanovená GDPR pamatují na takovou mimořádnou situaci v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami.

Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření. Bližší informace uvádí i ÚOOÚ ve svém vyjádření.

Zaměstnavatelé mají právo vyžadovat informace o tom, zda byl zaměstnanec nebo jeho blízké osoby v exponované oblasti, případně může zjišťovat, zda zaměstnanci neprojevují příznaky nemoci. Zaměstnavatel by však tyto údaje neměl detailně evidovat a měl by je využít pouze pro nezbytné účely jako je ochrana zdraví ostatních zaměstnanců nebo pro organizaci práce z domova. Rozhodně by neměl zaměstnavatel mezi eventuálně dotčené zaměstnance automaticky šířit konkrétní osobní údaje nakaženého zaměstnance (zaměstnance v karanténě). Doporučuje se přistupovat k plnění informačně-prevenční povinnosti s rozvahou a při posouzení míry možných rizik v každém jednotlivém případě. Aktuální stanovisko EDPB rovněž potvrdilo, že pro takové zpracování není nutný souhlas samotných osob.

Nicméně je nutné si uvědomit, že v případě našich zdravotních dat zpracovávají orgány veřejné moci nebo privátní zaměstnavatelé velmi citlivé údaje a proto je potřebujeme adekvátně chránit před jejich zneužitím, jak před vnějším, tak i tzv. vnitřním nepřítelem. Hon na “koroňáky” v podobě zveřejňování jejich jmen na sociálních sítích je velkým pokušením s nedozírnými následky na jejich soukromí i životy jejich blízkých.


Jak všichni přechází na práci z domova, řeší se VPN přístupy do firemní sítě. A s ohledem na fakt, že mnoho zaměstnanců pro výkon své práce používalo stolní PC, je pro mnoho zaměstnavatelů nereálné za dané situace vybavit své zaměstnance firemními notebooky. A tak mnohým nezbývá, než pro výkon své práce použít svůj domácí počítač nebo notebook a zaměstnavatelům nezbývá, než to přijmout jako fakt, pokud potřebuje, aby jeho zaměstnanci pracovali.

Vidím spoustu rad o rouškách, pracovně právním aspektu homeofficů, mnoho rad, jak ustát nastalou situaci psychicky. Jak doma vidím práci svého IT administrátora, uvědomuji si jak nízké je povědomí o tom, jak se chránit v online světě a co já sám jako uživatel mohu a měl bych dělat pro bezpečí své, svých osobních údajů a sekundárně pro bezpečí dat a informací svého zaměstnavatele.

Shrnula jsem pár základních věcí, které byste měli mít na zřeteli, pokud začínáte pracovat online. A upřímně jsou to věci, které byste vlastně měli mít na zřeteli vždycky.

Připojení k internetu

Drtivá většina obyvatel ČR využívá připojení od operátorů nebo jiných poskytovatelů internetu. Nutno podotknout, že je to zejména stabilita, až potom rychlost, připojení, která má vliv na to, jak se nám bude pracovat.

Jste zaměstnanec:

Vaše domácí připojení je pomalé a nestabilní (tím myslím takové to, že vám to pořád kolísá alias laguje) -> VPN spojení bude neustále vypadávat.

Tady je také důležité uvědomit si, že na tom domácím internetu jsou všechny vaše mobily, všechny PC a notebooky a pokud máte moderní domácnost, tak i lednice, kamery, zabezpečovačka a internetová TV. Pokud máte starší nebo prostě nekvalitní router, bude vám to dělat problémy. Na běžnou domácnost, jakou jsem zde popsala, by vám měl stačit běžný 50 Mb/s internet. Pokud ovšem ze svého internetu chcete dostat maximální výkon, potřebujete k tomu i výkonný router. To je ta krabička, které všichni říkají “modem”.

Výkon této krabičky je dost často příčinou toho, že váš internet “laguje” (jsou to drobné vteřinové až několikavteřinové výpadky) a je to takové to, když vy pak naštvaně voláte operátorovi, že už vám to hodinu nejde a operátor vám tvrdí, že žádný výpadek neeviduje a má pravdu. Na kvalitě routeru prostě záleží.

