Menu

Osobní údaje

Pokud v současné pandemické době existuje oblast, kde dostává ochrana soukromí skutečně na frak, tak tím je bezesporu projekt tzv. “inteligentní karantény”. Nicméně si nemyslím, že tomu tak ve skutečnosti musí být a pokud se zamyslíme nad pravými důvody uvádění různých trasovacích aplikací do života, tak v tomto případě budu jednoznačně pro takové aktivity. Pokud má být jakákoliv aplikace maximálně efektivní, tak musí být zavedena plošně, nejlépe globálně tak, aby v ní zpracovávaná data mohla být analyzována bez ohledu na národní zájmy, zákony či hranice. Upřímně řečeno, koronavirus si také nevybírá země, do kterých vstoupí a hlavně se nás na nic neptá. A proto je třeba se jeho šíření postavit úplně stejným způsobem.

V první řadě jakékoliv sledování osob, které jsou buď nakaženy nebo jim to bezprostředně hrozí, nemůže být založeno na jejich souhlasu. Opět se mi vrací doba GDPR souhlasové tsunami před účinností nařízení v roce 2018, kdy si každá organizace chtěla pojistit zpracování osobních dat souhlasem. Proboha, zkusme již na tento naprosto nejistý právní titul zpracování na chvíli zapomenout a použít pro boj s virem něco stabilnějšího a hlavně rozumnějšího. A že se nám těch možností nabízí celkem dost.

Neustále kritizované GDPR ve svém článku 6 odst 1. jasně říká, že lze osobní údaje zpracovávat, pokud je to nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Nacházíme se v nouzovém stavu, vir napadá po celém světě tisíce lidí denně, takže si můžeme pomoc i dalším právním titulem, kterým bezesporu je zpracování osobních údajů za účelem ochrany životně důležitých zájmů fyzických osob. Co ještě více než naše zdraví k naplnění tohoto účelu potřebujeme? Místo toho tvůrci aplikace okamžitě sahají po souhlasu, který ráno udělím, v poledne se mi rozleží v hlavě a večer odvolám. Jak stabilní a přesné asi takové zpracování může být?

Pokud má projekt inteligentní karantény smysluplně pomoc v boji proti šíření viru, tak se musí vztahovat na všechny osoby bez rozdílu věku, pohlaví a jejich lokace. A v žádném případě nesmí fungovat na vůli osob, zda-li v něm chtějí být či nikoliv. Stát prostě nařídí ať už formou zákona nebo vládního nařízení, že každá infikovaná osoba bude do trasování zařazena a jen díky takto získaným datům může aplikace ochránit zbytek populace, která se domnívá, že je zdravá.

Nejdůležitější pro funkčnost aplikace je dostatek kvalitních dat z různých zdrojů, nejenom od mobilních operátorů, která budou zpracovávána a analyzována buď v anonymizované nebo pseudonymizované podobě. Pokud tyto technické parametry budou dostatečně zajištěny, tak si nemyslím, že se o svoje soukromí musíme tolik bát. Čeho se však bojím mnohem více, je ztráta důvěry v ty organizace, úřady nebo i soukromé osoby, které aplikaci vyvíjí a k samotným datům mají přístup. Jsou to právě ony, kdo mají zajistit zpracování našich lokalizačních dat jenom za účelem zabránění šíření virové epidemie, nikoliv data vytěžovat pro jiné méně bohulibé účely.

Není vůbec náhodou, proč se například Facebook a Google na těchto trasovacích  projektech nechtějí nikde na světě podílet. Jejich důvěra, bohužel ve světle skandálu typu Cambridge Analytica a jiných kauz v současné době mediálně a regulátory hojně sledovaných, spadla téměř na dno a těžko by v pandemické době přesvědčovali veřejnost, jednotlivé vlády a hlavně nás, samotné uživatele, že data, kterými disponují, nepoužijí pod rouškou koronaviru pro jiné, pro ně mnohem komerčně zajímavější využití. Dle mého názoru je to velká škoda, protože oba technologické giganty disponují takovými daty, o kterých se všem tajným službám na světě může jen zdát, a tím by jejich zapojení do trasování v celosvětovém tažení proti koronaviru mohlo mít obrovský pozitivní přínos. Ano, jednou ztracená důvěra se získává zpět velmi těžce a dlouho.

