Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí

František Kasl

Abstrakt

Příspěvek je věnován premise, že v moderní, stále propojenější společnosti dochází k rostoucímu obsahovému překryvu ohlašovacích povinností na základě právních rámců ochrany osobních údajů a kybernetické bezpečnosti. V obou případech jde o odraz chytré regulace, kdy stát využívá možností nabízených informačními a komunikačními technologiemi pro shromažďování aktuálních informací o situacích, které mohou vyžadovat reakci ze strany dozorových orgánů. V případě povinnosti ohlašovat porušení zabezpečení osobních údajů dle článku 33 obecného nařízení č. 2016/679, o ochraně osobních údajů, vůči Úřadu pro ochranu osobních údajů je směrodatný zásah do zpracovávaných osobních údajů. Povinnost hlášení kybernetického bezpečnostního incidentu dle § 8 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, vůči příslušnému bezpečnostnímu týmu CERT pak vzniká při zásahu do prvků informační infrastruktury povinných subjektů. Vzhledem k postupné digitalizaci přibývajícího množství činností a souvisejícím všudypřítomným zpracováváním osobních údajů dochází k rostoucímu prolínání těchto perspektiv. Autor tento vývoj vnímá jako příležitost pro úpravu de lege ferenda, kterou lze zvýšit přínos z takto sdělovaných informací pro dozorové orgány, chráněné fyzické osoby, i povinností vázané subjekty.

Bibliografická citace

KASL, František. Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí. Časopis pro právní vědu a praxi. [Online]. 2020, č. 3, s. 429–447. [cit. 2021-01-21]. Dostupné z: https://journals.muni.cz/cpvp/article/view/13237

Klíčová slova

Ochrana osobních údajů; kybernetická bezpečnost; ohlašování porušení zabezpečení osobních údajů; hlášení kybernetického bezpečnostního incidentu; internet věcí.

Plný Text:

Reference

Zobrazit literaturu Skrýt literaturu

BURTON, Cédric. Article 33. In: KUNER, Christopher et al. (eds.). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford, New York: Oxford University Press, 2020, s. 646. ISBN 978-0-19-882649-1.

CMS. Fines Database. GDPR Enforcement Tracker [online]. 2020 [cit. 2. 4. 2020]. Dostupné z: http://www.enforcementtracker.com

Co je NCKB. Národní centrum kybernetické bezpečnosti [online]. [cit. 2. 4. 2020]. Dostupné z: https://www.govcert.cz/cs/

CSIRT.CZ. Zpráva o činnosti CSIRT.CZ (národní CSIRT ČR) za rok 2018. CSIRT.CZ [online]. Praha, 2019 [cit. 2. 4. 2020]. Dostupné z: https://csirt.cz/media/filer_public/4e/dc/4edc3bff-5750-4527-82dc-3f155f578158/csirt_zprava_2018.pdf

DAMERI, Renata Paola a Camille ROSENTHAL-SABROUX (eds.). Smart City: How to Create Public and Economic Value with High Technology in Urban Space [online]. Basel: Springer International Publishing, 2014 [cit. 2. 4. 2020]. ISBN 978-3-319-06159-7. DOI: 10.1007/978-3-319-06160-3

DIN, DIN, Ikram Ud et al. The Internet of Things: A Review of Enabled Technologies and Future Challenges. IEEE Access [online]. 2019, roč. 77 [cit. 2. 4. 2020]. ISSN 2169-3536. DOI: 10.1109/ACCESS.2018.2886601

DLA Piper GDPR data breach survey: January 2020. DLA Piper [online]. Londýn: DLA Piper, 2020, s. 6 [cit. 2. 4. 2020]. Dostupné z: https://www.dlapiper.com/en/uk/insights/publications/2020/01/gdpr-data-breach-survey-2020/

Dutch DPA: fine for data breach Uber. Autoriteit persoonsgegevens [online]. 27. 11. 2018 [cit. 2. 4. 2020]. Dostupné z: https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-fine-data-breach-uber

Elements of the European data economy strategy 2018. Shaping Europe’s digital future. Evropská komise [online]. 18. 2. 2020 [cit. 2. 4. 2020]. Dostupné z: https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy

KOLOUCH, Jan et al. CyberSecurity. Praha: CZ.NIC, 2019. ISBN 978-80-88168-31-7.