Drtivá většina uživatelů si koupí “modem”, zapojí ho do zásuvky a tím to hasne. K přihlášení do WIFI sítě potom do skonání věků používá přednastavené jméno a heslo, které je na té krabičce někde napsané. Je to tzv. defaultní nastavení – nebo také tovární nastavení.

Takto (ne)nastavený router je základním a často největším bezpečnostním rizikem pro vaši domácnost, protože skrze tuto skříňku je velice snadné dostat se do vaší sítě a cokoliv si z ní stáhnout. Včetně přihlašovacích údajů do vaší banky. Možná si řeknete “kdo by chtěl hacknout zrovna mě”. Musíte si ale uvědomit, ale že hackeři vymýšlí plošně fungující mechanismy, které to “prostě zkouší” a rozhodně nechcete, aby někdo prostě jenom mapoval, co ve své domácí síti děláte.

TIP:

Většina routerů má postup, jak si nastavení změnit v přiloženém návodu. Minimálně ty přístupové údaje – název WIFI a její heslo. Cena slušných routerů na trhu nejde pod tisícovku. U těch levnějších už se začínáme bavit o mnoha technických kompromisech, které prostě pocítíte.

Chcete si změnit nastavení svého routeru sami? Zadejte do vyhledávače “model routeru změna nastavení” a určitě najdete postup, který pochopí úplně každý. Hezky krok po kroku.

Pokud máte modem od operátora, vyguglila jsem nastavení za vás nejčastější model routeru o T-Mobile, nejčastější model u O2 a nejčastější model u UPC.

To samé platí pro jakékoliv zařízení, které se připojuje k internetu. Váš telefon, bezpečnostní kamery, chytré spotřebiče. Pokud si netroufnete na nastavení sami, využijte buď servisu od značky (každá větší značka má lokální technickou podporu) nebo investujte pár korun (řádově stovky) do toho, že vám s nastavením pomůže odborník.

Jste zaměstnavatel:

Pamatujete si, jak vám dodavatel vysvětloval, že mít ve firmě kvalitní konektivitu a slušné linky je k nezaplacení. Protože ve chvíli, kdy se vám na server přes VPN snaží dostat 40 zaměstnanců, zjistíte, že stejně nic neudělají, protože k tomu prostě nemají podmínky. No a že byste měli mít taky slušné servery a jiné věci, to je zas na jinou diskuzi. Pokud si vaši zaměstnanci stěžují, že jim blbne VPNka a furt jim padá, pravděpodobně bude na vině právě špatná konektivita.

WIFI a nastavení viditelnosti zařízení v síti

Každý z nás jsme zvyklí se s mobilem i s PC připojovat na WIFI takřka kdekoliv, kde to jde. A pokaždé, když to uděláme, vyskočí na nás taková rádoby otravná hláška, kterou drtivá většina z nás prostě přejde.

Ačkoliv nám to tam Windows píše jak pro blbce, nikdo to nečte. Z praxe vím, že drtivá většina z vás klikne na možnost “domácí” a to je strašně špatně. Takže pokud se příště budete v kavárně připojovat na veřejnou WIFI, vyberte možnost Veřejná síť. Odborník na security by vás samozřejmě zasypal jinými doporučeními. Já tento krok vnímám stejně jako mytí rukou po návštěvě veřejné toalety. Navštívila jsem místo plné bacilů, ale když si ty ruce umyju, riziko nějakého nechtěného pozůstatku rozhodně minimalizuji.

TeamViewer

To není sprosté slovo. To je něco, co když si stáhnete do svého PC a budete to mít připravené ve chvíli, kdy se chystáte volat své IT podpoře, budete za mnohem větší frajery, než když se budete machrovat, že už jste to třikrát restartovali a stejně to furt nefunguje…

Ale prosím vás – VŽDYCKY A JEDINĚ A NIKDY JINAK stahujte pouze z oficiální stránky výrobce software.