Souhlasím proto s autorem tohoto článku, že pokud má mít inteligentní karanténa smysl, musí být postavena na úplně jiných základech než je doteď ze strany ministerstva zdravotnictví komunikována. Podobné aplikace se ve světě již osvědčily a zjevně k úbytku infikovaných osob výrazně přispěly i za cenu snížené ochrany soukromí jednotlivých osob. České verzi aplikace chybí řada podstatných atributů, především transparentnost a jednoznačná informovanost o tom, za jakým účelem budou data zpracovávána, jaká data a z jakých zdrojů budou analyzována, po jak dlouhou dobu, kdo k nim bude mít přístup, kde budou uchovávána a jak kvalitně budou zabezpečena před jejich zneužitím. Pokud nemá mít tato aplikace pouze krátkodobý efekt, ale postupným zlepšováním může přispívat ke globálnímu, přinejmenším evropskému sdílení dat, tak je třeba si tuto přípravnou fázi poctivě odpracovat.

Rozhodně bych byla pro celosvětové zavedení inteligentní karantény s jednotnými pravidly, pokud by měla výrazným způsobem přispět k uvolnění té fyzické, protože v omezování našeho pohybu spatřuji mnohem větší omezování svobody a soukromí než efektivní a relativně přesně zacílené sdílení dat o šíření viru. Žijeme v době technologické, tak ji pojďme konečně využít v náš prospěch a ochranu. Máme k tomu jedinečnou možnost, která se jen tak opakovat nebude.


Jak všichni přechází na práci z domova, řeší se VPN přístupy do firemní sítě. A s ohledem na fakt, že mnoho zaměstnanců pro výkon své práce používalo stolní PC, je pro mnoho zaměstnavatelů nereálné za dané situace vybavit své zaměstnance firemními notebooky. A tak mnohým nezbývá, než pro výkon své práce použít svůj domácí počítač nebo notebook a zaměstnavatelům nezbývá, než to přijmout jako fakt, pokud potřebuje, aby jeho zaměstnanci pracovali.

Vidím spoustu rad o rouškách, pracovně právním aspektu homeofficů, mnoho rad, jak ustát nastalou situaci psychicky. Jak doma vidím práci svého IT administrátora, uvědomuji si jak nízké je povědomí o tom, jak se chránit v online světě a co já sám jako uživatel mohu a měl bych dělat pro bezpečí své, svých osobních údajů a sekundárně pro bezpečí dat a informací svého zaměstnavatele.

Shrnula jsem pár základních věcí, které byste měli mít na zřeteli, pokud začínáte pracovat online. A upřímně jsou to věci, které byste vlastně měli mít na zřeteli vždycky.

Připojení k internetu

Drtivá většina obyvatel ČR využívá připojení od operátorů nebo jiných poskytovatelů internetu. Nutno podotknout, že je to zejména stabilita, až potom rychlost, připojení, která má vliv na to, jak se nám bude pracovat.

Jste zaměstnanec:

Vaše domácí připojení je pomalé a nestabilní (tím myslím takové to, že vám to pořád kolísá alias laguje) -> VPN spojení bude neustále vypadávat.

Tady je také důležité uvědomit si, že na tom domácím internetu jsou všechny vaše mobily, všechny PC a notebooky a pokud máte moderní domácnost, tak i lednice, kamery, zabezpečovačka a internetová TV. Pokud máte starší nebo prostě nekvalitní router, bude vám to dělat problémy. Na běžnou domácnost, jakou jsem zde popsala, by vám měl stačit běžný 50 Mb/s internet. Pokud ovšem ze svého internetu chcete dostat maximální výkon, potřebujete k tomu i výkonný router. To je ta krabička, které všichni říkají “modem”.

Výkon této krabičky je dost často příčinou toho, že váš internet “laguje” (jsou to drobné vteřinové až několikavteřinové výpadky) a je to takové to, když vy pak naštvaně voláte operátorovi, že už vám to hodinu nejde a operátor vám tvrdí, že žádný výpadek neeviduje a má pravdu. Na kvalitě routeru prostě záleží.

