Právní stanoviska MT Legal s.r.o.,
Advokátní kancelář
V oblasti veřejného investování, ve spojení a v souvislosti s pandemií
COVID-19
Ochrana osobních údajů a kybernetická bezpečnost v době nouzového stavu i mimo něj, vč. souvisejících pracovněprávních otázek (home-working apod.)
I v rámci nestandardních situací musí být v maximálně možném rozsahu kladen důraz na zachování ochrany osobních údajů a pravidel kybernetické bezpečnosti. Otázka zní, jaký vliv má na tyto principy současná pandemie COVID-19 a nejrůznější právní skutečnosti a okolnosti s touto pandemií související.
Vliv na zpracování osobních údajů
Evropský sbor pro ochranu osobních údajů přijal dne 19. 3. 2020 Stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19[1] (dále jen „Stanovisko“), v rámci kterého zdůrazňuje, že „i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů. Měly by tedy být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné“.
- GDPR i ZZOÚ reagují na situace, kdy zpracování osobních údajů probíhá v krizovém stavu a nabízejí řadu institutů, kterými lze specifické potřeby správců, způsobené krizovou situací, realizovat. Právo ochrany osobních údajů je díky použití performativních norem více flexibilní a umožňuje správcům přizpůsobovat zpracování aktuální situaci na základě zavedených principů jako např. principu přístupu založeném na riziku.
- I při zpracování osobních údajů, vyvolaných krizovými opatřeními je však nezbytné jasně definovat práva a povinnosti pojící se se zpracováním osobních údajů. Součástí všech zpracování v době krizového stavu by proto mělo být přehledné vyjasnění vztahů mezi správci a zpracovateli, stejně jako všech souvisejících parametrů zpracování a povinností, které se s ním pojí.
- Kromě GDPR by správci neměli zapomínat také na ZZOÚ, který nabízí celou řadu výjimek a usnadnění, které lze v době krizového stavu aplikovat.
- Osobní údaje o zdravotním stavu spadají pod zvláštní kategorii osobních údajů dle čl. 9 GDPR, se kterými se pojí zvýšené nároky na jejich zpracování. Jejich zpracování je však v krizovém stavu umožněno zejména na základě čl. 9 odst. 2 písm. c), h) a i) GDPR.
- Zpracovávat osobní údaje o zdravotním stavu může být oprávněn také zaměstnavatel. Ten má totiž preventivní povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí, což může znamenat také vedení evidence nemocných zaměstnanců. Tato opatření musí být činěna v součinnosti s opatřeními orgánů ochrany veřejného zdraví a musí respektovat práva subjektů údajů.
- Pakliže zaměstnanec přistoupí ke zřízení home office pro své zaměstnance, je nezbytné dodržovat pravidla ochrany osobních údajů, zahrnující zajištění bezpečného spojení, spolehlivého úložiště dat, předávání listinných i elektronických dokumentů a také dodržování informační ale i dalších povinností při zaznamenávání videokonferenčních hovorů.
[1] Stanovisko je uveřejněno zde https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en
Vliv na kybernetickou bezpečnost
V důsledku vyhlášení nouzového stavu se mnoho běžných činností osob přesouvá do kybernetického prostoru. Málo která osoba je však na tento nový způsob jednání v online světě z hlediska kybernetické bezpečnosti dostatečně připravena, zejména s ohledem na organizační a technická opatření, která s tímto způsobem jednání nepočítala, a přináší proto nové hrozby kybernetických bezpečnostních incidentů.
- V době nouzového stavu je nutné dbát na zvýšenou bezpečnost informací a dodržování bezpečnostních opatření nejen v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (ZKB) a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů (VKB).
- Právní úprava kybernetické bezpečnosti obsažená v ZKB se netýká široké veřejnosti, ovšem povinnosti vztahující se k zajištění bezpečnosti v kybernetickém prostoru vyplývají jednak např. z čl. 32 GDPR, ale také z povinnosti prevence zakotvenou v § 2900 a násl. OZ.
- Není možné pořizovat SW a HW bez splnění povinností vyplývajících pro povinné subjekty ze ZKB a VKB, zejména je nezbytné provést hodnocení rizik ve smyslu § 2 písm. d) VKB, aktualizovat analýzu rizik včetně jejího vyhodnocení v návaznosti na nově pořizovaný HW a SW, a řídit aktiva a dodavatelské vztahy dle § 4 a § 8 VKB.
- Zaměstnavatelé, nejen ti z řad povinných osob dle § 3 ZKB, by měli opakovaně poučit své zaměstnance o bezpečnostních pravidlech, obsažených v jejich interních předpisem, a to jak při práci s HW (riziko využívání vlastních (tzv. domácích) počítačů zaměstnanců, vlastních USB disků, vlastního internetového připojení apod.), tak také ve vztahu k SW (zpracovávání a ukládání dokumentů a informací, phishing, správa hesel apod.).
- V případě práce z domova, tzv. home office, je doporučeno povinnosti vyplývající z přijatých bezpečnostních opatření zahrnout do dohody o výkonu práce z domova uzavřené ve smyslu § 317 zákoníku práce.
Pro další dotazy nás neváhejte kontaktovat.
Zásady zpracování osobních údajů