Kybernetický bezpečnostní incident a jeho ohlašování v rámci zabezpečení osobních údajů v kontextu internetu věcí

Příspěvek je věnován premise, že v moderní, stále propojenější společnosti dochází k rostoucímu obsahovému překryvu ohlašovacích povinností na základě právních rámců ochrany osobních údajů a kybernetické bezpečnosti. V obou případech jde o odraz chytré regulace, kdy stát využívá možností nabízených informačními a komunikačními technologiemi pro shromažďování aktuálních informací o situacích, které mohou vyžadovat reakci ze strany dozorových orgánů. V případě povinnosti ohlašovat porušení zabezpečení osobních údajů dle článku 33 obecného nařízení č. 2016/679, o ochraně osobních údajů, vůči Úřadu pro ochranu osobních údajů je směrodatný zásah do zpracovávaných osobních údajů. Povinnost hlášení kybernetického bezpečnostního incidentu dle § 8 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, vůči příslušnému bezpečnostnímu týmu CERT pak vzniká při zásahu do prvků informační infrastruktury povinných subjektů. Vzhledem k postupné digitalizaci přibývajícího množství činností a souvisejícím všudypřítomným zpracováváním osobních údajů dochází k rostoucímu prolínání těchto perspektiv. Autor tento vývoj vnímá jako příležitost pro úpravu de lege ferenda, kterou lze zvýšit přínos z takto sdělovaných informací pro dozorové orgány, chráněné fyzické osoby, i povinností vázané subjekty.