Ochrana osobních údajů v energetice a bezpečnosti

Pro manažery a ředitele v dynamických odvětvích energetiky a bezpečnosti se ochrana osobních údajů a kybernetická bezpečnost staly klíčovými strategickými prioritami. Sbližování nařízení GDPR a nové směrnice NIS2 vytváří komplexní a náročnou regulační krajinu plnou rizik. Tento článek není jen dalším právním shrnutím; je to váš praktický průvodce, který vám poskytne jasné odpovědi, jak tato rizika nejen řídit a vyhnout se ochromujícím pokutám, ale také jak přeměnit robustní compliance ve vaši konkurenční výhodu.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "JUDr. Jakub Dohnal, Ph.D.,LL.M.", expert na dané téma.

Nové Hřiště, Nová Pravidla: Propojení GDPR a Směrnice NIS2

V digitální ekonomice již nelze vnímat ochranu osobních údajů (governed by GDPR) a kybernetickou bezpečnost (governed by NIS2) jako dvě oddělené disciplíny. Pro kritickou infrastrukturu, kam energetika a bezpečnostní služby bezpochyby patří, jsou to dvě strany téže mince. Jejich propojení vytváří novou úroveň odpovědnosti pro vedení společností.

Proč už nestačí řešit GDPR a kyberbezpečnost odděleně?

Obecné nařízení o ochraně osobních údajů (GDPR), účinné od května 2018, stanovilo pevný základ pro ochranu dat fyzických osob v celé EU. Jeho principy, jako je zákonnost, transparentnost a přístup založený na riziku, jsou dnes již standardem. Nicméně GDPR se primárně zaměřuje na ochranu dat, zatímco nová legislativa se soustředí na ochranu systémů, v nichž jsou tato data uložena.

Jeden jediný bezpečnostní incident – například hackerský útok na vaši síť – může spustit lavinu právních následků ze dvou směrů současně. Selhání zabezpečení systémů je porušením povinností v oblasti kybernetické bezpečnosti. Pokud však při tomto útoku dojde k úniku dat zákazníků nebo zaměstnanců, jedná se zároveň o porušení zabezpečení osobních údajů podle GDPR. 

Vaše společnost tak čelí dvojímu riziku: paralelnímu vyšetřování a sankcím od dvou různých regulátorů – Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Úřadu pro ochranu osobních údajů (ÚOOÚ). To dramaticky násobí finanční i reputační škody.

Směrnice NIS2: Co musíte vědět jako firma v energetice nebo bezpečnosti

Směrnice NIS2 představuje zásadní posun v regulaci kybernetické bezpečnosti. Zatímco její předchůdkyně NIS1 se soustředila hlavně na největší hráče v kritické infrastruktuře, NIS2 významně rozšiřuje svůj záběr. Nově se vztahuje na široké spektrum středních a velkých podniků v klíčových sektorech, včetně energetiky, a to jak výrobců a distributorů, tak i dodavatelů. V České republice jsou požadavky NIS2 implementovány prostřednictvím nového zákona o kybernetické bezpečnosti.

Mezi klíčové povinnosti, které NIS2 přináší, patří zavedení komplexních opatření pro řízení rizik, zajištění provozní odolnosti (včetně zálohování a plánů obnovy po havárii) a povinnost hlásit významné kybernetické incidenty NÚKIB. Ignorování těchto povinností může vést k citelným pokutám a dalším sankcím.

FAQ – Právní tipy k NIS2 a GDPR

1. Spadáme pod NIS2, i když jsme jen střední firma v energetickém sektoru?
   Ano, s největší pravděpodobností. Směrnice NIS2 se vztahuje na střední podniky (nad 50 zaměstnanců a obrat přes 10 milionů EUR) a velké podniky v definovaných sektorech, mezi které energetika patří. Pokud splňujete tato kritéria, musíte se aktivně přihlásit jako regulovaný subjekt. Naši právníci jsou připraveni vám pomoci s posouzením vašich povinností – napište na office@arws.cz.
2. Co je považováno za "významný incident" podle NIS2?
   Za významný incident se obecně považuje jakákoli událost, která způsobí nebo může způsobit závažné narušení provozu služby nebo významné finanční ztráty. Dále sem patří incidenty, které postihnou velký počet osob a způsobí jim značnou hmotnou či nehmotnou újmu. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
3. Musíme hlásit kybernetický útok ÚOOÚ i NÚKIB?
   Ano, pokud při útoku došlo k narušení bezpečnosti osobních údajů. NÚKIBu hlásíte selhání kybernetické bezpečnosti jako takové. ÚOOÚ hlásíte skutečnost, že v důsledku tohoto selhání došlo k porušení zabezpečení osobních údajů (např. úniku databáze klientů). Jde o dvě samostatné povinnosti. Potřebujete právní pomoc s hlášením incidentu? Kontaktujte nás na office@arws.cz.

