§ 22c
(1) Úřad a provozovatel národního CERT zpracovávají osobní údaje, jsou-li nezbytné pro výkon jejich působnosti. Tyto údaje Úřad a provozovatel národního CERT předávají orgánům veřejné moci nebo osobám, je-li to nezbytné pro plnění jejich úkolů.
(2) Úřad a provozovatel národního CERT při zpracování osobních údajů, na které se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679,
a) nemusí omezit zpracování osobních údajů v případě, že subjekt údajů popírá jejich přesnost nebo vznesl námitku proti tomuto zpracování, a
b) může v rámci výkonu své působnosti využít osobní údaje i pro jiné účely, než pro které byly shromážděny.
(3) Pokud Úřad nebo provozovatel národního CERT v rámci činnosti, na kterou se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679, při řešení kybernetického bezpečnostního incidentu nebo kybernetické bezpečnostní události anebo při prevenci kybernetických hrozeb nebo rizik obdrží osobní údaje, které zpracovává pouze za účelem plnění povinností podle tohoto zákona, po dobu plnění těchto povinností dále nemusí
a) poskytovat subjektu údajů informace o opravách nebo výmazech osobních údajů nebo omezení jejich zpracování,
b) zajistit přístup subjektu údajů k osobním údajům, nebo
c) opravit či doplnit osobní údaje na žádost subjektu údajů.