Tady to udělátko je věc, díky které má IT administrátor přístup do vašeho PC a vidí všechno skoro tak jako vy. A vy zase vidíte, co dělá, protože jeho počínání vidíte na monitoru. Vidíte kam kliká, co kam píše. Nejedná se o žádné hacknutí. Je to účinný nástroj, díky kterému vám “ajťák” pomůže s řešením vašeho PC problému vzdáleně.

Pokud se nacházíte v situaci, že pracujete z domu a váš IT musí váš domácí PC přidat do firemní sítě, usnadněte sobě i jemu život tím, že si TeamViewer nainstalujete. Oni ti ajtý lidi fakt nemají potřebu hrabat se ve vašem domácím pornu. Mají svoje vlastní. Oni jenom chtějí mít jistotu, že když si vás do té své udržované zabezpečené sítě pustí, že jim tam ten váš domácí PC neudělá totální paseku a oni nebudou naráz řešit problém pro dalších XY vašich kolegů a nedej bože ztrátu dat.

Aktualizace operačního systému

Objeví se vždycky, když nejvíc spěcháte a proto je pořád odkládáte. A někdo je dokonce rovnou zakáže. To je, přátelé, cesta do pekla. Moderní hacking už vám nezamyká klávesnici a nemaže soubory. Moderní hacking vás sleduje. Sleduje vaše chování. Kopíruje si všechno, co v PC máte. Nebo si prostě jenom půjčí výkon vašeho počítače pro své účely, kterými může být páchání jiné trestné činnosti. O ničem z toho se vy jako běžný uživatel nikdy nedozvíte. Většinou se jedná o nějaké přídavné programy, které se vám do PC stáhnou s filmem z torrentů nebo jsou jako součást nějakého dokumentu a jeho otevřením se spustí. Nebo kliknete na odkaz a už stahujete.

Ty dokola se opakující aktualizace nejsou ničím jiným, než souborem oprav slabých míst ve vašem PC. Když svůj PC udržujete aktuální, snižujete riziko, že se vám do něj dostane nějaký brajgl. Víte je to stejné, jako když si postavíte dům. Když zanedbáte údržbu svého domu, tak dřív nebo později vám do něj začne zatékat střechou, profukovat pod okny a budou vám plesnivět zdi od vlhkosti.

Pro bezpečí svých dat je naprosto nezbytné aktualizovat. Ne za týden, ne za den. Ihned. Protože aktualizovaný počítač nebo telefon je pro vás tím samým, co nový nátěr na okna nebo ošetření střechy. A vy přeci nechcete, aby vám teklo do baráku.

Antivirové programy

Tady platí že co je zadarmo, není dobré. Existuje mnoho antivirových programů, které jsou v Home edici zdarma. Ale tyto verze jsou spíš zdrojem dat pro vývojáře těch software a jejich uživatelé jsou něco jako testeři. Výrobci si těmito verzemi zdarma testují, kde ještě mají jakou díru v obraně a co všechno ještě přes ten “antivir” prošlo. Doufám, že za svá předchozí slova předejdu žalobě od výrobců, když dodám investujte do koupě legálního antivirového programu.

Uvědomte si, že i na svých domácích počítačích máte mnoho citlivých informací, které když si někdo stáhne, může de facto cokoliv. Skeny rodných listů, bankovní certifikát a přihlašovací údaje od emailu po banku ke všemu.

Velice častý argument – kdo by chtěl hacknout zrovna mě “Pepu Vopršálka”. Co by si ten hacker na mě vzal. Chcete riskovat, že fotky vašich dětí, jak se koupou hambatý v bazénu na zahradě, někdo zařadí do databáze dětského porna na dark netu? Jak se vám líbí představa, že nad fotkami vaší 6 leté dcery masturbuje nějaký perverzní hovado? Proto věnujte bezpečnosti svých dat pozornost a naučte se, že to holt stojí prachy.