Energetika pod Proudem Dat: Rizika a Povinnosti u Smart Meteringu

Zavádění inteligentních měřicích systémů (smart metering) je pro energetický sektor technologickou revolucí. Sběr detailních dat o spotřebě v reálném čase přináší obrovské výhody pro efektivitu sítě, ale zároveň otevírá Pandořinu skříňku v oblasti ochrany soukromí.

Smart metering: Více než jen data o spotřebě

Data ze smart meterů nejsou jen čísla pro fakturaci. Jejich granulární povaha umožňuje odhalit intimní detaily o životě v domácnosti: kdy lidé vstávají a chodí spát, kdy jsou na dovolené, jaké elektrické spotřebiče používají, a dokonce lze z nich odvodit i používání specifických zdravotnických přístrojů. Takové zpracování dat je z pohledu GDPR považováno za profilování a nese s sebou vysoké riziko pro práva a svobody jednotlivců.

Proč je Posouzení vlivu (DPIA) pro smart metering absolutní nutností?

Vzhledem k vysokému riziku je pro jakýkoli projekt zahrnující smart metering provedení Posouzení vlivu na ochranu osobních údajů (DPIA) podle článku 35 GDPR naprosto povinné. Rozsáhlé a systematické monitorování chování fyzických osob, kterým smart metering bezpochyby je, patří mezi operace, které DPIA vyžadují automaticky.

DPIA však není jen byrokratickou překážkou. Je to strategický nástroj, který vás nutí předem analyzovat a minimalizovat rizika. Dobře zpracované DPIA prokazuje vaši odpovědnost a při případné kontrole ze strany ÚOOÚ slouží jako klíčový důkaz, že jste postupovali s náležitou péčí. To může být rozhodujícím faktorem pro zmírnění případné pokuty.

Rizika a sankce spojené se Smart Meteringem

Rizika a sankce	Jak pomáhá ARROWS
Nezákonné profilování zákazníků na základě detailní analýzy spotřeby, vedoucí k vysokým pokutám od ÚOOÚ.	Zpracování kompletního DPIA, které posoudí zákonnost a minimalizuje rizika. Potřebujete posoudit Váš projekt? Napište na office@arws.cz.
Únik citlivých dat o životním stylu a zvyklostech domácností v důsledku kybernetického útoku.	Revize smluv s dodavateli technologií a nastavení technických a organizačních opatření. Zabezpečte svá data s námi – kontaktujte nás na office@arws.cz.
Zpracování dat bez platného právního titulu (např. sběr dat ve vyšší frekvenci, než je nutné pro fakturaci).	Vypracování právního stanoviska k určení správného právního základu a rozsahu zpracování. Pro právní jistotu nám napište na office@arws.cz.
Nedostatečná informovanost zákazníků o tom, jak jsou jejich data o spotřebě využívána, vedoucí ke stížnostem a poškození reputace.	Příprava transparentní dokumentace a informačních textů pro klienty v souladu s GDPR. Chcete srozumitelnou dokumentaci? Spojte se s námi na office@arws.cz.

Když se Kamery Dívají: Zvládnutí Provozování Kamerových Systémů podle Nových Pravidel

Provozování kamerových systémů je pro bezpečnostní agentury i pro ochranu objektů v energetice klíčové. Rok 2024 však přinesl zásadní změnu, která mnoho stávajících systémů postavila mimo zákon.

Revoluce v roce 2024: Proč je nová metodika ÚOOÚ zlomová?

V únoru 2024 vydal Úřad pro ochranu osobních údajů (ÚOOÚ) novou, komplexní metodiku k provozování kamerových systémů, která nahrazuje veškerá předchozí doporučení.Nejzásadnější změnou je, že pravidla GDPR se nyní plně vztahují i na kamery v online režimu, tedy bez pořizování záznamu. Doba, kdy se provozovatelé domnívali, že pouhým sledováním monitoru se vyhnou povinnostem, definitivně skončila.