Drtivá většina uživatelů si koupí “modem”, zapojí ho do zásuvky a tím to hasne. K přihlášení do WIFI sítě potom do skonání věků používá přednastavené jméno a heslo, které je na té krabičce někde napsané. Je to tzv. defaultní nastavení – nebo také tovární nastavení.

Takto (ne)nastavený router je základním a často největším bezpečnostním rizikem pro vaši domácnost, protože skrze tuto skříňku je velice snadné dostat se do vaší sítě a cokoliv si z ní stáhnout. Včetně přihlašovacích údajů do vaší banky. Možná si řeknete “kdo by chtěl hacknout zrovna mě”. Musíte si ale uvědomit, ale že hackeři vymýšlí plošně fungující mechanismy, které to “prostě zkouší” a rozhodně nechcete, aby někdo prostě jenom mapoval, co ve své domácí síti děláte.

TIP:

Většina routerů má postup, jak si nastavení změnit v přiloženém návodu. Minimálně ty přístupové údaje – název WIFI a její heslo. Cena slušných routerů na trhu nejde pod tisícovku. U těch levnějších už se začínáme bavit o mnoha technických kompromisech, které prostě pocítíte.

Chcete si změnit nastavení svého routeru sami? Zadejte do vyhledávače “model routeru změna nastavení” a určitě najdete postup, který pochopí úplně každý. Hezky krok po kroku.

Pokud máte modem od operátora, vyguglila jsem nastavení za vás nejčastější model routeru o T-Mobile, nejčastější model u O2 a nejčastější model u UPC.

To samé platí pro jakékoliv zařízení, které se připojuje k internetu. Váš telefon, bezpečnostní kamery, chytré spotřebiče. Pokud si netroufnete na nastavení sami, využijte buď servisu od značky (každá větší značka má lokální technickou podporu) nebo investujte pár korun (řádově stovky) do toho, že vám s nastavením pomůže odborník.

Jste zaměstnavatel:

Pamatujete si, jak vám dodavatel vysvětloval, že mít ve firmě kvalitní konektivitu a slušné linky je k nezaplacení. Protože ve chvíli, kdy se vám na server přes VPN snaží dostat 40 zaměstnanců, zjistíte, že stejně nic neudělají, protože k tomu prostě nemají podmínky. No a že byste měli mít taky slušné servery a jiné věci, to je zas na jinou diskuzi. Pokud si vaši zaměstnanci stěžují, že jim blbne VPNka a furt jim padá, pravděpodobně bude na vině právě špatná konektivita.

WIFI a nastavení viditelnosti zařízení v síti

Každý z nás jsme zvyklí se s mobilem i s PC připojovat na WIFI takřka kdekoliv, kde to jde. A pokaždé, když to uděláme, vyskočí na nás taková rádoby otravná hláška, kterou drtivá většina z nás prostě přejde.

Ačkoliv nám to tam Windows píše jak pro blbce, nikdo to nečte. Z praxe vím, že drtivá většina z vás klikne na možnost “domácí” a to je strašně špatně. Takže pokud se příště budete v kavárně připojovat na veřejnou WIFI, vyberte možnost Veřejná síť. Odborník na security by vás samozřejmě zasypal jinými doporučeními. Já tento krok vnímám stejně jako mytí rukou po návštěvě veřejné toalety. Navštívila jsem místo plné bacilů, ale když si ty ruce umyju, riziko nějakého nechtěného pozůstatku rozhodně minimalizuji.

TeamViewer

To není sprosté slovo. To je něco, co když si stáhnete do svého PC a budete to mít připravené ve chvíli, kdy se chystáte volat své IT podpoře, budete za mnohem větší frajery, než když se budete machrovat, že už jste to třikrát restartovali a stejně to furt nefunguje…

Ale prosím vás – VŽDYCKY A JEDINĚ A NIKDY JINAK stahujte pouze z oficiální stránky výrobce software.

