Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Jan Kolouch
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Veškereacute moje prezentace vyjadřujiacute pouze meacute naacutezoryziacuteskaneacute na zaacutekladě zkušenostiacute v oblasti kybernetickeacutetrestneacute činnosti a kybernetickeacute bezpečnosti meacutehopůsobeniacute na Policejniacute akademii ČR v Praze FITČVUT CESNET CZNIC jakož i uacutečasti vmezinaacuterodniacutech pracovniacutech skupinaacutech namezinaacuterodniacutech konferenciacutech aj
Jde pouze o prezentaci myacutech naacutezorů ktereacute nejsoupraacutevně zaacutevazneacute a majiacute sloužit pouze jako podklad(resp informace) pro Vaši činnost v kyberprostoru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
(odhalovaacuteniacute uacuteniku dat ainformaciacute nalezeniacute malware či jineacuteho uacutetokuzamezeniacute šiacuteřeniacute naacutekazy aj)
(produktivita motivacezaměstnanců pracovniacute kaacutezeň sniacuteženiacutenaacutekladů o již způsobenou škodu prevenceškod budouciacutech aj)
(protože mi to zaacutekon přikazujehellip)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
pracovniacute doby hraacutel zaměstnanec
pracovniacute doby si pracovnice městskeacuteho uacuteřadutreacutenovala strategickeacute myšleniacute hraniacutem
(započiacutetaacuteny jsou i přesčasy) pracovniacute doby straacutevilaadministrativniacute pracovnice staacutetniacute instituce
hellipne pracovniacutemhellipi když zcela jistě o praacuteci
pracovniacute dobyvelkeacute společnosti v průběhu 1 měsiacutece
měl člověk kteryacute maacute v popisu praacutececelyacute den pracovat s PC
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zdroj Prezentace Markeacutety Romaacutenkoveacute na Odborneacute konferenci IIR ITSecurity 15-1652012
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
běžneacute surfovaacuteniacutehellipakahellipkill the timehellip
soukromeacute emaily
vyacuteběr a naacutekup zbožiacute
Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous
httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Veškereacute moje prezentace vyjadřujiacute pouze meacute naacutezoryziacuteskaneacute na zaacutekladě zkušenostiacute v oblasti kybernetickeacutetrestneacute činnosti a kybernetickeacute bezpečnosti meacutehopůsobeniacute na Policejniacute akademii ČR v Praze FITČVUT CESNET CZNIC jakož i uacutečasti vmezinaacuterodniacutech pracovniacutech skupinaacutech namezinaacuterodniacutech konferenciacutech aj
Jde pouze o prezentaci myacutech naacutezorů ktereacute nejsoupraacutevně zaacutevazneacute a majiacute sloužit pouze jako podklad(resp informace) pro Vaši činnost v kyberprostoru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
(odhalovaacuteniacute uacuteniku dat ainformaciacute nalezeniacute malware či jineacuteho uacutetokuzamezeniacute šiacuteřeniacute naacutekazy aj)
(produktivita motivacezaměstnanců pracovniacute kaacutezeň sniacuteženiacutenaacutekladů o již způsobenou škodu prevenceškod budouciacutech aj)
(protože mi to zaacutekon přikazujehellip)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
pracovniacute doby hraacutel zaměstnanec
pracovniacute doby si pracovnice městskeacuteho uacuteřadutreacutenovala strategickeacute myšleniacute hraniacutem
(započiacutetaacuteny jsou i přesčasy) pracovniacute doby straacutevilaadministrativniacute pracovnice staacutetniacute instituce
hellipne pracovniacutemhellipi když zcela jistě o praacuteci
pracovniacute dobyvelkeacute společnosti v průběhu 1 měsiacutece
měl člověk kteryacute maacute v popisu praacutececelyacute den pracovat s PC
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zdroj Prezentace Markeacutety Romaacutenkoveacute na Odborneacute konferenci IIR ITSecurity 15-1652012
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
běžneacute surfovaacuteniacutehellipakahellipkill the timehellip
soukromeacute emaily
vyacuteběr a naacutekup zbožiacute
Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous
httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
(odhalovaacuteniacute uacuteniku dat ainformaciacute nalezeniacute malware či jineacuteho uacutetokuzamezeniacute šiacuteřeniacute naacutekazy aj)
(produktivita motivacezaměstnanců pracovniacute kaacutezeň sniacuteženiacutenaacutekladů o již způsobenou škodu prevenceškod budouciacutech aj)
(protože mi to zaacutekon přikazujehellip)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
pracovniacute doby hraacutel zaměstnanec
pracovniacute doby si pracovnice městskeacuteho uacuteřadutreacutenovala strategickeacute myšleniacute hraniacutem
(započiacutetaacuteny jsou i přesčasy) pracovniacute doby straacutevilaadministrativniacute pracovnice staacutetniacute instituce
hellipne pracovniacutemhellipi když zcela jistě o praacuteci
pracovniacute dobyvelkeacute společnosti v průběhu 1 měsiacutece
měl člověk kteryacute maacute v popisu praacutececelyacute den pracovat s PC
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zdroj Prezentace Markeacutety Romaacutenkoveacute na Odborneacute konferenci IIR ITSecurity 15-1652012
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
běžneacute surfovaacuteniacutehellipakahellipkill the timehellip
soukromeacute emaily
vyacuteběr a naacutekup zbožiacute
Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous
httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
pracovniacute doby hraacutel zaměstnanec
pracovniacute doby si pracovnice městskeacuteho uacuteřadutreacutenovala strategickeacute myšleniacute hraniacutem
(započiacutetaacuteny jsou i přesčasy) pracovniacute doby straacutevilaadministrativniacute pracovnice staacutetniacute instituce
hellipne pracovniacutemhellipi když zcela jistě o praacuteci
pracovniacute dobyvelkeacute společnosti v průběhu 1 měsiacutece
měl člověk kteryacute maacute v popisu praacutececelyacute den pracovat s PC
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zdroj Prezentace Markeacutety Romaacutenkoveacute na Odborneacute konferenci IIR ITSecurity 15-1652012
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
běžneacute surfovaacuteniacutehellipakahellipkill the timehellip
soukromeacute emaily
vyacuteběr a naacutekup zbožiacute
Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous
httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
běžneacute surfovaacuteniacutehellipakahellipkill the timehellip
soukromeacute emaily
vyacuteběr a naacutekup zbožiacute
Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous
httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
běžneacute surfovaacuteniacutehellipakahellipkill the timehellip
soukromeacute emaily
vyacuteběr a naacutekup zbožiacute
Surfovaacuteniacute na internetu neniacute levnaacute zaacuteležitost Z uživatelskyacutech datklientů společnosti SODATSW vyplyacutevaacute že v průměru traacuteviacutezaměstnanci 12 času nepracovniacute aktivitouPokud tuto časovou ztraacutetu vyčiacutesliacuteme u firmy o 50zaměstnanciacutech dostaacutevaacuteme se na uacutectyhodnyacutech 24 milionůkorun ročně Diacuteky monitoringu se nepracovniacute aktivitazaměstnanců v průměru snižuje až o 80 ldquouzaviacuteraacute RomanRous
httpfinexperte15czco-muze-zamestnavatel-sledovat-a-co-uz-je-pres-caru
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Občanskopraacutevniacute důsledky
Spraacutevněpraacutevniacutedůsledky
Splněniacute povinnosti
dle ZKB ZoEK aj
Trestněpraacutevniacute důsledky
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 1 ListinyLideacute jsou svobodniacute a rovniacute v důstojnosti i v praacutevech Zaacutekladniacute praacuteva a svobody jsou
nezadatelneacute nezcizitelneacute nepromlčitelneacute a nezrušitelneacute
zakotveneacute ve Všeobecneacute deklaraci lidskyacutechpraacutev z roku 1948
Čl 12 bdquo do rodiny domova ani uacutetokům
na svou čest a pověst Každyacute maacute praacutevo na zaacutekonnou ochranu protitakovyacutem zaacutesahům nebo uacutetokůmldquo
