§ 22c Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – Zpracování osobních údajů
Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) · 181/2014 Sb. · § 22c · IT právo a ochrana dat
Stručně: Paragraf 22c zákona o kybernetické bezpečnosti upravuje, za jakých podmínek Úřad pro kybernetickou bezpečnost (Úřad) a provozovatel národního CERT mohou zpracovávat osobní údaje a jaké výjimky z obecných pravidel ochrany osobních údajů pro ně platí při výkonu jejich působnosti.
§ 22c Zpracování osobních údajů
(1) Úřad a provozovatel národního CERT zpracovávají osobní údaje, jsou-li nezbytné pro výkon jejich působnosti. Tyto údaje Úřad a provozovatel národního CERT předávají orgánům veřejné moci nebo osobám, je-li to nezbytné pro plnění jejich úkolů.
(2) Úřad a provozovatel národního CERT při zpracování osobních údajů, na které se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679,
a) nemusí omezit zpracování osobních údajů v případě, že subjekt údajů popírá jejich přesnost nebo vznesl námitku proti tomuto zpracování, a
b) může v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.
(3) Pokud Úřad nebo provozovatel národního CERT v rámci činnosti, na kterou se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679, při řešení kybernetického bezpečnostního incidentu nebo kybernetické bezpečnostní události anebo při prevenci kybernetických hrozeb nebo rizik obdrží osobní údaje, které zpracovává pouze za účelem plnění povinností podle tohoto zákona, po dobu plnění těchto povinností dále nemusí
a) poskytovat subjektu údajů informace o opravách nebo výmazech osobních údajů nebo omezení jejich zpracování,
b) zajistit přístup subjektu údajů k osobním údajům, nebo
c) opravit či doplnit osobní údaje na žádost subjektu údajů.
HLAVA V
Paragraf 22c zákona o kybernetické bezpečnosti upravuje, za jakých podmínek Úřad pro kybernetickou bezpečnost (Úřad) a provozovatel národního CERT mohou zpracovávat osobní údaje a jaké výjimky z obecných pravidel ochrany osobních údajů pro ně platí při výkonu jejich působnosti.
Co to znamená v praxi
Úřad a provozovatel národního CERT mohou zpracovávat osobní údaje pouze tehdy, jsou-li nezbytné pro plnění jejich úkolů, a mohou je předávat dalším orgánům nebo osobám, pokud je to nutné pro plnění jejich úkolů.
Při zpracování osobních údajů, na které se vztahuje GDPR, nemusí Úřad a provozovatel národního CERT omezit zpracování, i když subjekt údajů popírá jejich přesnost nebo vznesl námitku.
Úřad a provozovatel národního CERT mohou v rámci své působnosti využít osobní údaje i pro jiné účely, než pro které byly původně shromážděny.
Při řešení kybernetických incidentů nebo prevenci hrozeb nemusí Úřad a provozovatel národního CERT poskytovat subjektu údajů informace o opravách/výmazech, zajistit přístup k údajům nebo je opravovat/doplňovat na žádost subjektu, pokud údaje zpracovávají pouze pro plnění povinností podle tohoto zákona.
Na co si dát pozor
Ustanovení paragrafu představují výjimky z obecných pravidel ochrany osobních údajů (GDPR) pro Úřad a provozovatele národního CERT v souvislosti s jejich specifickými úkoly v oblasti kybernetické bezpečnosti.
Tyto výjimky se uplatní pouze v případě, že zpracování osobních údajů je nezbytné pro výkon jejich působnosti nebo pro plnění povinností podle tohoto zákona.
Výjimky se týkají konkrétních práv subjektů údajů, jako je právo na omezení zpracování, právo na přístup k údajům nebo právo na opravu.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.