U nás doma se oblíbenosti těší ESET. Další, které bych dokázala doporučit s klidným svědomím je Avira, BitDefender a se zavřeným jedním okem Norton a Kaspersky. Se zavřenýma oběma očima Avast a AVG.

Pokud máte Windows 10 jako operační systém, máte obrovské štěstí. Protože si opravdu vystačíte s Windows Defenderem, který se v této verzi Windows nebývale povedl a byl vyhlášen nejlepším antivirovým systémem roku 2019. To je program, který ve svém počítači už máte. Nemusíte jej instalovat. Prostě ho mějte zapnutý, moc se v něm nehrabte a pokud vám začne něco hlásit, tak si hodně dobře přečtěte, co po vás chce. A pokud tomu nerozumíte, udělejte si screen, sdílejte ho třeba na Linkedin, on už se najde někdo schopný, kdo vám opravdu odborně poradí.

A pamatujte si, v případě antivirových programů platí naprostá věrnost a monogamie. JEDEN je akorát. V poslední době jsem na soukromých PC viděla i situace, že uživatel měl na svém PC aktivní Windows Defender a k tomu měl aktivní tři další antivirové programy.

Za prvé vám takové řešení obrovským způsobem ubírá kapacitu a výkon vašeho PC. Za druhé antiviry dost často pracují proti sobě.

Když vám antivirus A prochází složku, kterou chce projít i antivirus B, dostanou se do takové blbé situace. Jeden druhého přesvědčuje, kdo ten soubor zkontroluje a nakonec se to nepodaří ani jednomu z nich. Kontrola neproběhne korektně. Takže nakonec může nastat situace, že když se dva perou, třetí se směje a tím třetím bude samozřejmě nějaký škodík ve vašem PC.

Přípony známých typů souborů

Když cokoliv stahujete z internetu, vždycky byste si měli být jisti, že otevíráte to, co chcete. Není nic jednoduššího, než EXE soubor (soubory s příponou .exe jsou spustitelné programy) přejmenovat na “obrázek.jpg” a pokud máte skryté koncovky souborů, tak nepoznáte, že jste si do svého PC právě stáhli škodlivý program.

Toto je něco, čemu byste měli věnovat svou maximální pozornost, protože se jedná o způsob, kterým se zamoří drtivá většina PC. V praxi to vypadá tak, že vy klikáte na něco, co se tváří jako “obrázek”, který nejde otevřít, ale pravdou je, že jste spustili škodlivý program, který skenuje váš PC a stahuje z něj data. A opět…. Fotky vašich dětí v porno databázi nechcete…

Pokud jste si stáhli dokument nebo tabulku či prezentaci a má divnou koncovku, smažte to. Nemilosrdně. Nezkoušejte na to klikat. Nesnažte se to otevřít. Je to stejné, jako když byste chtěli otevřít krabičku plnou vší a čekali jste, že se ani jedna neusadí ve vašich vlasech. Usadí. Tečka.

Instalování programů do počítače

A s tím souvisí i samotná instalace nových programů. I když stahujete software z oficiálních stránek poskytovatelů a vývojářů, neznamená to, že ty stránky oficiálního poskytovatele nemohl někdo hacknout, že. Takový hack vypadá tak, že při stahování instalačního souboru se stáhne i nežádoucí škodík. Zejména nyní, v době, kdy se mnoho z nás vrací k hraní her, je dobré mít se na pozoru. Pokud stahujete různé cracky nebo třeba titulky k filmům, nebo prostě jenom přehrávač hudby – to všechno může být opatřeno nežádoucím škodíkem.

Každý standardní uživatel při instalaci kliká na tlačítko “další” a příliš nesleduje, co se v tom či onom kroku děje. A dít se toho může hodně.

Součástí instalace třeba starších her může být i instalace starších verzí Acrobat Readeru. Pokud máte WIN7 a další, tak váš PC umí PDF soubory zobrazovat v prohlížeči a nepotřebujete si počítač zabordelit zastaralým software, který stejně nikdy nepoužijete. Mimo jiné tím chráníte kapacitu svého SSD disku, a pokud máte starší typ hardware, tak pořád platí – netahejte si domů staré harampádí.