Tady to udělátko je věc, díky které má IT administrátor přístup do vašeho PC a vidí všechno skoro tak jako vy. A vy zase vidíte, co dělá, protože jeho počínání vidíte na monitoru. Vidíte kam kliká, co kam píše. Nejedná se o žádné hacknutí. Je to účinný nástroj, díky kterému vám “ajťák” pomůže s řešením vašeho PC problému vzdáleně.

Pokud se nacházíte v situaci, že pracujete z domu a váš IT musí váš domácí PC přidat do firemní sítě, usnadněte sobě i jemu život tím, že si TeamViewer nainstalujete. Oni ti ajtý lidi fakt nemají potřebu hrabat se ve vašem domácím pornu. Mají svoje vlastní. Oni jenom chtějí mít jistotu, že když si vás do té své udržované zabezpečené sítě pustí, že jim tam ten váš domácí PC neudělá totální paseku a oni nebudou naráz řešit problém pro dalších XY vašich kolegů a nedej bože ztrátu dat.

Aktualizace operačního systému

Objeví se vždycky, když nejvíc spěcháte a proto je pořád odkládáte. A někdo je dokonce rovnou zakáže. To je, přátelé, cesta do pekla. Moderní hacking už vám nezamyká klávesnici a nemaže soubory. Moderní hacking vás sleduje. Sleduje vaše chování. Kopíruje si všechno, co v PC máte. Nebo si prostě jenom půjčí výkon vašeho počítače pro své účely, kterými může být páchání jiné trestné činnosti. O ničem z toho se vy jako běžný uživatel nikdy nedozvíte. Většinou se jedná o nějaké přídavné programy, které se vám do PC stáhnou s filmem z torrentů nebo jsou jako součást nějakého dokumentu a jeho otevřením se spustí. Nebo kliknete na odkaz a už stahujete.

Ty dokola se opakující aktualizace nejsou ničím jiným, než souborem oprav slabých míst ve vašem PC. Když svůj PC udržujete aktuální, snižujete riziko, že se vám do něj dostane nějaký brajgl. Víte je to stejné, jako když si postavíte dům. Když zanedbáte údržbu svého domu, tak dřív nebo později vám do něj začne zatékat střechou, profukovat pod okny a budou vám plesnivět zdi od vlhkosti.

Pro bezpečí svých dat je naprosto nezbytné aktualizovat. Ne za týden, ne za den. Ihned. Protože aktualizovaný počítač nebo telefon je pro vás tím samým, co nový nátěr na okna nebo ošetření střechy. A vy přeci nechcete, aby vám teklo do baráku.

Antivirové programy

Tady platí že co je zadarmo, není dobré. Existuje mnoho antivirových programů, které jsou v Home edici zdarma. Ale tyto verze jsou spíš zdrojem dat pro vývojáře těch software a jejich uživatelé jsou něco jako testeři. Výrobci si těmito verzemi zdarma testují, kde ještě mají jakou díru v obraně a co všechno ještě přes ten “antivir” prošlo. Doufám, že za svá předchozí slova předejdu žalobě od výrobců, když dodám investujte do koupě legálního antivirového programu.

Uvědomte si, že i na svých domácích počítačích máte mnoho citlivých informací, které když si někdo stáhne, může de facto cokoliv. Skeny rodných listů, bankovní certifikát a přihlašovací údaje od emailu po banku ke všemu.

Velice častý argument – kdo by chtěl hacknout zrovna mě “Pepu Vopršálka”. Co by si ten hacker na mě vzal. Chcete riskovat, že fotky vašich dětí, jak se koupou hambatý v bazénu na zahradě, někdo zařadí do databáze dětského porna na dark netu? Jak se vám líbí představa, že nad fotkami vaší 6 leté dcery masturbuje nějaký perverzní hovado? Proto věnujte bezpečnosti svých dat pozornost a naučte se, že to holt stojí prachy.

U nás doma se oblíbenosti těší ESET. Další, které bych dokázala doporučit s klidným svědomím je Avira, BitDefender a se zavřeným jedním okem Norton a Kaspersky. Se zavřenýma oběma očima Avast a AVG.

