GDPR
GDPR
Autor: Microsoft

7 kroků, jak přežít GDPR: Jak vést provozní záznamy? Neplýtvejte časem (6)

GDPR
GDPR
Autor: Microsoft

GDPR nenařizuje jen samotnou ochranu dat. Každá firma musí vést o zpracování osobních údajů provozní záznamy. Pokud vaše organizace zaměstnává více než 250 lidí, nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Vedení firem či organizací, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí sama zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Provozní záznamy musí rovněž obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale snadno také dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány. V takovém případě se tedy jedná o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy především v zájmu firmy, aby měla dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů porušení zabezpečení dozorovému orgánu. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Oznámení porušení zabezpečení je každopádně nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dověděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu, v našem případě tedy Úřadu pro ochranu osobních údajů. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Se šifrovanými daty je to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy v případě, že byly zašifrované. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak výhodně logovat

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů. Cloudová služba Office 365 má například bohatou výbavu provozních logů. Díky nim lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Zaznamenat lze i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky GDPR na práci se zvláštními kategoriemi údajů, tedy například se zdravotnickou dokumentací.

Správce si též může záznamy o zpracování průběžně stahovat z cloudových služeb a ukládat si je buď ve svém datovém centru, nebo může tyto objemné soubory bezpečně skladovat v Microsoft Azure. Tam je může také dále zpracovávat různými analytickými nástroji, opět dostupnými z cloudu na bázi pronájmu.

Nástroje, které vám uvolní ruce

Provozní záznamy o „zalogování“ a přístupech uživatelů se v cloudu provádí pomocí Azure AD Audit Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také třeba IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace udržují pro vlastní kontrolu zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín účinnosti GDPR nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(7) Jsou opatření účinná? Napoví audit

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko



Čtěte také

 Automobilka TPCA(Toyota Peugeot Citroën Automobile) Kolín.

Výroba osobních aut v pololetí klesla o 1,5 procenta na 747 tisíc vozů

Výroba osobních aut v Česku v prvním pololetí letošního roku meziročně klesla o 1,5…

před 2 hodinami

 Sídlo Deutsche Bank

Dopady restrukturalizace: Deutsche Bank je ve ztrátě 3,15 miliardy eur

Největší německá banka Deutsche Bank spadla ve druhém čtvrtletí do ztráty 3,15 miliardy…

před 3 hodinami

Daniel Křetínský

Metro doporučuje akcionářům odmítnout Křetínského nabídku na převzetí. Je prý podhodnocená

Německá maloobchodní skupina Metro doporučila akcionářům, aby nepřijímali nabídku na…

před 3 hodinami

Ilustrační foto

Čína chce dál připojit Tchaj-wan. Je připravena použít vojenskou sílu, píše se v Bílé knize o národní obraně

Čína se ve snaze spojit Tchaj-wan s pevninou "nevzdá použití síly" a podnikne veškerá…

před 3 hodinami

 Facebook, ilustrační foto

Vláda USA vyšetřuje technologické giganty. Podezírá je z porušení antimonopolních pravidel

Americké ministerstvo spravedlnosti vyšetřuje velké technologické firmy, které podezírá z…

před 3 hodinami

 Flotila elektrovozů, ilustrační foto

Přeskočí jiskra? O budoucnosti elektromobilů v Česku rozhodnou firemní zákazníci

Na zlepšení a především zrychlení nástupu elektromobilů na tuzemských silnicích budou mít…

před 5 hodinami

Sdílení

Líbí se Vám tento článek?
Sdílejte ho

Finance
Léky z webu – ano, či ne?
Co obsahuje účetní závěrka a jak se liší požadovaný rozsah u jednotlivých firem?
Kolik ze sociální dávky můžete dostat v poukázkách?
Kupujeme letenky levně
Kolik za svoz odpadu zaplatíte ve vašem městě?
Auta
Brusel jako ukázka moderní mobility: Celoplošný limit 30 km…
Audi SQ7 po faceliftu: Změnilo se všechno možné, dieselový osmiválec ale (naštěstí) zůstal
Baterie elektroaut jsou jako v mobilech: Nabíjení na 100 % i rychlonabíjení jim škodí
Kia nabízí nový Ceed v akci se zvýhodněním až 35 000 Kč
Video: Škoda Scala v losím testu obstála. Porazila novou Mazdu3 i Kiu Ceed
Hry pro příležitostné hráče