Mnohem horší je, že součástí instalace mohou být různé pluginy a rozšíření pro prohlížeče, které značně zpomalují výkon počítače a jsou spíše otravné než užitečné. To je třeba Seznam lištička a jiné podobné blbiny. Fujtajbl.

A nejhorší situace je, že součástí instalačního balíčku je nějaký jiný nežádoucí škodík, kterého si do PC nainstalujete, aniž byste to věděli a ke všemu odklikáním celého instalátoru z toho uděláte software s jehož instalací a podmínkami jste souhlasili. No a jsme zpátky u fotek vašich dětí v porno databázi….

Proto VŽDYCKY při instalaci vybírejte možnost variantu “rozšířená” nebo “vlastní” instalace. Ještě se mi nestalo, že by tam ta možnost nebyla. Vypadá to nějak tak, jak na obrázku. Zpravidla buď v tom kroku nebo kliknutí na možnost se zobrazí zaškrtávací tlačítka, která vám jasně ukáží, co všechno si skutečně nainstalujete.

Já osobně bych nedopustila, aby v mé firemní síti byl počítač, který nemá nainstalovaný antivirový program a není aktualizovaný. To je prostě základ. Stejně tak, ve chvíli, kdy se pouští do firemní sítě soukromé stroje, ve kterých je spousta nelegálního software, kladla bych si otázku, zda mi to za to stojí.

Nemusíte nic stahovat, abyste zaplakali nad výsledkem

Vážení a milí, zabordelit si počítač můžete pouhým kliknutím na odkaz. Je to sice starý dobrý oldschool, ale stále funkční a rozšířený. Proto byste měli navštěvovat pouze stránky, které znáte a jsou důvěryhodné. A proč chodit na nebezpečné ruské a čínské stránky, když PornHub aktuálně frčí “zadara”. 😉

Zdravý selský rozum

Největším bezpečnostním rizikem je vždycky a všude uživatel. Tedy každý z nás. Nyní jste v režimu homeoffice připojeni k interním datům. Třeba k zákaznickým datům. A měli byste zajistit, že tyto údaje ochráníte i doma. Měli byste umět zajistit, že vaše děti, které jsou na váš počítač zvyklé chodit, omylem něco nesmažou. Všechno se může stát a za všechno nesete odpovědnost.

 

Autorkou článku je Lucie Zitterbartová a originál článku najdete na Linkedin.


Přestože dodržování GDPR se v Česku prosazuje pomalu, viditelně přibývá produktů pro firmy, které to berou za ten správný konec. Jedním z takových řešení je i online školení Cybersec zaměřené na vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti včetně závěrečného testu a certifikátu s omezenou časovou platností. Záměrem je tedy kontinuální vzdělávání a ověřování aktuálních znalostí souběžně s tím, jak se bude oblast online bezpečnosti dále vyvíjet. E-learningový program se skládá ze sedmi kurzů: E-mail a jeho bezpečné používání, Zabezpečení počítače a telefonu, Bezpečné připojování, Internetové prohlížeče, Zálohování, Právní důsledky a konečně GDPR prakticky. Více na webu Cybersec.cz, základní popis níže:

Cybersec leták


Téměř s ročním zpožděním byla v České republice přijata adaptační legislativa k GDPR. Dnem 24.4. 2019 vstoupil v účinnost nový zákon č. 110/2019 Sb. o zpracování osobních údajů a další doprovodný zákon č. 111/2019 Sb.