Čl 18 bdquoKaždyacute maacute svědomiacute a naacuteboženstviacutetoto praacutevo zahrnuje v sobě i volnost změnit sveacute naacuteboženstviacute nebo viacuteru jakoži svobodu projevovat sveacute naacuteboženstviacute nebo viacuteru saacutem nebo společně s jinyacutemiať veřejně nebo soukromě vyučovaacuteniacutem provaacuteděniacutem naacuteboženskyacutech uacutekonůbohoslužbou a zachovaacutevaacuteniacutem obřadůldquo
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Čl 7 odst 1 Listiny
bdquoNedotknutelnost osoby a jejiacuteho soukromiacute je zaručena Omezena můžebyacutet jen v přiacutepadech stanovenyacutech zaacutekonemldquo
Čl 10 odst 2 a 3 Listiny
bdquoKaždyacute maacute praacutevo na ochranu před neopraacutevněnyacutem zasahovaacuteniacutem dosoukromeacuteho a rodinneacuteho životaldquo
ČL 13 Listiny
bdquoNikdo nesmiacute porušit listovniacute tajemstviacute ani tajemstviacute jinyacutech piacutesemnostiacute azaacuteznamů ať již uchovaacutevanyacutech v soukromiacute nebo zasiacutelanyacutech poštou anebojinyacutem způsobem s vyacutejimkou přiacutepadů a způsobem ktereacute stanoviacute zaacutekonStejně se zaručuje tajemstviacute zpraacutev podaacutevanyacutech telefonem telegrafem nebo jinyacutempodobnyacutem zařiacutezeniacutemldquo
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Kamery
Sledovaacuteniacute vyacutepisu firemniacutech telefonů
Dochaacutezkovyacute systeacutem
Monitoring ICT (např uchovaacutevaacuteniacuteprovozniacutech a lokalizačniacutech uacutedajů) aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služebhttpswwwyoutubecomwatchv=NGjBlwHvs0Y
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
stanovit hranice co a jak moc se bude sledovat stanovit jasnaacute pravidla ktereacute prostory se nesmiacute sledovat
vůbec a ktereacute naopak celeacute a s podrobnyacutem naacutehledem definovat jak se budou zaacuteznamy dlouho archivovat jak
budou tyto zaacuteznamy chraacuteněneacute a zabezpečeneacute protizneužitiacute
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwyoutubecomwatchv=fxsvvdA6SnY
httpwwwsgdigitalcomhdcctv-applicationshtmhttpslovethatredfileswordpresscom201102woman-toiletjpg
httpwwwnewyorkercomcultureculture-deskgold-toilet
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2006_1pdf Provozovaacuteniacute kameroveacuteho systeacutemu
vedlekameroveacuteho sledovaacuteniacute
nebo jsou v zaacuteznamoveacutemzařiacutezeniacute uchovaacutevaacuteny informace a zaacuteroveň uacutečelempořizovanyacutech zaacuteznamů přiacutepadně vybranyacutechinformaciacute je jejich využitiacute k identifikaci fyzickyacutech osobv souvislosti s určityacutem jednaacuteniacutem
Uacutedaje uchovaacutevaneacute v zaacuteznamoveacutem zařiacutezeniacute aťobrazoveacute či zvukoveacute jsou osobniacutemi uacutedaji
(tedy informace z obrazovyacutech či zvukovyacutechnahraacutevek umožňujiacute byť nepřiacutemo identifikaci osoby)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zpracovaacuteniacute osobniacutech uacutedajů provozovaacuteniacutem kameroveacuteho systeacutemuje přiacutepustneacute
a) v raacutemci plněniacute uacutekolů uloženyacutech zaacutekonem (např Policii Českeacuterepubliky) v těchto přiacutepadech je třeba dbaacutet ustanoveniacute
přiacuteslušneacuteho zaacutekona
b) daacutele je toto možneacute na zaacutekladě řaacutedneacuteho
c) užitiacute kameroveacuteho systeacutemu však je možneacute i bez souhlasusubjektu uacutedajů s využitiacutem ustanoveniacute sect 5 odst 2 piacutesm e)zaacutekona č 1012000 Sb
bdquopokud je to nezbytneacute pro ochranu praacutev a praacutevem chraacuteněnyacutechzaacutejmů spraacutevce přiacutejemce nebo jineacute dotčeneacute osoby takoveacutezpracovaacuteniacute osobniacutech uacutedajů však nesmiacute byacutet v rozporu s praacutevem subjektuuacutedajů na ochranu jeho soukromeacuteho a osobniacuteho životaldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnosti spraacutevce při provozovaacuteniacute kameroveacuteho systeacutemu vybaveneacutehozaacuteznamovyacutem zařiacutezeniacutem
