Prezentace aplikace PowerPoint - CESNET€¦ · Veškerémoje prezentace vyjadřujípouze ménázory získanéna základězkušenostív oblasti kybernetické trestné činnosti a

Jan Kolouch

722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb

Veškereacute moje prezentace vyjadřujiacute pouze meacute naacutezoryziacuteskaneacute na zaacutekladě zkušenostiacute v oblasti kybernetickeacutetrestneacute činnosti a kybernetickeacute bezpečnosti meacutehopůsobeniacute na Policejniacute akademii ČR v Praze FITČVUT CESNET CZNIC jakož i uacutečasti vmezinaacuterodniacutech pracovniacutech skupinaacutech namezinaacuterodniacutech konferenciacutech aj

Jde pouze o prezentaci myacutech naacutezorů ktereacute nejsoupraacutevně zaacutevazneacute a majiacute sloužit pouze jako podklad(resp informace) pro Vaši činnost v kyberprostoru


(odhalovaacuteniacute uacuteniku dat ainformaciacute nalezeniacute malware či jineacuteho uacutetokuzamezeniacute šiacuteřeniacute naacutekazy aj)

(produktivita motivacezaměstnanců pracovniacute kaacutezeň sniacuteženiacutenaacutekladů o již způsobenou škodu prevenceškod budouciacutech aj)

(protože mi to zaacutekon přikazujehellip)


pracovniacute doby hraacutel zaměstnanec

pracovniacute doby si pracovnice městskeacuteho uacuteřadutreacutenovala strategickeacute myšleniacute hraniacutem

(započiacutetaacuteny jsou i přesčasy) pracovniacute doby straacutevilaadministrativniacute pracovnice staacutetniacute instituce

hellipne pracovniacutemhellipi když zcela jistě o praacuteci

pracovniacute dobyvelkeacute společnosti v průběhu 1 měsiacutece

měl člověk kteryacute maacute v popisu praacutececelyacute den pracovat s PC


Zdroj Prezentace Markeacutety Romaacutenkoveacute na Odborneacute konferenci IIR ITSecurity 15-1652012



běžneacute surfovaacuteniacutehellipakahellipkill the timehellip

soukromeacute emaily

vyacuteběr a naacutekup zbožiacute

Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous

httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru


Občanskopraacutevniacute důsledky

Spraacutevněpraacutevniacutedůsledky

Splněniacute povinnosti

dle ZKB ZoEK aj

Trestněpraacutevniacute důsledky


Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou

nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute

zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948

Čl 12 bdquo do rodiny domova ani uacutetokům

na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo

Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo

Čl 7 odst 1 Listiny

bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo

Čl 10 odst 2 a 3 Listiny

bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo

ČL 13 Listiny

bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo

Seminaacuteř o bezpečnosti siacutetiacute a služeb722017

Kamery

Sledovaacuteniacute vyacutepisu firemniacutech telefonů

Dochaacutezkovyacute systeacutem

Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj


722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y


stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat

vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak

budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute


httpswwwyoutubecomwatchv=fxsvvdA6SnY

httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg

httpwwwnewyorkercomcultureculture-deskgold-toilet

httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu

vedlekameroveacuteho sledovaacuteniacute

nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem

Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji

(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)


Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute

a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute

přiacuteslušneacuteho zaacutekona

b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho

c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb

bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo


Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem

a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např

majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)

b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě


c) Je třeba

d) Je třeba řaacutedně sniacutemaciacutech

předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb

e) o užitiacute kameroveacuteho systeacutemu

(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona

f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb

g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb





Patrick Breyer proti BundesrepublikDeutschland

httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem


Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute

Německeacute soudy přerušily řiacutezeniacute a položily protože v

daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU

Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria


uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy

(typicky ISP připojeniacute)

neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka


adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat


Daacutele soud prohlaacutesil (body 47 a 48)

zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem

a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute

rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute

na zaacutekladě uchovanyacutech IP adresldquo


Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto

1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu

a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech

osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem

pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že

internetoveacuteho protokolu

kterou tento poskytovatel zpřiacutestupnil veřejnosti pro

uvedeneacuteho poskytovatele


ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem

Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )

ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže

ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo

ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem

ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)

ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)


Takže jsem permanentně jednou nohouhellip


httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486

Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute

byacutet nucen činit co zaacutekon neuklaacutedaacute

sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena

pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou

sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam

pořiacutediacute nebo použijiacute

(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam

sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež


Generaacutelniacute prevenčniacute povinnost

Možnost naacutehrady škody když jsem ISP

Vhodně nastavenaacute pravidla

Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce

Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)

Plošnyacute vs individualizovanyacute monitoring

Souhlas dotčeneacuteho

Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů

Možnost nesouhlasit


Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a


Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance

(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute

(2) Zaměstnavatel nesmiacute bez

a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci

(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2


Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly

Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje

hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil


Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že

bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip

uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo

Zdroj

httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0


Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem

e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem

(a když nerespektuje tak v jakeacutemiacuteře)

včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona

(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo

Zdroj

httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0


Niemetz vs Německo

Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde

Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute

httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm


Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku

na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro

posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger

Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo

Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či

meacuteně sniacuteženou

(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]

httpwwwcakczassetsbarbulescu-proti-rumunskupdf

Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html


httpswwwuoouczfilesstanovisko_2009_2pdf

bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel

přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute

pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo

Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně

tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo


sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech

sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo

přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti

nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve

kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat

skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)

použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů

(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech

opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)



ISP - ZSIS


Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)

ISP jinyacutech služeb než konektivity

Zaacutek 4802004 ZoSIS

VeřejniacuteZaacutek 1272005 ZoEK

NeveřejniacuteZaacutek 4802004 ZoSIS

Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)

- Proxy- Aplikačniacute cashing (exchange

cloudoveacute řešeniacute aj)- Maily - Blogy aj

Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)


Organizace BFU

1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele

2) Seznamte prokazatelně uživatele s těmito pravidly

3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby

4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace

5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje

6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)

Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj

7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů

8) Nebojte se upravovat a modifikovat pravidla

9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj

Pozn Využijte současneacute bdquoturbulentniacute situaceldquo


Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v

obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj



Veškereacute moje prezentace vyjadřujiacute pouze meacute naacutezoryziacuteskaneacute na zaacutekladě zkušenostiacute v oblasti kybernetickeacutetrestneacute činnosti a kybernetickeacute bezpečnosti meacutehopůsobeniacute na Policejniacute akademii ČR v Praze FITČVUT CESNET CZNIC jakož i uacutečasti vmezinaacuterodniacutech pracovniacutech skupinaacutech namezinaacuterodniacutech konferenciacutech aj

Jde pouze o prezentaci myacutech naacutezorů ktereacute nejsoupraacutevně zaacutevazneacute a majiacute sloužit pouze jako podklad(resp informace) pro Vaši činnost v kyberprostoru

























dle ZKB ZoEK aj













ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU








































dle ZKB ZoEK aj













ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




































dle ZKB ZoEK aj













ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




























dle ZKB ZoEK aj













ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU



























dle ZKB ZoEK aj













ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU





















dle ZKB ZoEK aj













ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




























ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU





















ČL 13 Listiny



Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU

















Kamery
































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU












































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU











































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU







































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU



































c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU





























c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU






















c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU

















c) Je třeba





















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU






























































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU





























































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




























































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU

























































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU
















































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU














































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU








































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU































































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




























































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU






















































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU

















































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU










































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU
































Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU






























Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU
























Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU




















Zdroj








Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU






















Zdroj



Niemetz vs Německo

































ISP - ZSIS












Organizace BFU

















Niemetz vs Německo

































ISP - ZSIS












Organizace BFU













































ISP - ZSIS












Organizace BFU



































ISP - ZSIS












Organizace BFU




























ISP - ZSIS












Organizace BFU


















ISP - ZSIS












Organizace BFU

















ISP - ZSIS












Organizace BFU


















Organizace BFU






































Documents

Prezentace aplikace PowerPoint - CESNET€¦ · Veškerémoje prezentace vyjadřujípouze ménázory získanéna základězkušenostív oblasti kybernetické trestné činnosti a