Adaptační legislativa nezavádí převratné změny oproti GDPR, jednu naprosto zásadní však ano. Čeští zákonodárci se rozhodli stanovit nulové sankce za porušení GDPR pro orgány veřejné moci a veřejné subjekty a tímto diskriminačním přístupem vůči soukromoprávním subjektům, které investovaly nemalé prostředky do implementace požadavků GDPR, dali jasně najevo, jakou váhu přikládají našemu ústavním zákonem deklarovanému právu na ochranu soukromí a osobnosti. Přitom z praxe víme, že subjekty veřejného práva zpracovávají enormní množství osobních údajů včetně těch nejcitlivějších a tak se mohou dopustit porušení požadavků GDPR v mnohem závažnějším rozsahu než subjekty práva soukromého.

Na druhou stranu je pravdou, že dozorový úřad pořád může nařídit podle čl. 58 odst. 2 GDPR další nápravná opatření, jakým je právo upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují nařízení, udělit mu napomenutí nebo nařídit provedení nápravy, což v samotném důsledku může být pro danou veřejnoprávní organizaci mnohem dražší a časově náročnější proces než úhrada jednorázové pokuty.

Kromě správních sankcí za porušení GDPR veřejnoprávním institucím hrozí ještě další neopomenutelné postihy, a to zejména:

  • § 180 trestního zákoníku -neoprávněné nakládání s osobními údaji, jehož první odstavec specificky míří na veřejné instituce.
  • dalším případným negativním důsledkem porušování GDPR  je občanskoprávní odpovědnost, resp. odpovědnost podle zákona o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem.
  • nedodržením pravidel stanovených v právních předpisech, tedy v předpisech vztahujících se k ochraně osobních údajů, dojde současně k porušení povinnosti jednat s péčí řádného hospodáře.

K lepší vymahatelnosti našeho práva na ochranu soukromí by měl přispět i institut hromadných žalob, který přináší do českého procesního práva menší revoluci.

Je tedy jenom na nás, subjektech údajů, jak urputně si budeme naše zákonem garantovaná práva bránit a jejich dodržování důsledně vymáhat. Praxe bohužel ukazuje, že i téměř po roce od účinnosti GDPR není uplatňování práva na přístup dle článku 15 GDPR příliš ze strany subjektů údajů využíváno, což logicky vede k laxnímu přístupu organizací k důslednému zavádění pravidel s ochranou našeho soukromí souvisejících. Kde není žalobce, nemůže být ani soudce.

V tomto odkazu najdete přehled adaptační legislativy v rámci celé EU.


18. dubna 2019

ÚOOÚ vydal upřesnění k zasílání obchodních sdělení

Čtěte dál


Jaké jsou praktické zkušenosti po necelém roce účinnosti GDPR a které otázky se aktuálně řeší? To bylo jedno z hlavních témat nedávné konference CPDP 2019 v Bruselu.

Konference zaměřené na ochranu soukromí, osobní údaje a demokracii v digitálním světě se zúčastnilo na 1300 návštěvníků a mezi speakery byly mimo jiných osobnosti, které v současnosti patří k výrazným postavám na poli ochrany osobních údajů, jako je známý rakouský právník Max Schrems. Mix přednášejících nabídl zkušenosti z byznysu, neziskových organizací, orgánů EU i akademické sféry.

Podařený report z konference sepsala právnička Anna Drgová, přečtete si ho zde.

Dozvíte se například, proč v Irsku zatím nepadají v souvislosti s GDPR vysoké pokuty; jak se staví odborníci k přístupu k osobnímu údajům a hromadným žalobám subjektů údajů vůči platformám; za co se snáší na GDPR kritika; nebo proč některé mimoevrospké firmy nařízení uvítaly. Diskuze se věnovaly také otázkám automatického rozhodování a profilování v souvislosti s marketingem či prevencí kriminality.

Pokud by vám v dobrém slova smyslu vyčerpávající report nestačil, můžete si také pustit videa se záznamy některých vystoupení na kanále CPDPConferences na YouTube.