Tato změna znamená, že tisíce kamerových systémů, které byly instalovány v minulosti a "nastaveny a zapomenuty", jsou nyní s největší pravděpodobností v rozporu se zákonem. Tyto starší systémy často postrádají adekvátní informační cedulky, mají neopodstatněně dlouhou dobu uchování záznamů a chybí jim klíčová dokumentace. Každý takový systém představuje skrytou časovanou bombu a urgentní nutnost provést audit a nápravu.

Praktický checklist pro vaše kamery: Umístění, cedulky a doba uchování

Nová metodika klade důraz na několik praktických oblastí, které budou předmětem kontrol:

• Minimalizace záběru: Kamera musí monitorovat pouze nezbytně nutný prostor pro daný účel (např. vstup do budovy). Nesmí nepřiměřeně zabírat veřejné prostranství, jako je celá ulice, ani soukromí sousedů, například okna protějšího domu.
• Informační povinnost: U každého vstupu do monitorovaného prostoru musí být viditelně umístěna informační cedule. Ta musí obsahovat nejen piktogram kamery, ale také identifikaci správce (vaší firmy), účel monitorování a odkaz na podrobnější informace (např. na webu nebo na recepci).
• Doba uchování záznamů: Záznamy by měly být uchovávány jen po nezbytně nutnou dobu. ÚOOÚ doporučuje jako standardní a dobře obhajitelnou lhůtu maximálně několik dní, typicky 72 hodin až jeden týden. Jakákoli delší doba musí být pádně a specificky odůvodněna.
• Dokumentace: Musíte být schopni kdykoli prokázat, že váš oprávněný zájem na monitorování převažuje nad právem na soukromí monitorovaných osob. K tomu slouží tzv. balanční test, který musí být vypracován ještě před spuštěním systému.

Nejčastější Chyby u Kamerových Systémů a Jak se Jim Vyhnout

Rizika a sankce	Jak pomáhá ARROWS
Nevhodné umístění kamer (snímání veřejné ulice, oken sousedů, odpočinkových zón zaměstnanců).	Právní konzultace a revize projektu kamerového systému pro zajištění souladu s principem minimalizace. Potřebujete revizi? Napište na office@arws.cz.
Příliš dlouhá doba uchování záznamů bez pádného odůvodnění (např. standardních 30 dní).	Příprava interní směrnice, která stanoví a odůvodní přiměřenou dobu uchování záznamů. Chcete mít jistotu? Kontaktujte nás na office@arws.cz.
Nedostatečná informační cedulka (jen piktogram bez dalších informací) u vstupu do monitorovaného prostoru.	Vyhotovení vzorových informačních textů a cedulí, které plně odpovídají požadavkům ÚOOÚ. Zajistěte si soulad s námi – napište na office@arws.cz.
Chybějící dokumentace prokazující oprávněnost systému (tzv. balanční test).	Zpracování kompletního balančního testu, který obhájí váš oprávněný zájem při případné kontrole. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Neošetřený vztah s bezpečnostní agenturou, která systém spravuje (chybějící zpracovatelská smlouva).	Příprava nebo revize smluv o zpracování osobních údajů dle čl. 28 GDPR. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Biometrie a Bezpečnost: Právní Minové Pole Přístupových Systémů

Využívání biometrických údajů, jako jsou otisky prstů nebo skeny obličeje, pro přístupové či docházkové systémy se může zdát jako moderní a bezpečné řešení. Z pohledu práva se však jedná o jednu z nejrizikovějších oblastí zpracování osobních údajů.

Otisk prstu není heslo: Proč jsou biometrické údaje tak rizikové?

GDPR řadí biometrické údaje do tzv. zvláštní kategorie osobních údajů, jejichž zpracování je obecně zakázáno. Důvod je prostý: pokud dojde k úniku hesel, můžete si je změnit. Pokud dojde k úniku databáze vašich otisků prstů, je tato kompromitace trvalá a nevratná. Riziko pro jednotlivce je proto extrémně vysoké.

Past na zaměstnavatele: Proč souhlas zaměstnance se zpracováním biometrie téměř nikdy neplatí

Mnoho zaměstnavatelů se mylně domnívá, že si mohou zpracování biometrie "posvětit" písemným souhlasem zaměstnanců. To je však nebezpečný omyl. V pracovněprávním vztahu existuje zjevná nerovnováha sil. Souhlas udělený zaměstnancem proto není považován za "svobodný", pokud zaměstnanec nemá skutečnou a rovnocennou alternativu.