a) Kameroveacute sledovaacuteniacute nesmiacute nadměrně zasahovat do soukromiacute(např
majetek je možno chraacutenit před odcizeniacutem uzamčeniacutem miacutestnosti) Jevyloučeno užitiacute kameroveacuteho systeacutemu v prostoraacutech určenyacutech k ryzesoukromyacutem uacutekonům (např toalety sprchy) Je ovšem možneacute řešeniacutekdy subjekt uacutedajů maacute na vyacuteběr z alternativ (např lze monitorovatprostory šatny plaveckeacuteho stadionu za předpokladu že je vymezenprostor pro převleacutekaacuteniacute kteryacute neniacute kamerami sledovaacuten)
b) Je třeba předem jednoznačněstanovit uacutečel pořizovaacuteniacute zaacuteznamů kteryacute musiacute korespondovat sdůležityacutemi praacutevem chraacuteněnyacutemi zaacutejmy spraacutevce (např ochranoumajetku před kraacutedežiacute) Zaacuteznamy tak mohou byacutet využity pouze vsouvislosti se zjištěniacutem udaacutelosti kteraacute poškozuje tyto důležiteacute praacutevemchraacuteněneacute zaacutejmy spraacutevce Přiacutepustnost využitiacute zaacuteznamů pro jinyacute uacutečelmusiacute byacutet omezena na vyacuteznamnyacute veřejnyacute zaacutejem např boj proti pouličniacutekriminalitě
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
c) Je třeba
d) Je třeba řaacutedně sniacutemaciacutech
předneopraacutevněnyacutem nebo nahodilyacutem přiacutestupem změnou zničeniacutem čiztraacutetou nebo jinyacutem neopraacutevněnyacutem zpracovaacuteniacutem - viz sect 13 zaacutekona č1012000 Sb
e) o užitiacute kameroveacuteho systeacutemu
(např naacutepisem umiacutestěnyacutem v monitorovaneacutemiacutestnosti) viz sect 11 odst 5 zaacutekona č 1012000 Sb nejde-li o uplatněniacutezvlaacuteštniacutech praacutev a povinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona
f) Je třeba garantovat dalšiacute praacuteva subjektu uacutedajů zejmeacutena praacutevo napřiacutestup ke zpracovaacutevanyacutem datům a praacutevo na naacutemitku proti jejichzpracovaacuteniacute viz sect 1 zaacutekona č 1012000 Sb
g) Zpracovaacuteniacute osobniacutech uacutedajů je třeba registrovat u Uacuteřadu proochranu osobniacutech uacutedajů nejde-li o uplatněniacute zvlaacuteštniacuteho praacuteva čipovinnostiacute vyplyacutevajiacuteciacutech ze zvlaacuteštniacuteho zaacutekona viz sect 18 odst 1 piacutesm b)zaacutekona č 1012000 Sb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Breyer proti BundesrepublikDeutschland
httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=184668amppageIndex=0ampdoclang=csampmode=lstampdir=ampocc=firstamppart=1ampcid=1403270dynamickaacute IP adresa je dle rozsudku soudniacutehodvora EU z 19102016 za určityacutech okolnostiacuteosobniacutem uacutedajem
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Patrick Bayer se u německyacutech soudů domaacutehal abyNěmecko přestalo uchovaacutevat jeho IP adresy ktereacuteziacuteskalo při jeho bdquonaacutevštěvaacutechldquo několika internetovyacutechstraacutenek německyacutech spolkovyacutech orgaacutenů ktereacute bylyveřejně přiacutestupneacute
Německeacute soudy přerušily řiacutezeniacute a položily protože v
daneacute věci neexistuje jednotnyacute vyacuteklad praacuteva EU
Jde zejmeacutena o to jestli k tomu aby nějakyacute uacutedaj bylosobniacutem uacutedajem a tedy identifikoval konkreacutetniacute osobuje třeba vychaacutezet z bdquoobjektivniacuteholdquo či bdquorelativniacuteholdquokriteacuteria
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
uacutedaje jako jsou IP adresy by mohly byacutetpovažovaacuteny za osobniacute uacutedaje zpracovaacutevaneacute ISPjinyacutech služeb než připojeniacute (např provozovateleminternetoveacute straacutenky) a to i tehdy
(typicky ISP připojeniacute)
neboť mu umožňujiacute přesněurčit totožnost uživatele ale už ne u ISP služebkteryacute disponuje skutečně pouze uacutedajem o IPadrese a neznaacute jmeacuteno naacutevštěvniacuteka