M2M Sector Map. Beecham Research Ltd. [online]. 2011 [cit. 2. 4. 2020]. Dostupné z: http://www.beechamresearch.com/download.aspx?id=18

MAGDOŇOVÁ, Jana. Kyberúřadu chybí IT specialisté a technici. Plánoval jich přijmout 48, ale povolení dostal jen na osm. iROZHLAS [online]. 2019 [cit. 2. 4. 2020]. Dostupné z: https://www.irozhlas.cz/zpravy-domov/skrty-mista-urednici-schillerova-narodni-kyberneticky-urad_1907030657_kno

MARCHANT, Gary E., Braden R. ALLENBY a Joseph R. HERKERT (eds.). The Growing Gap Between Emerging Technologies and Legal‑Ethical Oversight. Dordrecht: Springer, 2011, The International Library of Ethics, Law and Technology 7. ISBN 978-94-007-1356-7.

MINISTERSTVO PRŮMYSLU A OBCHODU. Iniciativa Průmysl 4.0. Ministerstvo průmyslu a obchodu [online]. Praha, 2016 [cit. 2. 4. 2020]. Dostupné z: https://www.mpo.cz/assets/dokumenty/53723/64358/658713/priloha001.pdf

MINISTERSTVO PRŮMYSLU A OBCHODU. Národní akční plán pro chytré sítě (NAP SG). Ministerstvo průmyslu a obchodu [online]. Praha, únor 2015 [cit. 2. 4. 2020]. Dostupné z: https://www.mpo.cz/assets/cz/energetika/elektroenergetika/2016/11/Narodni-akcni-plan-pro-chytre-site.pdf

Národní centrum kybernetické bezpečnosti. NÚKIB [online]. [cit. 2. 4. 2020]. Dostupné z: https://www.govcert.cz/cs/vladni-cert/govcert-cz/

Návrh závěrečného účtu kapitoly 343 - Úřad pro ochranu osobních údajů za rok 2018. Průvodní zpráva. Úřad pro ochranu osobních údajů [online]. Praha, 2019 [cit. 2. 4. 2020]. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=33707

O nás. CZ.NIC [online]. 2019 [cit. 2. 4. 2020]. Dostupné z: https://csirt.cz/cs/o-nas/

POLČÁK, Radim et al. Virtualizace právních vztahů a nové regulatorní metody v pozitivním právu. Právník, 2019, roč. 158, č. 1. ISSN 0231-6625.

POLČÁK, Radim, Jakub HARAŠTA a Václav STUPKA. Právní problémy kybernetické bezpečnosti. Brno: Masarykova univerzita Právnická fakulta, 2016. ISBN 978-80-210-8426-1. Dostupné z: https://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdf

POLČÁK, Radim. 1 Pojem a metoda práva informačních technologií. In: POLČÁK, Radim et al. Právo informačních technologií. Praha: Wolters Kluwer, 2018. ISBN 978-80-7598-045-8.

POLČÁK, Radim. 12 Kybernetická bezpečnost. In: POLČÁK, Radim et al. Právo informačních technologií. Praha: Wolters Kluwer, 2018. ISBN 978-80-7598-045-8.

SCHNEIER, Bruce. Click here to kill everybody. New York: W.W. Norton & Company, 2018. ISBN 978-0-393-60888-5.

SMEJKAL, Vladimír a Karel RAIS. Řízení rizik ve firmách a jiných organizacích. 4. vyd. Praha: Grada Publishing, 2013. ISBN 978-80-247-4644-9.

Úřad. Úřad pro ochranu osobních údajů [online]. [cit. 2. 4. 2020]. Dostupné z: https://www.uoou.cz/urad/ds-1059/p1=1059

What botnets are. Centro nazionale antibotnet [online]. 3. říjen 2017 [cit. 2. 4. 2020]. Dostupné z: http://www.antibot.it/en/content/what-botnets-are

WP29. Guidelines on Personal data breach notification under Regulation 2016/679. Evropská komise [online]. 18/EN WP250rev.01. Brusel, 2018 [cit. 2. 4. 2020]. Dostupné z: https://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49827

ZIMBA, Aaron a Mumbi CHISHIMBA. On the Economic Impact of Crypto-ransomware Attacks: The State of the Art on Enterprise Systems. European Journal for Security Research [online]. 2019, roč. 4, č. 1 [cit. 2. 4. 2020]. ISSN 2365-1695. Dostupné z: doi: 10.1007/s41125-019-00039-8

Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2018. NÚKIB [online]. Brno, 2019 [cit. 2. 4. 2020]. Dostupné z: https://www.nukib.cz/cs/informacni-servis/publikace/

Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2017. NÚKIB [online]. Brno, 2018 [cit. 2. 4. 2020]. Dostupné z: https://www.nukib.cz/cs/informacni-servis/publikace/

https://doi.org/10.5817/CPVP2020-3-7