Poslanci v prosinci konečně schválili tzv. adaptační zákon. Jeho úplné znění je zde.  Nebudu komentovat fakt, že jsme jednou z posledních, ne-li úplně poslední EU zemí, která ho nebyla schopna přijmout do účinnosti GDPR. Jsem stále ve svátečním režimu, takže jsem jeho znění podrobně nezkoumala, ale nejvíce mne zaujal paragraf 63, odst. 3, který stanoví maximální výši pokuty za porušení zákona, tj. i GDPR, na 10 mio CZK. Čtu a vykládám si tento poslanecký počin správně, že pokuty, které stanoví GDPR jakožto nařízení, z jehož mantinelů se lze vychýlit pouze na základě zmocňujícího se ustanovení, se České republiky vůbec nebudou týkat?

Znamená to, že článek 83, odst. 7 GDPR si naši poslanci samovolně rozšířili i na soukromoprávní subjekty? Pokud je můj výklad správný, tak se účinného zákona jen tak rychle nedočkáme. A vůbec nechci komentovat tu obrovskou disproporci v možnostech pokutování veřejnoprávních a soukromoprávních subjektů. Takové fakultní nemocnice nebo řada ministerstev zpracovává naše velmi citlivé údaje a za porušení zákona mají být trestány nepoměrně nižší sankcí než např. soukromá nemocnice? Pokud byl úmysl zákonodárce nejvyšší možnou pokutu sjednotit, tak se měl poučit o tom, jaký je rozdíl v aplikaci nařízení a směrnice EU.


Jistě jste zaznamenali kauzu, která postihla hotelový řetězec Marriott. Z rezervačního systému jedné z divizí unikly po hackerském útoku osobní údaje až 500 milionů hostů. Útočníci získali informace o klientech včetně čísel pasů, údajů o platebních kartách či o pobytu v jednotlivých hotelích. Je velmi pravděpodobné, že do špatných rukou padly i klíče pro odemčení zašifrovaných dat. Celkový rozsah úniku, který probíhal po čtyři roky (!), je co do počtu zasažených lidí i objemu dat jeden z nejrozsáhlejších v historii. O čem se v souvislosti s kauzou aktuálně mluví?

Odborníci na bezpečnost zmiňují, že ukradená data by mohla být vysoce cenná i pro špionážní účely a poukazují na to, že za útokem by mohla stát některá ze zahraničních tajných služeb. Jak se píše zde, stopy by mohly vést do Číny.

Marriott nezvládl krizovou komunikaci. Dalo se očekávat, že kyberzločinci využijí situaci po zveřejnění skandálu a budou se snažit klienty oslovit jménem hotelu z podobně vypadajícího e-mailové adresy. Tak se běžně děje třeba v případech pokusů o vylákání přístupových údajů k bankovním účtům. Marriott hackery nechtíc předběhl a sám použil pochybně vypadající adresu: email-marriott.com, která odkazuje na doménu, jež se po rozkliknutí ani nenačte. Kromě této nejasnosti tak otevřel dveře i dalším nápodobám adresy ze strany hackerů. V podobných případech by měla komunikace probíhat vždy z oficiální adresy na běžně používané doméně. Více se dočtete v článku na tomto odkazu.

Marriott se do jisté míry nepoučil z předchozích chyb. Nejednalo se totiž o první hackerský útok. S prolomením bezpečnosti se řetězec potýkal již v minulosti, jak upozorňuje tento článek.

Ve světle všech těchto zpráv bude mimořádně zajímavé sledovat, jak se příslušné orgány postaví ke kauze i z hlediska GDPR – podobně rozsáhlý únik dat se od doby, co vstoupilo v platnost, ještě neřešil. Vyšetřování stále probíhá.


GDPR kontra DPO — kdo s koho? Po velkém úspěchu 1. GDPR semináře u kulatého stolu vás zveme na další setkání, ve kterém se tentokrát zaměříme na roli Pověřenců ochrany osobních údajů. Eva Škorničková v roli moderátorky představí novinky z oboru i vzácné hosty z praxe. A pokud se vám zdá, že se GDPR v Česku odebralo předčasně k zimnímu spánku, tento seminář vás přesvědčí, že v EU je tomu přesně naopak.


1 2 3 10

Hlavní partneři