Aby byl souhlas platný, musíte zaměstnanci nabídnout plnohodnotnou alternativu (např. přístupovou kartu nebo PIN), která pro něj nebude znamenat žádnou nevýhodu. Tato alternativa by měla být prezentována jako standardní řešení a biometrie jako čistě dobrovolná, doplňková možnost pro větší pohodlí. Jakékoli nucení nebo znevýhodňování zaměstnanců, kteří biometrii odmítnou, činí celý systém nezákonným.

Nevíte si s daným tématem rady?

FAQ – Právní tipy k biometrii

1. Můžeme zavést docházku na otisk prstu, když s tím všichni zaměstnanci písemně souhlasí?
   Pravděpodobně ne, pokud jim zároveň nenabídnete plně rovnocennou a snadno dostupnou alternativu (např. kartu) a nebudete je k použití biometrie nijak tlačit. Samotný podpis souhlasu nestačí, pokud není skutečně svobodný. Neváhejte se obrátit na naši kancelář pro posouzení vašeho záměru – office@arws.cz.
2. Co když potřebujeme biometrii z bezpečnostních důvodů, např. pro vstup do serverovny?
   V takovém případě může být zpracování odůvodněno nutností pro ochranu majetku. I tak je ale nutné provést DPIA a velmi pečlivě zdůvodnit, proč nelze stejné úrovně zabezpečení dosáhnout méně invazivními prostředky. Spojte se s námi na office@arws.cz. a získejte právní řešení na míru.
3. Jaký je rozdíl mezi uložením otisku prstu a jeho "hashe" (šablony)?
   I když neukládáte přímo obrázek otisku, ale pouze jeho matematickou šablonu (hash), GDPR stále považuje tento údaj za biometrický údaj spadající do zvláštní kategorie se všemi přísnými pravidly pro jeho zpracování. Pro právní konzultaci nás neváhejte kontaktovat na office@arws.cz.

Klíčové Nástroje Compliance: Od Pověřence po Přeshraniční Přenosy

Kromě specifických rizik spojených s technologiemi existují i obecné povinnosti, které jsou pro firmy v energetice a bezpečnosti obzvláště relevantní.

Potřebuje vaše firma Pověřence (DPO)? Pravděpodobně ano

Pověřenec pro ochranu osobních údajů (DPO) je nezávislý expert, který dohlíží na soulad s GDPR, poskytuje poradenství a je kontaktním bodem pro ÚOOÚ. Jeho jmenování je povinné mimo jiné pro organizace, jejichž hlavní činnost spočívá v rozsáhlém, pravidelném a systematickém monitorování osob.

Energetické společnosti provozující smart metering a bezpečnostní agentury s rozsáhlými kamerovými systémy jsou typickými příklady subjektů, které tuto podmínku splňují. Jmenování DPO pro ně tedy není volbou, ale zákonnou povinností.

Cloud v USA a přenos dat: Jak legálně využívat globální služby po rozsudku Schrems II

Mnoho firem dnes využívá cloudové služby od amerických poskytovatelů. Předávání osobních údajů mimo EU je však přísně regulováno. Po zrušení tzv. Privacy Shield rozsudkem Soudního dvora EU (známým jako Schrems II) již nestačí jen podepsat standardní smluvní doložky (SCC).

Každá firma, která předává data do USA, nyní musí provést vlastní Posouzení dopadů přenosu (Transfer Impact Assessment - TIA) a v případě potřeby přijmout dodatečná opatření k zajištění ochrany dat před přístupem amerických úřadů. Mezi taková opatření patří například silné šifrování, kde klíče drží pouze evropská firma, nebo pseudonymizace dat. Navigace v těchto složitých mezinárodních pravidlech je jednou z našich klíčových specializací, kterou efektivně řešíme díky deset let budované síti ARROWS International.

V konečném důsledku platí, že odpovědnost za compliance se netýká jen vašich interních procesů. Plně odpovídáte i za své dodavatele – ať už jde o poskytovatele cloudových služeb, dodavatele smart meterů nebo bezpečnostní agenturu spravující vaše kamery. Výběr partnera je tak dnes klíčovým právním a strategickým rozhodnutím.