Pokud máte Windows 10 jako operační systém, máte obrovské štěstí. Protože si opravdu vystačíte s Windows Defenderem, který se v této verzi Windows nebývale povedl a byl vyhlášen nejlepším antivirovým systémem roku 2019. To je program, který ve svém počítači už máte. Nemusíte jej instalovat. Prostě ho mějte zapnutý, moc se v něm nehrabte a pokud vám začne něco hlásit, tak si hodně dobře přečtěte, co po vás chce. A pokud tomu nerozumíte, udělejte si screen, sdílejte ho třeba na Linkedin, on už se najde někdo schopný, kdo vám opravdu odborně poradí.

A pamatujte si, v případě antivirových programů platí naprostá věrnost a monogamie. JEDEN je akorát. V poslední době jsem na soukromých PC viděla i situace, že uživatel měl na svém PC aktivní Windows Defender a k tomu měl aktivní tři další antivirové programy.

Za prvé vám takové řešení obrovským způsobem ubírá kapacitu a výkon vašeho PC. Za druhé antiviry dost často pracují proti sobě.

Když vám antivirus A prochází složku, kterou chce projít i antivirus B, dostanou se do takové blbé situace. Jeden druhého přesvědčuje, kdo ten soubor zkontroluje a nakonec se to nepodaří ani jednomu z nich. Kontrola neproběhne korektně. Takže nakonec může nastat situace, že když se dva perou, třetí se směje a tím třetím bude samozřejmě nějaký škodík ve vašem PC.

Přípony známých typů souborů

Když cokoliv stahujete z internetu, vždycky byste si měli být jisti, že otevíráte to, co chcete. Není nic jednoduššího, než EXE soubor (soubory s příponou .exe jsou spustitelné programy) přejmenovat na “obrázek.jpg” a pokud máte skryté koncovky souborů, tak nepoznáte, že jste si do svého PC právě stáhli škodlivý program.

Toto je něco, čemu byste měli věnovat svou maximální pozornost, protože se jedná o způsob, kterým se zamoří drtivá většina PC. V praxi to vypadá tak, že vy klikáte na něco, co se tváří jako “obrázek”, který nejde otevřít, ale pravdou je, že jste spustili škodlivý program, který skenuje váš PC a stahuje z něj data. A opět…. Fotky vašich dětí v porno databázi nechcete…

Pokud jste si stáhli dokument nebo tabulku či prezentaci a má divnou koncovku, smažte to. Nemilosrdně. Nezkoušejte na to klikat. Nesnažte se to otevřít. Je to stejné, jako když byste chtěli otevřít krabičku plnou vší a čekali jste, že se ani jedna neusadí ve vašich vlasech. Usadí. Tečka.

Instalování programů do počítače

A s tím souvisí i samotná instalace nových programů. I když stahujete software z oficiálních stránek poskytovatelů a vývojářů, neznamená to, že ty stránky oficiálního poskytovatele nemohl někdo hacknout, že. Takový hack vypadá tak, že při stahování instalačního souboru se stáhne i nežádoucí škodík. Zejména nyní, v době, kdy se mnoho z nás vrací k hraní her, je dobré mít se na pozoru. Pokud stahujete různé cracky nebo třeba titulky k filmům, nebo prostě jenom přehrávač hudby – to všechno může být opatřeno nežádoucím škodíkem.

Každý standardní uživatel při instalaci kliká na tlačítko “další” a příliš nesleduje, co se v tom či onom kroku děje. A dít se toho může hodně.

Součástí instalace třeba starších her může být i instalace starších verzí Acrobat Readeru. Pokud máte WIN7 a další, tak váš PC umí PDF soubory zobrazovat v prohlížeči a nepotřebujete si počítač zabordelit zastaralým software, který stejně nikdy nepoužijete. Mimo jiné tím chráníte kapacitu svého SSD disku, a pokud máte starší typ hardware, tak pořád platí – netahejte si domů staré harampádí.

Mnohem horší je, že součástí instalace mohou být různé pluginy a rozšíření pro prohlížeče, které značně zpomalují výkon počítače a jsou spíše otravné než užitečné. To je třeba Seznam lištička a jiné podobné blbiny. Fujtajbl.

