Přihlásit se Registrace
Smlouvy Dotace Platy Úřady Zakázky ▶ PastVina
❤ Podpořte nás Přihlásit se Registrace
Hledat Hlídači státu
Nápověda jak vyhledávat Snadné hledání
  1. Hlídač Státu
  2. Další databáze
  3. Elektronická knihovna legislativního procesu
  4. ALBSCSSFKU7S
  5. Obsah dokumentu

Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Celý záznam ALBSCSSFKU7S najdete zde

                připomínky ÚOOÚ

*UOOUX00G8TZ5*
Úřad pro ochranu osobních údajů	čj. UOOU-02746/23-6 

Úřad pro ochranu osobních údajů	čj. UOOU-02746/23-6 

Připomínky
k 1. návrhu zákona o kybernetické bezpečnosti a 2. návrhu zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
Obecně
Úřad pro ochranu osobních údajů uplatňuje připomínky, a to včetně zásadních, zejména k osobním údajům.
ÚOOÚ upozorňuje na to, že před meziresortním připomínkovým řízením k návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, jej bude nutné dopracovat, konkrétně její § 8 a přílohu č. 1. Pro zavedení Traffic Light Protocol (TLP) nejsou stanovena dostatečně jasná pravidla. Bude se vycházet z ISO/IEC 27010:2015, nebo jiného standardu? Pak je nutné dořešit obecnou a bezplatnou přístupnost této technické nomy.
Právní norma v § 8 je nedostatečná. Stanoví pouze, že povinná osoba má stanovit pravidla pro klasifikaci informací a pravidla pro označování aktiv „alespoň v rozsahu uvedeném v příloze č. 1“. Pod tím si lze představit cokoliv. Z přílohy č. 1 vyplývá, že každá povinná osoba si v podstatě může pravidla hodnocení aktiv stanovovat libovolně a libovolně tedy k nim například přiřazovat hodnoticí TLP označení. Při vzájemné výměně informací mezi zákonem dotčenými subjekty tedy nutně musí docházet k situaci, že informace (dokument) může být označen různě nebo označen TLP s jinou parametrizací. Tedy jednotliví aktéři sdílení dat vůbec netuší, jakou hodnotu pro druhý subjekt informace má i když bude označen podle TLP.
I s ohledem na to, se ÚOOÚ nadále domnívá, že by mělo být znovu posouzeno naplnění zásady enumerativnosti veřejnoprávních pretensí a nahradit návrh vyhlášky tam, kde to lze, opatřeními obecné povahy.
V souvislosti s přípravou tzv. „single point of entry“ (SPOE) pro hlášení incidentů spojených s agendou NÚKIB, ÚOOÚ a případně dalších úřadů se dovolujeme dotázat, zda není nezbytná legislativní úprava tohoto systému.
ÚOOÚ dále uplatňuje ty připomínky, které se nepodařilo vyřešit v rámci veřejné konsultace.
K návrhu kmenového zákona
V § 2 odst. 1 písm. e) a na všech ostatních místech se slovo „regulovanou“ nahrazuje slovem „kybernetickou“. Tato připomínka je zásadní.

Regulovanou službou je prakticky cokoliv, od divadelního představení po zásah dobrovolných hasičů. Je proto vysoce nevhodné takto obecný pojem používat v tak úzkém významu.
V § 6 odst. 2 se slova „režim vyšších povinností“ nahrazují slovem „strategický“ a slova „režim nižších povinností“ nahrazují slovem „významný“.

Pochopitelnější nomenklatura, cf. § 26. Směrnice používá pojmy „základní“ a „důležitý“.
Ustanovení §§ 8 a 10 je nezbytné přepracovat. Tato připomínka je zásadní.

Registrace a evidence je v zásadě to samé. Rozdílová tabulka uvádí k § 10 odkaz na přechodné ustanovení směrnice 32022L2555, a proto není přesvědčivá.
Ustanovení § 12 odst. 1 a 2 je nezbytné přepracovat. Tato připomínka je zásadní.

Pojem „registrační údaje“ není vhodný. Rozlišování registračních údajů jako identifikačních údajů PO a kontaktních údajů jako identifikačních údajů FO je v rozporu s doktrínou. Předefinování standardních termínů na něco jiného je matoucí.
V § 38 se slova „zajištění vnitřního či veřejného pořádku a bezpečnosti“ nahrazují slovy „zajištění veřejného pořádku a národní bezpečnosti“.