Kontaktujte naše experty na ochranu osobních údajů:

ARROWS: Váš Strategický Partner pro Bezpečnost Dat a Růst Podnikání

Jak vidíte, orientace v propletenci pravidel GDPR a NIS2 vyžaduje více než jen právní znalosti. Vyžaduje hluboké porozumění vašemu byznysu, technologiím, které používáte, a rizikům, kterým čelíte. V ARROWS nepřinášíme jen paragrafy, ale strategická řešení, která chrání vaše podnikání a podporují jeho růst.

Naše zkušenosti, postavené na dlouhodobé péči o více než 150 akciových společností, 250 s.r.o. a 51 obcí a krajů, nám dávají unikátní vhled do vašich potřeb. Zakládáme si na rychlosti a vysoké kvalitě. Pro naše klienty zajišťujeme komplexní právní servis, který zahrnuje:

• Vyhotovení interních směrnic a přípravu veškeré dokumentace pro GDPR i NIS2.
• Zpracování Posouzení vlivu (DPIA) a balančních testů.
• Přípravu a revizi smluv s dodavateli a partnery, včetně smluv o zpracování osobních údajů.
• Zastupování u kontrolních úřadů, jako je ÚOOÚ a NÚKIB.
• Odborná školení pro zaměstnance a management, která minimalizují riziko lidské chyby.
• Právní poradenství při mezinárodních přenosech dat s podporou sítě ARROWS International.

Rozumíme, že právo a byznys jsou spojené nádoby. Proto aktivně propojujeme naše klienty, pokud vidíme zajímavé obchodní či investiční příležitosti, a rádi si poslechneme i vaše podnikatelské nápady.

Nečekejte na kontrolu nebo bezpečnostní incident. Pojďme společně nastavit vaši strategii ochrany dat tak, aby chránila nejen vaše data, ale i váš růst. Spojte se s námi na office@arws.cz a naplánujte si úvodní konzultaci.

FAQ – Nejčastější právní dotazy k ochraně osobních údajů v energetice a bezpečnosti

1. Nová metodika ÚOOÚ ke kamerám platí od února 2024. Máme nějakou přechodnou lhůtu na uvedení našich starých systémů do souladu?
   Ne, žádná oficiální přechodná lhůta neexistuje. Metodika pouze vykládá a zpřesňuje aplikaci již platného nařízení GDPR. Očekává se tedy okamžitý soulad. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.
2. Jsme dodavatel technologie pro energetické společnosti. Vztahují se na nás povinnosti z NIS2 a GDPR také?
   Ano, jednoznačně. Jako součást dodavatelského řetězce klíčových sektorů se na vás mohou vztahovat povinnosti z NIS2. Jako zpracovatel osobních údajů pro vaše klienty máte přímé povinnosti podle GDPR a nesete spoluodpovědnost. Pro revizi vašich smluv a povinností se obraťte na office@arws.cz.
3. Náš americký poskytovatel cloudových služeb nám poslal podepsané standardní smluvní doložky (SCC). Stačí to pro legální přenos dat?
   Bohužel nestačí. Po rozsudku "Schrems II" je vaší povinností jako vývozce dat provést posouzení rizik přenosu (TIA) a případně přijmout dodatečná technická a smluvní opatření. Samotné SCC jsou jen základem. Pomůžeme vám s tímto procesem, napište na office@arws.cz.
4. Jaký je největší finanční risk: pokuta od NÚKIB podle zákona o kyberbezpečnosti, nebo od ÚOOÚ podle GDPR?
   Ačkoliv jsou obě hrozby významné, pokuty podle GDPR mohou dosáhnout až 4 % z celosvětového ročního obratu skupiny, což často představuje řádově vyšší finanční riziko než sankce podle národní kybernetické legislativy. Pro komplexní posouzení rizik nás kontaktujte na office@arws.cz.
5. Musíme provádět DPIA pro každý nový projekt, nebo jen pro ty největší?
   Povinnost provést DPIA vzniká u jakéhokoli typu zpracování, které pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob. U vysoce rizikových činností, jako je smart metering nebo rozsáhlé kamerové monitorování, je provedení DPIA prakticky vždy povinné. Pokud si nejste jisti, rádi vám poradíme na office@arws.cz.
6. Nabízíte také školení pro naše zaměstnance a management ohledně těchto nových povinností?
   Ano, odborná školení na míru jsou klíčovou součástí našich služeb. Pomáhají budovat povědomí napříč firmou a minimalizovat riziko lidské chyby, která je nejčastější příčinou bezpečnostních incidentů. Pro nabídku školení nás kontaktujte na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.