A nejhorší situace je, že součástí instalačního balíčku je nějaký jiný nežádoucí škodík, kterého si do PC nainstalujete, aniž byste to věděli a ke všemu odklikáním celého instalátoru z toho uděláte software s jehož instalací a podmínkami jste souhlasili. No a jsme zpátky u fotek vašich dětí v porno databázi….

Proto VŽDYCKY při instalaci vybírejte možnost variantu “rozšířená” nebo “vlastní” instalace. Ještě se mi nestalo, že by tam ta možnost nebyla. Vypadá to nějak tak, jak na obrázku. Zpravidla buď v tom kroku nebo kliknutí na možnost se zobrazí zaškrtávací tlačítka, která vám jasně ukáží, co všechno si skutečně nainstalujete.

Já osobně bych nedopustila, aby v mé firemní síti byl počítač, který nemá nainstalovaný antivirový program a není aktualizovaný. To je prostě základ. Stejně tak, ve chvíli, kdy se pouští do firemní sítě soukromé stroje, ve kterých je spousta nelegálního software, kladla bych si otázku, zda mi to za to stojí.

Nemusíte nic stahovat, abyste zaplakali nad výsledkem

Vážení a milí, zabordelit si počítač můžete pouhým kliknutím na odkaz. Je to sice starý dobrý oldschool, ale stále funkční a rozšířený. Proto byste měli navštěvovat pouze stránky, které znáte a jsou důvěryhodné. A proč chodit na nebezpečné ruské a čínské stránky, když PornHub aktuálně frčí “zadara”. 😉

Zdravý selský rozum

Největším bezpečnostním rizikem je vždycky a všude uživatel. Tedy každý z nás. Nyní jste v režimu homeoffice připojeni k interním datům. Třeba k zákaznickým datům. A měli byste zajistit, že tyto údaje ochráníte i doma. Měli byste umět zajistit, že vaše děti, které jsou na váš počítač zvyklé chodit, omylem něco nesmažou. Všechno se může stát a za všechno nesete odpovědnost.

 

Autorkou článku je Lucie Zitterbartová a originál článku najdete na Linkedin.


Téměř s ročním zpožděním byla v České republice přijata adaptační legislativa k GDPR. Dnem 24.4. 2019 vstoupil v účinnost nový zákon č. 110/2019 Sb. o zpracování osobních údajů a další doprovodný zákon č. 111/2019 Sb.

Adaptační legislativa nezavádí převratné změny oproti GDPR, jednu naprosto zásadní však ano. Čeští zákonodárci se rozhodli stanovit nulové sankce za porušení GDPR pro orgány veřejné moci a veřejné subjekty a tímto diskriminačním přístupem vůči soukromoprávním subjektům, které investovaly nemalé prostředky do implementace požadavků GDPR, dali jasně najevo, jakou váhu přikládají našemu ústavním zákonem deklarovanému právu na ochranu soukromí a osobnosti. Přitom z praxe víme, že subjekty veřejného práva zpracovávají enormní množství osobních údajů včetně těch nejcitlivějších a tak se mohou dopustit porušení požadavků GDPR v mnohem závažnějším rozsahu než subjekty práva soukromého.

Na druhou stranu je pravdou, že dozorový úřad pořád může nařídit podle čl. 58 odst. 2 GDPR další nápravná opatření, jakým je právo upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují nařízení, udělit mu napomenutí nebo nařídit provedení nápravy, což v samotném důsledku může být pro danou veřejnoprávní organizaci mnohem dražší a časově náročnější proces než úhrada jednorázové pokuty.

Kromě správních sankcí za porušení GDPR veřejnoprávním institucím hrozí ještě další neopomenutelné postihy, a to zejména:

  • § 180 trestního zákoníku -neoprávněné nakládání s osobními údaji, jehož první odstavec specificky míří na veřejné instituce.
  • dalším případným negativním důsledkem porušování GDPR  je občanskoprávní odpovědnost, resp. odpovědnost podle zákona o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem.
  • nedodržením pravidel stanovených v právních předpisech, tedy v předpisech vztahujících se k ochraně osobních údajů, dojde současně k porušení povinnosti jednat s péčí řádného hospodáře.

