Menu Zavřít

7 kroků, jak přežít GDPR: Jak vést provozní záznamy? Neplýtvejte časem (6)

11. 10. 2017
Autor: Microsoft

GDPR nenařizuje jen samotnou ochranu dat. Každá firma musí vést o zpracování osobních údajů provozní záznamy. Pokud vaše organizace zaměstnává více než 250 lidí, nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Vedení firem či organizací, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí sama zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Provozní záznamy musí rovněž obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale snadno také dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány. V takovém případě se tedy jedná o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy především v zájmu firmy, aby měla dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů porušení zabezpečení dozorovému orgánu. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Oznámení porušení zabezpečení je každopádně nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dověděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu, v našem případě tedy Úřadu pro ochranu osobních údajů. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Se šifrovanými daty je to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy v případě, že byly zašifrované. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak výhodně logovat

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů. Cloudová služba Office 365 má například bohatou výbavu provozních logů. Díky nim lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Zaznamenat lze i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky GDPR na práci se zvláštními kategoriemi údajů, tedy například se zdravotnickou dokumentací.

Správce si též může záznamy o zpracování průběžně stahovat z cloudových služeb a ukládat si je buď ve svém datovém centru, nebo může tyto objemné soubory bezpečně skladovat v Microsoft Azure. Tam je může také dále zpracovávat různými analytickými nástroji, opět dostupnými z cloudu na bázi pronájmu.

Nástroje, které vám uvolní ruce

Provozní záznamy o „zalogování“ a přístupech uživatelů se v cloudu provádí pomocí Azure AD Audit Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také třeba IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace udržují pro vlastní kontrolu zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín účinnosti GDPR nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete zde.

Čtěte další díly seriálu Jak přežít GDPR:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(7) Jsou opatření účinná? Napoví audit

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko