Dekorativní pozadí stránky

Bezpečí dat v nebezpečí GDPR sankcí

Bezpečí dat v nebezpečí GDPR sankcí

If into security recordings you go, only pain will you find. (Mr Yoda, Hvězdné války)

Mnozí správci implementovali GDPR, vzorně připravili záznamy o zpracování osobních údajů, informovali subjekty údajů o zpracování jejich osobních údajů a proškolili zaměstnance i spolupracující osoby. A pořád to nestačí.

GDPR, kromě jiných povinností ukládá správcům a zpracovatelům vyhodnocovat možná rizika při zpracování osobních údajů. Následně, dle významu těchto rizik, musí správci a zpracovatelé přijmout vhodná technická a organizační opatření („TOM“).

Co ale znamenají TOM v praxi?

Český Úřad pro ochranu osobních údajů („ÚOOÚ“) zatím nedal žádná vodítka, byť na poli vymáhání pravidel byla jedna z historicky nejvyšších pokut ze strany ÚOOÚ uložena právě za nedostatečné zabezpečení databáze zákazníků.[1] Není pochyb, že mezi TOMs patří náležitá opatření před odcizením databáze. Tím ale výčet zdaleka není úplný. Od ÚOOÚ v praxi zatím postrádáme stanovisko, které by popisovalo konkrétní požadavky na TOM. V zahraničí je situace často přehlednější a úřady čerpají především z praxe bezpečnostních auditů dle ISO 2700X a doporučují zejména tato opatření:

  1. fyzické zabezpečení IT techniky (zabezpečený vstup do serverovny, šifrovaný disk u notebooku, tabletu nebo mobilního telefonu, bezpečnostní tisk na tiskárně a další);
  2. omezený přístup do databází, záznamů kamer (individuální přístupová hesla splňující přesné parametry, logy o činnosti jednotlivých oprávněných osob);
  3. monitoring neoprávněných přístupů (skenování logů jednotlivých operací a vyhodnocování nestandartního chování, bezúspěšných přihlášení do počítače nebo serverů, vhodné jsou i penetrační testy);
  4. kontrola aplikací (seznam aplikací a informace zdali obsahují osobní údaje či nikoliv);
  5. zálohy dat, včetně osobních údajů, na jiném místě než jsou servery;
  6. včasné instalace aktualizací antivirů, škodlivého softwaru a různých záplat pro jednotlivé aplikace či systémy;
  7. monitoring bezpečnostních incidentů, vyhodnocování a okamžité přijetí nápravných opatření (spočívajících například ve vzdáleném smazání telefonu).

Takže jak dál?

Zamyslete se preventivně spolu se svými IT pracovníky nad možnými riziky a nad způsoby jak je eliminovat. A pak vše zdokumentujte, ať můžete racionalitu a komplexnost svých úvah v případě, že se něco s daty následně přece jen stane prokázat. Nestačí tedy se pouze bezpečně chovat – a moudře verbálně radit jediským učedníkům, jak nakládat s daty a jak je zabezpečovat –, ale technická a organizační opatření je třeba též zdokumentovat, včetně důvodů proč právě tato opatření byla v daném kontextu přijata. Co se nyní může zdát jako zbytečné administrativní cvičení, může hrát významnou roli při ochraně společnosti v rámci řízení o sankci za porušení bezpečnosti osobních údajů. A že ty GDPR sankce, zatím hlavně na západ od Aše, začínají padat ve velkém – o tom jinde na tomto blogu. 

Zdroje článku

Související články
Co přinese kontrolní plán ÚOOÚ pro rok 2025?
Jaroslav Šuchman, Daša Aradská

Co přinese kontrolní plán ÚOOÚ pro rok 2025?

Úřad pro ochranu osobních údajů („ÚOOÚ“) zveřejnil svůj kontrolní plán pro rok 2025. Jde o dokument, který každoročně signalizuje, na co se správci a zpracovatelé osobních údajů mají v daném období připravit. Tentokrát ÚOOÚ jednoznačně cílí na některé klíčové oblasti, kde se stýká nedostatek právní