K lepší vymahatelnosti našeho práva na ochranu soukromí by měl přispět i institut hromadných žalob, který přináší do českého procesního práva menší revoluci.

Je tedy jenom na nás, subjektech údajů, jak urputně si budeme naše zákonem garantovaná práva bránit a jejich dodržování důsledně vymáhat. Praxe bohužel ukazuje, že i téměř po roce od účinnosti GDPR není uplatňování práva na přístup dle článku 15 GDPR příliš ze strany subjektů údajů využíváno, což logicky vede k laxnímu přístupu organizací k důslednému zavádění pravidel s ochranou našeho soukromí souvisejících. Kde není žalobce, nemůže být ani soudce.

V tomto odkazu najdete přehled adaptační legislativy v rámci celé EU.


18. dubna 2019

ÚOOÚ vydal upřesnění k zasílání obchodních sdělení

Čtěte dál


13. března 2019

Fotky v éře GDPR. Co můžete bez obav zveřejnit?

Fotku nebo video může pořídit a zveřejnit prostřednictvím internetu v podstatě každý. Do hry se přitom nedostává jen GDPR. Na co si dát pozor?

Čtěte dál


Jaké jsou praktické zkušenosti po necelém roce účinnosti GDPR a které otázky se aktuálně řeší? To bylo jedno z hlavních témat nedávné konference CPDP 2019 v Bruselu.

Konference zaměřené na ochranu soukromí, osobní údaje a demokracii v digitálním světě se zúčastnilo na 1300 návštěvníků a mezi speakery byly mimo jiných osobnosti, které v současnosti patří k výrazným postavám na poli ochrany osobních údajů, jako je známý rakouský právník Max Schrems. Mix přednášejících nabídl zkušenosti z byznysu, neziskových organizací, orgánů EU i akademické sféry.

Podařený report z konference sepsala právnička Anna Drgová, přečtete si ho zde.

Dozvíte se například, proč v Irsku zatím nepadají v souvislosti s GDPR vysoké pokuty; jak se staví odborníci k přístupu k osobnímu údajům a hromadným žalobám subjektů údajů vůči platformám; za co se snáší na GDPR kritika; nebo proč některé mimoevrospké firmy nařízení uvítaly. Diskuze se věnovaly také otázkám automatického rozhodování a profilování v souvislosti s marketingem či prevencí kriminality.

Pokud by vám v dobrém slova smyslu vyčerpávající report nestačil, můžete si také pustit videa se záznamy některých vystoupení na kanále CPDPConferences na YouTube.


Co mají společného Facebook, Google, Instagram, WhatsApp a nejnověji třeba Netflix? Kromě toho, že jsou to technologičtí giganti, mají i jednoho totožného protivníka. Tím je mladý rakouský právník Max Schrems, který už v minulosti porazil u Evropského soudního dvora Facebook ohledně nakládání s osobními údaji (psali jsme zde) a úspěšně tepe i do dalších společností.

Max Schrems loni dostal do rukou silnou zbraň v podobě nařízení GDPR a rozhodně se ji nebojí použít. Na základě stížností jím vedeného sdružení NOYB bude muset například podle aktuálního rozhodnutí zaplatit Google pokutu ve výši 50 milionů eur, protože nedostatečně informuje své uživatele, k jakým účelům využívá jejich osobní údaje. Více si o tom přečtete například zde.

A vrásky na čele teď mohou mít i poskytovatelé streamovacích služeb Amazon Prime, Apple Music, Netflix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Podle Schremsova sdružení tyto společnosti neposkytují svým uživatelům dostatek informací, proč a jakým způsobem zpracovávají a využívají jejich osobní údaje i o tom, co všechno o jejich chování zaznamenávají, aby jim na míru „ušily“ tipy na nabízené služby nebo personalizovanou reklamu. Pokud by soudy uznaly vinu poskytovatelů, hrozily by podle GDPR společnostem souhrnné pokuty až do výše 18,8 miliardy eur. Pro více informací doporučujeme například tento článek.