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
adresa přiacutemo neodhaluje totožnost fyzickeacuteosoby kteraacute je majitelem počiacutetače ze ktereacutehobyla navštiacutevena internetovaacute straacutenka anitotožnost jineacute osoby kteraacute mohla tentopočiacutetač použiacutevat
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Daacutele soud prohlaacutesil (body 47 a 48)
zejmeacutena v přiacutepadě kybernetickyacutechuacutetoků za uacutečelem
a k zahaacutejeniacute trestniacutech stiacutehaacuteniacute
rozumně s pomociacute jinyacutechosob a sice přiacuteslušneacuteho orgaacutenu a poskytovateleinternetoveacuteho připojeniacute
na zaacutekladě uchovanyacutech IP adresldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Z těchto důvodů Soudniacute dvůr (druhyacute senaacutet) rozhodl takto
1) Člaacutenek 2 piacutesm a) směrnice Evropskeacuteho parlamentu
a Rady 9546ES ze dne 24 řiacutejna 1995 o ochraně fyzickyacutech
osob v souvislosti se zpracovaacuteniacutem osobniacutech uacutedajů a o volneacutem
pohybu těchto uacutedajů musiacute byacutet vyklaacutedaacuten v tom smyslu že
internetoveacuteho protokolu
kterou tento poskytovatel zpřiacutestupnil veřejnosti pro
uvedeneacuteho poskytovatele
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP budou IP adresami muset (minimaacutelněz důvodu opatrnosti) zachaacutezet jako sosobniacutem uacutedajem
Musiacute dodržovat všechny povinnostistanoveneacute zaacutekonem č 1012000 Sb oochraně osobniacutech uacutedajů potažmo novyacutemObecnyacutem nařiacutezeniacutem o ochraně osobniacutechuacutedajů ktereacute začne platit v květnu roku2018 ( )
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ndash praacutevnickeacute osobě lze přičiacutetat spaacutechaacuteniacute trestneacuteho činu jestliže
ndash orgaacuteny praacutevnickeacute bdquoneprovedly takovaacute opatřeniacute kteraacute měly proveacutestpodle jineacuteho praacutevniacuteho předpisu nebo kteraacute po nich lze spravedlivěpožadovat zejmeacutena neprovedly povinnou nebo potřebnoukontrolu nad činnostiacute zaměstnanců nebo jinyacutech osob jimž jsounadřiacutezeny anebo neučinily nezbytnaacute opatřeniacute k zamezeniacute neboodvraacuteceniacute naacutesledků spaacutechaneacuteho trestneacuteho činuldquo
ndash Zaměstnanci tak mohou byacutet pro sveacuteho zaměstnavatele ivnitřniacutem trestněpraacutevniacutem rizikem
ndash sect 7 (detekce kybernetickeacute bezpečnostniacute udaacutelosti)
ndash sect 8 (hlaacutešeniacute kybernetickeacuteho bezpečnostniacuteho incidentu)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Takže jsem permanentně jednou nohouhellip
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpzpravytiscaliczve-svete-je-ve-vezeni-rekordni-pocet-232-novinaru-206486
Čl 2 odst 3 Listiny Každyacute může činit vše co neniacute zaacutekonem zakaacutezaacuteno a nikdo nesmiacute
byacutet nucen činit co zaacutekon neuklaacutedaacute
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sect 86Nikdo nesmiacute zasaacutehnout do soukromiacute jineacuteho nemaacute-li k tomu zaacutekonnyacute důvodZejmeacutena
pořiacutezeneacute o soukromeacutem životě člověka třetiacuteosobou nebo o jeho soukromeacutem životě Ve stejneacutemrozsahu jsou
sect 88 pokud se podobizna nebo zvukovyacute či obrazovyacute zaacuteznam
pořiacutediacute nebo použijiacute
(2) Svoleniacute neniacute třeba ani v přiacutepadě když se podobizna piacutesemnost osobniacutepovahy nebo zvukovyacute či obrazovyacute zaacuteznam
sect 89Podobizna nebo zvukovyacute či obrazovyacute zaacuteznam se mohou takeacutepořiacutedit nebo použiacutet přiměřenyacutem způsobem teacutež
Seminaacuteř o bezpečnosti siacutetiacute a služeb722017
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Generaacutelniacute prevenčniacute povinnost
Možnost naacutehrady škody když jsem ISP
Vhodně nastavenaacute pravidla
Relativně vyvaacuteženeacute vydefinovaacuteniacute praacutev a povinnostiacuteuživatele i spraacutevce
