§ 88 Zákon o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) – Zabezpečení ochrany osobních, provozních a lokalizačních údajů a důvěrnosti komunikací

§ 88 Zabezpečení ochrany osobních, provozních a lokalizačních údajů a důvěrnosti komunikací (1) Podnikatel poskytující veřejně dostupnou službu elektronických komunikací je povinen a) zajistit popřípadě, pokud sám nezajišťuje veřejnou komunikační síť, na základě písemné dohody v součinnosti s příslušným podnikatelem zajišťujícím veřejnou komunikační síť, technicky a organizačně bezpečnost poskytované služby s ohledem na ochranu osobních údajů fyzických osob v souladu se zvláštním právním předpisem, ochranu provozních a lokalizačních údajů a důvěrnost komunikací fyzických a právnických osob při poskytování této služby, b) zpracovat pro zajištění ochrany údajů a důvěrnosti komunikací podle písmene a) vnitřní technicko-organizační předpis; ochranu údajů a důvěrnost komunikací zajistí s ohledem na stávající technické možnosti a na náklady potřebné k zajištění ochrany na úrovni odpovídající existujícímu riziku porušení ochrany, c) informovat dotčené účastníky o specifickém riziku porušení bezpečnosti sítě ve vztahu k ochraně údajů podle písmene a), a pokud toto riziko přesahuje rozsah jím přijímaných opatření, je povinen účastníky informovat i o veškerých možnostech docílení nápravy, včetně souvisejících nákladů, d) vytvořit vnitřní postupy pro vyřizování žádostí o přístup k osobním údajům uživatelů; na žádost Úřadu pro ochranu osobních údajů mu podnikatelé poskytující veřejně dostupnou službu elektronických komunikací poskytnou informace o těchto postupech, počtu přijatých žádostí, o právním odůvodnění těchto žádostí a o jejich zodpovězení. (2) Podnikatel poskytující veřejně dostupnou službu elektronických komunikací je povinen předložit Úřadu na jeho vyžádání předpis uvedený v odstavci 1 písm. b). Zjistí-li Úřad, že je předpis uvedený v odstavci 1 písm. b) v rozporu s tímto zákonem, sdělí tuto skutečnost bezodkladně dotčenému podnikateli a stanoví mu přiměřenou lhůtu k odstranění nedostatků. (3) Úřad je, po předchozím vyžádání předpisu uvedeného v odstavci 1 písm. b), oprávněn u podnikatelů poskytujících veřejně dostupnou službu elektronických komunikací kontrolovat dodržování tohoto předpisu, s výjimkou kontroly plnění povinností týkajících se ochrany osobních údajů. (4) V případě porušení zabezpečení osobních údajů se postupuje podle obecného nařízení o ochraně osobních údajů. (5) Úřad pro ochranu osobních údajů je oprávněn po prošetření vzniklého stavu porušení zabezpečení osobních údajů uložit podnikateli poskytujícímu veřejně dostupnou službu elektronických komunikací povinnost, aby dotčenou fyzickou osobu o tomto porušení informoval, pokud již tak neučinil sám. (6) Podnikatel poskytující veřejně dostupnou službu elektronických komunikací vede pouze pro účely přezkumu plnění povinností podle odstavců 4 a 5 přehled porušení zabezpečení osobních údajů, včetně informací o okolnostech porušení, jeho dopadech a opatření přijatých k nápravě stavu. Prováděcí právní předpis může stanovit podrobnější podmínky, za nichž je podnikatel poskytující veřejně dostupnou službu elektronických komunikací povinen oznámit porušení zabezpečení osobních údajů, formát tohoto oznámení a způsob, jakým se má oznámení učinit.