7 kroků, jak přežít GDPR: Jak vést provozní záznamy? Neplýtvejte časem (6)

GDPR nenařizuje jen samotnou ochranu dat. Každá firma musí vést o zpracování osobních údajů provozní záznamy. Pokud vaše organizace zaměstnává více než 250 lidí, nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Vedení firem či organizací, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí sama zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Provozní záznamy musí rovněž obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale snadno také dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány. V takovém případě se tedy jedná o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy především v zájmu firmy, aby měla dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů porušení zabezpečení dozorovému orgánu. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Oznámení porušení zabezpečení je každopádně nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dověděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu, v našem případě tedy Úřadu pro ochranu osobních údajů. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Se šifrovanými daty je to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy v případě, že byly zašifrované. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak výhodně logovat

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů. Cloudová služba Office 365 má například bohatou výbavu provozních logů. Díky nim lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Zaznamenat lze i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky GDPR na práci se zvláštními kategoriemi údajů, tedy například se zdravotnickou dokumentací.

Správce si též může záznamy o zpracování průběžně stahovat z cloudových služeb a ukládat si je buď ve svém datovém centru, nebo může tyto objemné soubory bezpečně skladovat v Microsoft Azure. Tam je může také dále zpracovávat různými analytickými nástroji, opět dostupnými z cloudu na bázi pronájmu.

Nástroje, které vám uvolní ruce

Provozní záznamy o „zalogování“ a přístupech uživatelů se v cloudu provádí pomocí Azure AD Audit Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také třeba IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace udržují pro vlastní kontrolu zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín účinnosti GDPR nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(7) Jsou opatření účinná? Napoví audit

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko


Mohlo by vás zajímat

Finance
Daňová poradna: nejčastější dotazy
Předdůchod a daně: kdo, co, jak a kolik?
Sever proti Jihu I: ekonomické srovnání Korejí
Kdy musí studenti odevzdat daňové přiznání?
10 příkladů, kdy můžete, nebo nemůžete uplatnit slevu na manželku
Auta
Basový koncert: Svezli jsme se legendární lokomotivou t 478…
Nové generace Porsche 911 budou mít volant a udrží si základní filozofii modelu
Škoda Kodiaq vs. Hyundai Santa Fe: Zatopí korejská novinka českému bestselleru? Asi ne
Diesel se do Porsche Cayenne přeci jen vrátí. Zatím se ale neví, kdy
Život po životě: 70 let repasí a výroby výměnných náhradních dílů (nejen) na škodovky
Technologie
Opera 52 beta: hromadné akce s otevřenými weby a efektivnější blokování reklam
MSI GeForce GTX 1070 Ti Gaming – zlatý střed mezi GTX 1070 a GTX 1080 (uživatelská recenze)
Čínská konkurence na trhu pamětí je tu. Firma Xi’an UniIC začala prodávat moduly DDR4
Desky formátu Mini-STX by se mohly vyrábět i pro procesory AMD, zvažuje to ASRock
Který notebook vybrat? Poradíme s levnými, mainstreamovými i herními modely
Hry pro příležitostné hráče