Kybernetický bezpečnostní incident a jeho ohlašování v rámci
zabezpečení osobních údajů v kontextu internetu věcí

KASL, František. Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí (Cyber Security Incident and its Reporting as Part of Personal Data Protection in the Context of the Internet of Things). Časopis pro právní vědu a praxi. Masarykova univerzita, 2020, vol. 28, No 3, p. 429-447. ISSN 1210-9126. Available from: https://dx.doi.org/10.5817/CPVP2020-3-7.

Other formats: BibTeX LaTeX RIS

TY  - JOUR
ID  - 1684826
AU  - Kasl, František
PY  - 2020
TI  - Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí
JF  - Časopis pro právní vědu a praxi
VL  - 28
IS  - 3
SP  - 429-447
EP  - 429-447
PB  - Masarykova univerzita
SN  - 12109126
KW  - Personal Data Protection
KW  - Cyber Security
KW  - Notification Obligation of Personal Data Breach
KW  - Notification Obligation of Cyber Security Incident
KW  - Internet of Things
UR  - https://journals.muni.cz/cpvp/article/view/13237
N2  - Příspěvek je věnován premise, že v moderní, stále propojenější společnosti dochází k rostoucímu obsahovému překryvu ohlašovacích povinností na základě právních rámců ochrany osobních údajů a kybernetické bezpečnosti. V obou případech jde o odraz chytré regulace, kdy stát využívá možností nabízených informačními a komunikačními technologiemi pro shromažďování aktuálních informací o situacích, které mohou vyžadovat reakci ze strany dozorových orgánů. V případě povinnosti ohlašovat porušení zabezpečení osobních údajů dle článku 33 obecného nařízení č. 2016/679, o ochraně osobních údajů, vůči Úřadu pro ochranu osobních údajů je směrodatný zásah do zpracovávaných osobních údajů. Povinnost hlášení kybernetického bezpečnostního incidentu dle § 8 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, vůči příslušnému bezpečnostnímu týmu CERT pak vzniká při zásahu do prvků informační infrastruktury povinných subjektů. Vzhledem k postupné digitalizaci přibývajícího množství činností a souvisejícím všudypřítomným zpracováváním osobních údajů dochází k rostoucímu prolínání těchto perspektiv. Autor tento vývoj vnímá jako příležitost pro úpravu de lege ferenda, kterou lze zvýšit přínos z takto sdělovaných informací pro dozorové orgány, chráněné fyzické osoby, i povinností vázané subjekty.
ER  -

Basic information
Original name	Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí
Name (in English)	Cyber Security Incident and its Reporting as Part of Personal Data Protection in the Context of the Internet of Things
Authors	KASL, František (203 Czech Republic, guarantor, belonging to the institution).
Edition	Časopis pro právní vědu a praxi, Masarykova univerzita, 2020, 1210-9126.

Other information
Original language	Czech
Type of outcome	Article in a journal
Field of Study	50501 Law
Country of publisher	Czech Republic
Confidentiality degree	is not subject to a state or trade secret
WWW	Open access časopisu
RIV identification code	RIV/00216224:14220/20:00116644
Organization unit	Faculty of Law
Doi	http://dx.doi.org/10.5817/CPVP2020-3-7
Keywords (in Czech)	Ochrana osobních údajů; kybernetická bezpečnost; ohlašování porušení zabezpečení osobních údajů; hlášení kybernetického bezpečnostního incidentu; internet věcí
Keywords in English	Personal Data Protection; Cyber Security; Notification Obligation of Personal Data Breach; Notification Obligation of Cyber Security Incident; Internet of Things
Tags	rivok
Tags	Reviewed
Changed by	Changed by: Mgr. Petra Georgala, učo 32967. Changed: 13/5/2021 10:57.

Abstract

Příspěvek je věnován premise, že v moderní, stále propojenější společnosti dochází k rostoucímu obsahovému překryvu ohlašovacích povinností na základě právních rámců ochrany osobních údajů a kybernetické bezpečnosti. V obou případech jde o odraz chytré regulace, kdy stát využívá možností nabízených informačními a komunikačními technologiemi pro shromažďování aktuálních informací o situacích, které mohou vyžadovat reakci ze strany dozorových orgánů. V případě povinnosti ohlašovat porušení zabezpečení osobních údajů dle článku 33 obecného nařízení č. 2016/679, o ochraně osobních údajů, vůči Úřadu pro ochranu osobních údajů je směrodatný zásah do zpracovávaných osobních údajů. Povinnost hlášení kybernetického bezpečnostního incidentu dle § 8 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, vůči příslušnému bezpečnostnímu týmu CERT pak vzniká při zásahu do prvků informační infrastruktury povinných subjektů. Vzhledem k postupné digitalizaci přibývajícího množství činností a souvisejícím všudypřítomným zpracováváním osobních údajů dochází k rostoucímu prolínání těchto perspektiv. Autor tento vývoj vnímá jako příležitost pro úpravu de lege ferenda, kterou lze zvýšit přínos z takto sdělovaných informací pro dozorové orgány, chráněné fyzické osoby, i povinností vázané subjekty.

Abstract (in English)

The contribution is focused on the premise that in the modern, increasingly interconnected society, there is a growing content overlap of notification obligations following from the legal frameworks of personal data protection and cyber security. In both cases, this is a reflection of smart regulation, where the state uses the possibilities offered by information and communication technologies to gather up-to-date information on situations that may require a response from supervisory authorities. In the case of the obligation to notify personal data breaches pursuant to Article 33 of General Regulation No. 2016/679, on the protection of personal data, towards the Office for Personal Data Protection, the interference with the processed personal data is decisive. The obligation to report a cyber security incident pursuant to Section 8 of Act No. 181/2014 Sb., On cyber security, to the relevant CERT, arises upon interference with the information infrastructure elements of the obliged entities. Due to the gradual digitization of an increasing number of activities and the associated ubiquitous processing of personal data, these perspectives are increasingly overlapping. The author perceives this development as an opportunity to modify the future legal framework in a way, which can increase the benefit from the information communicated to supervisory authorities for all concerned.

Links
MUNI/A/0989/2019, interní kód MU	Name: Právo a technologie VIII (Acronym: PAT VIII)
MUNI/A/0989/2019, interní kód MU	Investor: Masaryk University, Category A

PrintDisplayed: 26/7/2024 19:42

Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu ...

Other applications