Bezpečí dat v nebezpečí GDPR sankcí

If into security recordings you go, only pain will you find. (Mr Yoda, Hvězdné války)

Mnozí správci implementovali GDPR, vzorně připravili záznamy o zpracování osobních údajů, informovali subjekty údajů o zpracování jejich osobních údajů a proškolili zaměstnance i spolupracující osoby. A pořád to nestačí.

GDPR, kromě jiných povinností ukládá správcům a zpracovatelům vyhodnocovat možná rizika při zpracování osobních údajů. Následně, dle významu těchto rizik, musí správci a zpracovatelé přijmout vhodná technická a organizační opatření („TOM“).

Co ale znamenají TOM v praxi?

Český Úřad pro ochranu osobních údajů („ÚOOÚ“) zatím nedal žádná vodítka, byť na poli vymáhání pravidel byla jedna z historicky nejvyšších pokut ze strany ÚOOÚ uložena právě za nedostatečné zabezpečení databáze zákazníků.^[1] Není pochyb, že mezi TOMs patří náležitá opatření před odcizením databáze. Tím ale výčet zdaleka není úplný. Od ÚOOÚ v praxi zatím postrádáme stanovisko, které by popisovalo konkrétní požadavky na TOM. V zahraničí je situace často přehlednější a úřady čerpají především z praxe bezpečnostních auditů dle ISO 2700X a doporučují zejména tato opatření:

1. fyzické zabezpečení IT techniky (zabezpečený vstup do serverovny, šifrovaný disk u notebooku, tabletu nebo mobilního telefonu, bezpečnostní tisk na tiskárně a další);
2. omezený přístup do databází, záznamů kamer (individuální přístupová hesla splňující přesné parametry, logy o činnosti jednotlivých oprávněných osob);
3. monitoring neoprávněných přístupů (skenování logů jednotlivých operací a vyhodnocování nestandartního chování, bezúspěšných přihlášení do počítače nebo serverů, vhodné jsou i penetrační testy);
4. kontrola aplikací (seznam aplikací a informace zdali obsahují osobní údaje či nikoliv);
5. zálohy dat, včetně osobních údajů, na jiném místě než jsou servery;
6. včasné instalace aktualizací antivirů, škodlivého softwaru a různých záplat pro jednotlivé aplikace či systémy;
7. monitoring bezpečnostních incidentů, vyhodnocování a okamžité přijetí nápravných opatření (spočívajících například ve vzdáleném smazání telefonu).

Takže jak dál?

Zamyslete se preventivně spolu se svými IT pracovníky nad možnými riziky a nad způsoby jak je eliminovat. A pak vše zdokumentujte, ať můžete racionalitu a komplexnost svých úvah v případě, že se něco s daty následně přece jen stane prokázat. Nestačí tedy se pouze bezpečně chovat – a moudře verbálně radit jediským učedníkům, jak nakládat s daty a jak je zabezpečovat –, ale technická a organizační opatření je třeba též zdokumentovat, včetně důvodů proč právě tato opatření byla v daném kontextu přijata. Co se nyní může zdát jako zbytečné administrativní cvičení, může hrát významnou roli při ochraně společnosti v rámci řízení o sankci za porušení bezpečnosti osobních údajů. A že ty GDPR sankce, zatím hlavně na západ od Aše, začínají padat ve velkém – o tom jinde na tomto blogu.