17. ledna 2019

Koho se týká evropský kodex pro elektronické komunikace?

Bez větší pozornosti prošla Evropským parlamentem a Radou v závěru loňského roku směrnice (EU) 2018/1972 o evropském kodexu pro elektronické komunikace. Jaký bude její dopad na ochranu osobních údajů?

Čtěte dál


Poslanci v prosinci konečně schválili tzv. adaptační zákon. Jeho úplné znění je zde.  Nebudu komentovat fakt, že jsme jednou z posledních, ne-li úplně poslední EU zemí, která ho nebyla schopna přijmout do účinnosti GDPR. Jsem stále ve svátečním režimu, takže jsem jeho znění podrobně nezkoumala, ale nejvíce mne zaujal paragraf 63, odst. 3, který stanoví maximální výši pokuty za porušení zákona, tj. i GDPR, na 10 mio CZK. Čtu a vykládám si tento poslanecký počin správně, že pokuty, které stanoví GDPR jakožto nařízení, z jehož mantinelů se lze vychýlit pouze na základě zmocňujícího se ustanovení, se České republiky vůbec nebudou týkat?

Znamená to, že článek 83, odst. 7 GDPR si naši poslanci samovolně rozšířili i na soukromoprávní subjekty? Pokud je můj výklad správný, tak se účinného zákona jen tak rychle nedočkáme. A vůbec nechci komentovat tu obrovskou disproporci v možnostech pokutování veřejnoprávních a soukromoprávních subjektů. Takové fakultní nemocnice nebo řada ministerstev zpracovává naše velmi citlivé údaje a za porušení zákona mají být trestány nepoměrně nižší sankcí než např. soukromá nemocnice? Pokud byl úmysl zákonodárce nejvyšší možnou pokutu sjednotit, tak se měl poučit o tom, jaký je rozdíl v aplikaci nařízení a směrnice EU.


Jistě jste zaznamenali kauzu, která postihla hotelový řetězec Marriott. Z rezervačního systému jedné z divizí unikly po hackerském útoku osobní údaje až 500 milionů hostů. Útočníci získali informace o klientech včetně čísel pasů, údajů o platebních kartách či o pobytu v jednotlivých hotelích. Je velmi pravděpodobné, že do špatných rukou padly i klíče pro odemčení zašifrovaných dat. Celkový rozsah úniku, který probíhal po čtyři roky (!), je co do počtu zasažených lidí i objemu dat jeden z nejrozsáhlejších v historii. O čem se v souvislosti s kauzou aktuálně mluví?

Odborníci na bezpečnost zmiňují, že ukradená data by mohla být vysoce cenná i pro špionážní účely a poukazují na to, že za útokem by mohla stát některá ze zahraničních tajných služeb. Jak se píše zde, stopy by mohly vést do Číny.

Marriott nezvládl krizovou komunikaci. Dalo se očekávat, že kyberzločinci využijí situaci po zveřejnění skandálu a budou se snažit klienty oslovit jménem hotelu z podobně vypadajícího e-mailové adresy. Tak se běžně děje třeba v případech pokusů o vylákání přístupových údajů k bankovním účtům. Marriott hackery nechtíc předběhl a sám použil pochybně vypadající adresu: email-marriott.com, která odkazuje na doménu, jež se po rozkliknutí ani nenačte. Kromě této nejasnosti tak otevřel dveře i dalším nápodobám adresy ze strany hackerů. V podobných případech by měla komunikace probíhat vždy z oficiální adresy na běžně používané doméně. Více se dočtete v článku na tomto odkazu.

Marriott se do jisté míry nepoučil z předchozích chyb. Nejednalo se totiž o první hackerský útok. S prolomením bezpečnosti se řetězec potýkal již v minulosti, jak upozorňuje tento článek.

Ve světle všech těchto zpráv bude mimořádně zajímavé sledovat, jak se příslušné orgány postaví ke kauze i z hlediska GDPR – podobně rozsáhlý únik dat se od doby, co vstoupilo v platnost, ještě neřešil. Vyšetřování stále probíhá.


1 2 3 8

Hlavní partneři