Stanoveniacute toho co a v jakeacutem rozsahu (v jakyacutechpřiacutepadech budete monitorovat)
Plošnyacute vs individualizovanyacute monitoring
Souhlas dotčeneacuteho
Seznaacutemeniacute se i s možnostiacute zaacutesahu do osobniacutech uacutedajů
Možnost nesouhlasit
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Zaacutekladniacute povinnostiacute zaměstnance je dle sect 301a) pracovat řaacutedně podle svyacutech sil znalostiacute a schopnostiacuteplnit pokyny nadřiacutezenyacutech vydaneacute v souladu s praacutevniacutemipředpisy a spolupracovat s ostatniacutemi zaměstnancid) řaacutedně hospodařit s prostředky svěřenyacutemi jimzaměstnavatelem a střežit a ochraňovat majetekzaměstnavatele před poškozeniacutem ztraacutetou zničeniacutem azneužitiacutem a
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Hlava VIII Ochrana majetkovyacutech zaacutejmů zaměstnavatele a ochrana osobniacutech praacutev zaměstnance
(1) Zaměstnanci nesmějiacute bez souhlasu zaměstnavatele užiacutevat pro svouosobniacute potřebu vyacuterobniacute a pracovniacute prostředky zaměstnavatele včetněvyacutepočetniacute techniky ani jeho telekomunikačniacute zařiacutezeniacute
(2) Zaměstnavatel nesmiacute bez
a ve společnyacutech prostoraacutech zaměstnavatele tiacutem že podrobujezaměstnance otevřeneacutemu nebo skryteacutemu sledovaacuteniacute odposlechu a zaacuteznamujeho telefonickyacutech hovorů kontrole elektronickeacute pošty nebo kontrolelistovniacutech zaacutesilek adresovanyacutech zaměstnanci
(3) Jestliže je u zaměstnavatele daacuten zaacutevažnyacute důvod spočiacutevajiacuteciacute ve zvlaacuteštniacutepovaze činnosti zaměstnavatele kteryacute odůvodňuje zavedeniacute kontrolniacutechmechanismů podle odstavce 2
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Povinnost předem upozornit dle sect 316 odst 3 ZP neniacute uacuteplnějasně vymezena a je zaacutevislaacute vždy na způsobu kontroly
Kontrola firemniacutech e-mailovyacutech schraacutenek či paměti počiacutetačůa externiacutech nosičů je však již podložena povinnostiacuteinformovanost zaměstnance vyžaduje
hellipviz hellip Vhodneacute a vyvaacuteženeacute nastaveniacute pravidel čidodatku k pracovniacute smlouvě kdy zaměstnanec svyacutempodpisem stvrzuje že se s informaciacute seznaacutemil
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 21722002konstatoval že
bdquoK povinnostem zaměstnavatele naacuteležiacute nepochybněrovněž povinnost hellip
uklaacutedajiacuteciacute zaměstnavatelipřijmout a soustavně uplatňovat takovyacute souhrn způsobů aforem kontroly plněniacute pracovniacutech uacutekolů zaměstnanci kteryacute lzepo něm vzhledem ke konkreacutetniacute časoveacute a miacutestniacute situaci rozumněpožadovat a kteryacute ndash objektivně vzato ndash je způsobilyacute conejviacutece omezit a sniacutežit riziko vzniku škodldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchD5C7441DD038DFE6C1257A4E0065A236openDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Nejvyššiacute soud ve sveacutem rozhodnutiacute 21 Cdo 17712011konstatoval žebdquociacutelem kontroly provaacuteděneacute zaměstnavatelem
e-mailovyacutech zpraacutev obsahu SMS nebo MMS přiacutepadněodeslanyacutech či přijatyacutech zaměstnancem
(a když nerespektuje tak v jakeacutemiacuteře)
včetně jeho telekomunikačniacutechzařiacutezeniacute vyplyacutevajiacuteciacute ze zaacutekona
(vyplyacutevajiacuteciacutemu zPracovniacuteho řaacutedu) Je tedy zřejmeacute že provaacuteděnaacute kontrolasměřovala toliko k ochraně majetku zaměstnavateleldquo
Zdroj
httpwwwnsoudczJudikaturajudikatura_nsnsfWebSearchB0ED0CEF751D472DC1257A61004D599CopenDocumentampHighlight=0
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Niemetz vs Německo
Evropskyacute soud v odůvodněniacute dospěl k zaacutevěru žesoukromyacute život je otaacutezkou respektovaacuteniacute vzaacutejemnyacutechvztahů mezi lidskyacutemi bytostmi a je irelevantniacute zda setak děje na pracovišti či kdekoliv jinde
