Výběr zpráv Protextu ČTK

Protext ČTK

Pomozte ochránit uživatele internetu a zachovat svobodný internet

12. září se bude v Evropském parlamentu hlasovat o evropské směrnici o autorském právu.…

Konference o coworkingu TechoCon 2018

Kanceláře se čím dál rychleji mění, práce v nich stejně tak. Jak funguje moderní…

Konec výmluvám a začátek mluvení anglicky se blíží!

Lidský druh je mistrem ve vymlouvání se. Vymlouváme se na počasí, na únavu, na děti, na…

7 kroků, jak přežít GDPR: Jak vést provozní záznamy? Neplýtvejte časem (6)

GDPR nenařizuje jen samotnou ochranu dat. Každá firma musí vést o zpracování osobních údajů provozní záznamy. Pokud vaše organizace zaměstnává více než 250 lidí, nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Vedení firem či organizací, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí sama zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Provozní záznamy musí rovněž obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale snadno také dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány. V takovém případě se tedy jedná o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy především v zájmu firmy, aby měla dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů porušení zabezpečení dozorovému orgánu. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Oznámení porušení zabezpečení je každopádně nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dověděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu, v našem případě tedy Úřadu pro ochranu osobních údajů. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Se šifrovanými daty je to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy v případě, že byly zašifrované. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak výhodně logovat

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů. Cloudová služba Office 365 má například bohatou výbavu provozních logů. Díky nim lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Zaznamenat lze i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky GDPR na práci se zvláštními kategoriemi údajů, tedy například se zdravotnickou dokumentací.

Správce si též může záznamy o zpracování průběžně stahovat z cloudových služeb a ukládat si je buď ve svém datovém centru, nebo může tyto objemné soubory bezpečně skladovat v Microsoft Azure. Tam je může také dále zpracovávat různými analytickými nástroji, opět dostupnými z cloudu na bázi pronájmu.

Nástroje, které vám uvolní ruce

Provozní záznamy o „zalogování“ a přístupech uživatelů se v cloudu provádí pomocí Azure AD Audit Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také třeba IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace udržují pro vlastní kontrolu zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín účinnosti GDPR nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(7) Jsou opatření účinná? Napoví audit

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko



Sdílení

Líbí se Vám tento článek?
Sdílejte ho

Čtěte také

Mohlo by vás zajímat

Finance
Platíte víc za vlak kvůli slevě pro studenty a důchodce?
Za černý odběr elektřiny jsou vysoké pokuty. Jak se mu vyhnout?
Kdy vzroste rodičovská o 40 tisíc? A koho se zvýšení bude týkat?
Kdy se v ČR zakáží zvířata v cirkusech?
Práva poškozených při dopravní nehodě: kdy se nevyplatí policii nevolat?
Auta
Euro NCAP: Volkswagen Touareg a Audi A6 za pět, Tourneo za…
Kvíz: Víte, kolik dostanete bodů za tyto přestupky?
Za volantem Alpine A110: Svezli jsme se autem, které v ČR jen tak nepotkáte
Bude elektrické retro novou módou? Nejen Peugeot 504 budoucnosti se očividně líbí
Elektrický VW I.D. Buzz Cargo zastane roli řidiče i skladníka. Na trh přijde za tři roky
Technologie
Renault, Nissan a Mitsubishi nahradí svůj infotainment Androidem
Nový ARM procesor pro servery jde na trh: 32jádra Ampere eMAG budou v serverech Lenovo
Nové aktualizace od Microsoftu. Ve Windows 10 v1803 bylo opraveno 54 chyb
Je Windows 10 build 17763 finální vydání? Teď sestoupil do Slow ringu
Skype 8 nabídne pokročilejší správu stavových zpráv a jasnější indikaci aktivity
Hry pro příležitostné hráče