If into security recordings you go, only pain will you find. (Mr Yoda, Hvězdné války)
Mnozí správci implementovali GDPR, vzorně připravili záznamy o zpracování osobních údajů, informovali subjekty údajů o zpracování jejich osobních údajů a proškolili zaměstnance i spolupracující osoby. A pořád to nestačí.
GDPR, kromě jiných povinností ukládá správcům a zpracovatelům vyhodnocovat možná rizika při zpracování osobních údajů. Následně, dle významu těchto rizik, musí správci a zpracovatelé přijmout vhodná technická a organizační opatření („TOM“).
Co ale znamenají TOM v praxi?
Český Úřad pro ochranu osobních údajů („ÚOOÚ“) zatím nedal žádná vodítka, byť na poli vymáhání pravidel byla jedna z historicky nejvyšších pokut ze strany ÚOOÚ uložena právě za nedostatečné zabezpečení databáze zákazníků.[1] Není pochyb, že mezi TOMs patří náležitá opatření před odcizením databáze. Tím ale výčet zdaleka není úplný. Od ÚOOÚ v praxi zatím postrádáme stanovisko, které by popisovalo konkrétní požadavky na TOM. V zahraničí je situace často přehlednější a úřady čerpají především z praxe bezpečnostních auditů dle ISO 2700X a doporučují zejména tato opatření:
- fyzické zabezpečení IT techniky (zabezpečený vstup do serverovny, šifrovaný disk u notebooku, tabletu nebo mobilního telefonu, bezpečnostní tisk na tiskárně a další);
- omezený přístup do databází, záznamů kamer (individuální přístupová hesla splňující přesné parametry, logy o činnosti jednotlivých oprávněných osob);
- monitoring neoprávněných přístupů (skenování logů jednotlivých operací a vyhodnocování nestandartního chování, bezúspěšných přihlášení do počítače nebo serverů, vhodné jsou i penetrační testy);
- kontrola aplikací (seznam aplikací a informace zdali obsahují osobní údaje či nikoliv);
- zálohy dat, včetně osobních údajů, na jiném místě než jsou servery;
- včasné instalace aktualizací antivirů, škodlivého softwaru a různých záplat pro jednotlivé aplikace či systémy;
- monitoring bezpečnostních incidentů, vyhodnocování a okamžité přijetí nápravných opatření (spočívajících například ve vzdáleném smazání telefonu).
Takže jak dál?
Zamyslete se preventivně spolu se svými IT pracovníky nad možnými riziky a nad způsoby jak je eliminovat. A pak vše zdokumentujte, ať můžete racionalitu a komplexnost svých úvah v případě, že se něco s daty následně přece jen stane prokázat. Nestačí tedy se pouze bezpečně chovat – a moudře verbálně radit jediským učedníkům, jak nakládat s daty a jak je zabezpečovat –, ale technická a organizační opatření je třeba též zdokumentovat, včetně důvodů proč právě tato opatření byla v daném kontextu přijata. Co se nyní může zdát jako zbytečné administrativní cvičení, může hrát významnou roli při ochraně společnosti v rámci řízení o sankci za porušení bezpečnosti osobních údajů. A že ty GDPR sankce, zatím hlavně na západ od Aše, začínají padat ve velkém – o tom jinde na tomto blogu.
Zdroje článku
- https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=31959&n=urad%2Dudelil%2Dspolecnosti%2Dinternet%2Dmall%2Da%2Ds%2Dpokutu%2D1%2D5%2Dmilionu%2Dkorun https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=31959&n=urad%2Dudelil%2Dspolecnosti%2Dinternet%2Dmall%2Da%2Ds%2Dpokutu%2D1%2D5%2Dmilionu%2Dkorun