Zaměstnavatel je tak opraacutevněn kontrolovatzaměstnance adekvaacutetniacutem způsobem tak aby nebylasniacutežena jejich lidskaacute důstojnost nepřiměřenyacutemzaacutesahem do praacuteva na soukromiacute
httphudocechrcoeintengi=001-6185322fulltext22[22137108822]22itemid22[22001-5788722]httpspcpprfcuniczjudikates27-96htm
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Bărbulescu proti RumunskuDne 12 1 2016 vydal Evropskyacute soud pro lidskaacute praacuteva rozhodnutiacute ve věci sledovaacuteniacute osobniacuteelektronickeacute komunikace zaměstnanců zaměstnavatelem během pracovniacute doby ndash Rozhodnutiacute ve věcič 6149608 Bărbulescu proti Rumunsku
na zaacutekladě sveacute předchoziacute judikaturyDůležiteacute pro
posouzeniacute toho zda monitorovaacuteniacute činnosti zaměstnance napřiacuteklad nahraacutevaacuteniacute jeho telefonniacutech hovorůsledovaacuteniacute činnosti na internetu či elektronickeacute komunikace je či neniacute v rozporu s čl 8 Uacutemluvy je zdadotyčnyacute stěžovatel na zaacutekladě objektivniacutech skutečnostiacute (informace prokazatelně zprostředkovaneacutezaměstnavatelem vnitřniacute pravidla pro využiacutevaacuteniacute vyacutepočetniacute techniky a telekomunikačniacuteho zařiacutezeniacuteběžnaacute praxe na pracovišti) v tomto přiacutepadě při využiacutevaacuteniacute programu YahooMessenger
Evropskyacute soud pro lidskaacute praacuteva pokračoval obecnyacutem tvrzeniacutem že neniacute nedůvodneacute aby zaměstnavatelkontroloval zda zaměstnanci v pracovniacute době skutečně pracujiacute Podle naacutezoru Evropskeacuteho soudu prolidskaacute praacuteva nebylo doloženo že by zaměstnavatel přistupoval k dalšiacutem informaciacutem v počiacutetačidaneacuteho zaměstnance např k uloženyacutem dokumentům naproti tomu využiacutevaacuteniacute uacutečtu v programu YahooMessenger bylo kontrolovaacuteno pouze v kraacutetkeacutem časoveacutem obdobiacute Z toho soud dovodil že v tomtopřiacutepadě se jednalo o omezenyacute a přiměřenyacute zaacutesah do soukromiacute stěžovatele K porušeniacute čl 8 Uacutemluvy takpodle naacutezoru soudu v tomto přiacutepadě nedošlo
Každyacute člověk maacute i při vyacutekonu praacutece jistou miacuteru soukromiacute byť s ohledem na charakter praacutece viacutece či
meacuteně sniacuteženou
(vyacuterobniacute prostředky) httphudocechrcoeinteng22itemid22[22001-15990622]
httpwwwcakczassetsbarbulescu-proti-rumunskupdf
Daacutele viz httpswwwepravocztopclankysledovani-aktivity-zamestnance-na-internetu-ve-svetle-aktualni-judikatury-evropskeho-soudu-pro-lidska-prava-100316html
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
httpswwwuoouczfilesstanovisko_2009_2pdf
bdquozaměstnavatel neniacute opraacutevněn sledovat monitorovat a zpracovaacutevatkorespondence svyacutech Zaměstnavatel
přiacutepadně(tj zejmeacutena vznikne-li podezřeniacute ze zneužitiacute
pracovniacutech prostředků resp využitiacute k jinyacutem než pracovniacutem uacutečelům) tj komu piacutešiacute a od koho je dostaacutevajiacuteldquo
Stanovisko daacutele pokračuje bdquoSoukromyacute e-mail zaměstnance smiacute zaměstnavatelna zaacutekladě opraacutevněniacute danyacutech mu novyacutem zaacutekoniacutekem praacutece otevřiacutet a přečiacutestpouze vyacutejimečně
tj lze-li tento zaacutevěr učinit na zaacutekladě uacutedajůuvedenyacutech v hlavičce a jestliže je pravděpodobneacute že z objektivniacutech důvodůjako je dlouhodobaacute nemoc zaměstnance by k jejiacutemu vyřiacutezeniacute zaměstnancem mohlodojiacutet natolik pozdě že by zaměstnavatel mohl utrpět uacutejmu na svyacutech praacutevechZaměstnavatel tak fakticky využiacutevaacute sveacuteho praacuteva chraacutenit majetek podlenoveacuteho zaacutekoniacuteku praacutece Při nařizovaacuteniacute dovoleneacute by měl zaměstnavatel předempřijmout takovaacute opatřeniacute k zastupovaacuteniacute aby k poškozeniacute soukromiacute zaměstnancenedošloldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