Standardní vymezení kautel.
V § 48 je odstavec 2 nezbytné přepracovat. Tato připomínka je zásadní.

Drtivou většinu těchto údajů již stát má. NÚKIB si je proto musí načerpat pomocí RPP.
V § 53 se zrušuje podtržení. Tato připomínka je zásadní. 

Podle rozdílové tabulky se zde transponuje právní norma: „14. Subjekty, příslušné orgány, jednotná kontaktní místa a týmy CSIRT zpracovávají osobní údaje pouze v rozsahu nezbytném pro účely této směrnice a v souladu s nařízením (EU) 2016/679 a takové zpracování se opírá o článek 6 uvedeného nařízení.“ S tím však nelze souhlasit. Tato právní norma je obecný pokyn pro celý návrh, nikoliv, že má být stanovena explicitně.
V § 53 se odstavec 1 zrušuje. Tato připomínka je zásadní.

Tato právní norma nepřináší žádnou přidanou hodnotu oproti obecným principům ochrany osobních údajů.
Nadpis § 56 zní: „Správní dozor“.

Přesnější pojem.
V § 56 odst. 3 se za slovo „zaměstnanci“ vkládá slovo „v“.

NÚKIB nemá právní subjektivitu, a tedy ani žádné zaměstnance.
Část 8 obecné části důvodové zprávy, zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů (dále jen "DPIA"), je nezbytné přepracovat. Tato připomínka je zásadní.

Ani ve veřejné konsultaci se nepodařilo DPIA dostatečně konkretisovat. Jinde je zase konkretisace přehnaná, zejména ve vymezení agend. Předkladatel při zpracování DPIA sice vyšel návrhu doporučení legislativního DPIA,[footnoteRef:1] ale jeho tvrzení jsou často příliš obecná – týká se to zejména výjimek z ochrany osobních údajů – jinde dokonce nesprávná. Je paradoxní, že § 53 odst. 2 a 3 je podrobnější než DPIA, ačkoliv by to mělo být naopak. [1:  https://www.uoou.cz/metodika-pro-legislativni-dpia/ds-7270/archiv=1&p1=1257. ] 

Týká se to zejména právního základ zpracování osobních údajů. Tím není „návrh zákona o kybernetické bezpečnosti“, protože to byla definice kruhem. Je totiž nezbytné stanovit, co je právním základem zpracování osobních údajů podle zákona o kybernetické bezpečnosti.
Dále do DPIA nepatří hypothesy: „Bude-li konkrétní zpracování osobních údajů spadat do působnosti obecného nařízení o ochraně osobních údajů“, nýbrž je nezbytné rovnou stanovit, které zpracování podléhá GDPR. Stejně tak místo obecného tvrzení: „Veškeré zpracování osobních údajů se pak bude řídit zákonem o zpracování osobních údajů“, by mělo být uvedeno, která zpracování se budou řídit hlavou IV ZZOÚ.
Místo obecného odkazu na § 41 by mělo být uvedeno, které pravomoci vyžadují zpracování osobních údajů.
V neposlední řadě je třeba opravit terminologii. „Titul“ je právní institut pouze při zpracování těch osobních údajů, které NÚKIB již má, nikoliv těch, které teprve hodlá mít.
Dále, byť to není v působnosti ÚOOÚ, lze mít za to, že počet agend je přehnaný. Spíše by měl odpovídat vymezeným účelům, které by pak bylo možné zestručnit na skutečný účel agendy, např. „komunikace Úřadu a regulovaných organizací“, „plnění informační povinnosti Úřadu“/„poskytnutí součinnosti“, „prověřování důvěryhodnosti“/„posouzení způsobilosti“ a „dozor plnění povinností“.
K návrhu změnového zákona
ÚOOÚ doporučuje novely uspořádat podle významu.

1. zákon č. 365/2000 Sb., o informačních systémech veřejné správy, 2. zákon č. 29/2000 Sb., o poštovních službách, 3. § 98 zákona č. 127/2005 Sb., o elektronických komunikacích, 4. § 2 odst. 2 písm. d) zákona č. 159/2006 Sb., o střetu zájmů, a 5. § 7 písm. c) zákona č. 34/2021 Sb., o prověřování zahraničních investic.
Praha 25. července 2023
Kontakt: Vít Zvánovec 
tel.: 234 665 323 a 605 446 175
1/1

2/1