GDPR
GDPR
Autor: Microsoft

7 kroků, jak přežít GDPR: Jak vést provozní záznamy? Neplýtvejte časem (6)

GDPR
GDPR
Autor: Microsoft

GDPR nenařizuje jen samotnou ochranu dat. Každá firma musí vést o zpracování osobních údajů provozní záznamy. Pokud vaše organizace zaměstnává více než 250 lidí, nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Vedení firem či organizací, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí sama zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Provozní záznamy musí rovněž obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale snadno také dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány. V takovém případě se tedy jedná o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy především v zájmu firmy, aby měla dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů porušení zabezpečení dozorovému orgánu. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Oznámení porušení zabezpečení je každopádně nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dověděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu, v našem případě tedy Úřadu pro ochranu osobních údajů. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Se šifrovanými daty je to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy v případě, že byly zašifrované. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak výhodně logovat

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů. Cloudová služba Office 365 má například bohatou výbavu provozních logů. Díky nim lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Zaznamenat lze i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky GDPR na práci se zvláštními kategoriemi údajů, tedy například se zdravotnickou dokumentací.

Správce si též může záznamy o zpracování průběžně stahovat z cloudových služeb a ukládat si je buď ve svém datovém centru, nebo může tyto objemné soubory bezpečně skladovat v Microsoft Azure. Tam je může také dále zpracovávat různými analytickými nástroji, opět dostupnými z cloudu na bázi pronájmu.

Nástroje, které vám uvolní ruce

Provozní záznamy o „zalogování“ a přístupech uživatelů se v cloudu provádí pomocí Azure AD Audit Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také třeba IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace udržují pro vlastní kontrolu zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín účinnosti GDPR nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(7) Jsou opatření účinná? Napoví audit

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko



Čtěte také

textilka Veba

Dotováním k růstu i úpadku: jak se daří českým příjemcům evropských peněz

Dotace na rozvoj podnikání nepřinášejí českým firmám záruku úspěchu. Více než polovina…

před 1 hodinou

 Startup, ilustrační foto

Objem start-upových investic v Evropě je na rekordu. V žebříčku měst vede Londýn

Objem start-upových investic v Evropě je na rekordu. V první polovině letošního roku se…

před 2 hodinami

Boeing 747 přistávající na Letišti Václava Havla Praha

Letiště Praha chystá rozšíření. Do roku 2035 zvýší kapacitu až na 23 milionů odbavených cestujících

Letiště Praha by mělo do roku 2035 zvýšit kapacitu až na 23 milionů odbavených…

před 3 hodinami

 Dvě mámy v běhu, Magda a Monika, se společně dostaly na světový pohár ve skyrunningu

Skyrunning: dvě mámy v běhu

Jak se dvě mámy celkem pěti dětí „omylem“ ocitly na světovém poháru ve skyrunningu? Komu…

před 4 hodinami

Události  Ředitel Bezpečnostní informační služby Michal Koudelka

V Česku působila síť ruských zpravodajců, BIS a policisté ji rozbili

Bezpečnostní informační služba (BIS) a Národní centrála proti organizovanému zločinu …

před 4 hodinami

Ondřej Stratilík

Babišův Červený Hrádek

Andrej Babiš se rád chlubí, jak se světovými a evropskými lídry jedná o bezpečnosti. Není…

před 4 hodinami

Sdílení

Líbí se Vám tento článek?
Sdílejte ho

Finance
Za týden nás čeká svátek
Senioři a moderní technologie - nepřátelé či kamarádi?
eNeschopenka 2020: co se změní?
Školní prázdniny v roce 2019/2020: kdy se mohou děti těšit na volno?
Čeho se nejvíce bojí začínající řidiči?
Auta
Český úspěch při International DAF Driver Challenge 2019
Test zimních pneumatik 215/55 R17: Celkový vítěz propadl při brzdění na suchu
V Přelouči postavili pancéřovaný Superb. Odolá i výbušninám
Vypínání válců u benzinových motorů: elegantní způsob snížení spotřeby
Škoda Octavia nové generace se (ne)ukazuje na prvních neoficiálních fotkách
Hry pro příležitostné hráče