sledovaacuteniacute doby straacuteveneacute na internetu včetně přehledu o navštiacutevenyacutechstraacutenkaacutech
sledovaacuteniacute doby straacuteveneacute chatovaacuteniacutem včetně přehledu o tom s kyacutem sechatovalo
přehled telefonickeacute komunikace (přiacutechoziacute i odchoziacute hovory) zaměstnance obsah pevneacuteho disku firemniacuteho počiacutetače - zejmeacutena z hlediska legaacutelnosti
nebo nelegaacutelnosti nainstalovaneacuteho a použiacutevaneacuteho software obsah přenosnyacutech meacutediiacute (typicky USB flashdisků apod) ndash zejmeacutena ve
kvůli ochraně firemniacutech tajemstviacute a možneacutemu uacuteniku dat
skenovaacuteniacute monitoru zaměstnance (některeacute dohledoveacute systeacutemy pravidelně sniacutemajiacute obsah toho co je na obrazovce a uklaacutedajiacute tyto informace do sveacute databaacuteze)
použitiacute keyloggerů sledovaacuteniacute obsahu soukromeacute konverzace ať už chatovaacuteniacute či e-mailů
(vyjma zaacutekonem stanovenyacutech přiacutepadů) sledovaacuteniacute zaměstnanců kamerami nad raacutemec zaacutekonem stanovenyacutech
opraacutevněniacute (vyjma dřiacuteve uvedenyacutech vyacutejimečnyacutech druhů zaměstnaacuteniacute)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
ISP - ZSIS
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Poskytovatel služeb spočiacutevajiacuteciacutev přenosu informaciacute poskytnutyacutechuživatelem (Mere Conduit neboAccess Provider)
ISP jinyacutech služeb než konektivity
Zaacutek 4802004 ZoSIS
VeřejniacuteZaacutek 1272005 ZoEK
NeveřejniacuteZaacutek 4802004 ZoSIS
Poskytovatele služeb spočiacutevajiacuteciacutech v automatickeacutem meziuklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv caching)
- Proxy- Aplikačniacute cashing (exchange
cloudoveacute řešeniacute aj)- Maily - Blogy aj
Poskytovatele služeb spočiacutevajiacuteciacutech v uklaacutedaacuteniacute informaciacute poskytnutyacutech uživatelem (tzv storagenebo hosting)
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Organizace BFU
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
1) Nastavte jasnaacute a srozumitelnaacute pravidla pro užiacutevaacuteniacute ICT pro koncoveacuteuživatele
2) Seznamte prokazatelně uživatele s těmito pravidly
3) Umožněte subjektu nesouhlasit s podmiacutenkami použitiacute služby
4) Definujte praacuteva a povinnosti uživatele spraacutevce organizace
5) Upozorněte subjekty na to že sbiacuteraacutete a uchovaacutevaacutete osobniacute uacutedaje
6) Zvolte prostředky přiměřeneacute k dosaženiacute sledovaneacuteho ciacutele (viz principminimalizace zaacutesahu do zaacutekladniacutech lidskyacutech praacutev a test proporcionality)
Např o taxativniacute vymezeniacute webovyacutech straacutenek ktereacute určityacute zaměstnanec může navštěvovat(tzv whitelist) nebo naopak straacutenky na ktereacute je přiacutestup blokovaacuten (sociaacutelniacute siacutetěpornografickeacute straacutenky atd - blacklist) aj
7) Využiacutevejte osobniacute uacutedaje pouze v souladu s uacutečelem ke ktereacutemu bylyshromaacutežděny K jinyacutem uacutečelům je využiacutevejte pouze tehdy pokud lzetakoveacute zpracovaacuteniacute podložit sect 5 odst 2 zaacutekona o ochraně osobniacutech uacutedajů
8) Nebojte se upravovat a modifikovat pravidla
9) Spolupracujte při tvorbě pravidel a managementem praacutevniacutekybezpečnostniacutemi tyacutemy IT aj
Pozn Využijte současneacute bdquoturbulentniacute situaceldquo
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
Primaacuterně je třeba pozornost věnovat oblastem osobniacutech uacutedajů a ochrany soukromiacute citlivyacutech či důvěrnyacutech informaciacute poskytnutyacutech v
obchodniacute styku autorskyacutech praacutev trestně praacutevniacute odpovědnosti (fyzickeacute i praacutevnickeacute osoby) obchodniacutech sděleniacute aj
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb
722017 Seminaacuteř o bezpečnosti siacutetiacute a služeb