PR články

7 kroků, jak přežít GDPR: Provozní záznamy veďte efektivně (6)

Každá firma musí podle GDPR vést o zpracování osobních údajů provozní záznamy. Jak? To záleží na několika okolnostech. Zejména na velikosti organizace, typu údajů, které zpracovává, a způsobu zpracování.
7 kroků, jak přežít GDPR: Provozní záznamy veďte efektivně (6)
Klepněte pro větší obrázek
Proč vést provozní záznamy? Ušetříte si trable

Pro organizaci, která zaměstnává více než 250 lidí nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Organizace, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí samy zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Záznamy musí také obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale i snadno dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány.

Jedná se tedy o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy v zájmu správce mít dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů, kdy dojde k porušení zabezpečení, dozorovému orgánu, v našem případě Úřadu na ochranu osobních údajů. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Tento typ oznámení je nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dozvěděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Šifrovali jste? Máte to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy jinými slovy zašifrovány. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak si můžeme pomoct?

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů.

Například služba Office 365 má bohatou výbavu provozních logů, které lze zobrazit přes menu „Security & Compliance Center”. Lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Kromě editací lze zaznamenat i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky práce se zvláštními kategoriemi údajů – zejména zdravotnickou dokumentací.

Klepněte pro větší obrázek

Office 365 poskytuje i rozhraní (Management Activity API), přes které lze všechny tyto logy automaticky zpracovávat vlastními analytickými nástroji (například SIEM). Logy lze také integrovat do cloudové části administračního nástroje Operations Management Suite (OMS), který události filtruje, třídí, a inteligentně zobrazí do celkového dashboardu administrátora. OMS také testuje a loguje nastavení přístupových práv, což je důležité pro kontrolu činnosti administrátorů.

Obdobně i cloudová databáze Azure SQL umožňuje nastavit ukládání podrobných logů kamkoli, ať už do vlastního datacentra nebo do jiných cloudových úložišť. To přináší výhodu v prakticky neomezené paměťové kapacitě a v rychlosti, se kterou lze logy zpětně prohledávat v případě šetření incidentů. U transakčních systémů lze posílit zpětné šetření ještě pomocí Temporal Tables, tedy zachycení stavu údajů v datových strukturách k určitým bodům v minulosti.

Nástroje, které vám uvolní ruce

Provozní záznamy autentizací a přístupů uživatelů se v cloudu provádí pomocí Azure AD Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také atributy přihlášení, jako je například IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace kvůli vlastním kontrolám samy udržují zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín uvedení GDPR v platnost nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko

Další článek: Evropská centrální banka chystá regulaci kryptoměn. Bitcoin může výrazně oslabit

Témata článku: PR články


Určitě si přečtěte

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

** 22. května 1990 uvedl Microsoft Windows 3.0 ** Systém z Microsoftu definitivně udělal lídra na desktopu ** Tehdejší Windows byly vlastně grafickou nadstavbou nad MS-DOS

Jakub Čížek | 65

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

** Představte si svobodné Windows. Bláznivá vize? ** Vývojáři je přitom začali psát už před více než dvaceti lety ** Jmenují se ReactOS a spustíte na nich i Total Commander

Jakub Čížek | 54

Nový Apple Macbook Air je levnější, má větší SSD a vrací se k tradiční klávesnici

Nový Apple Macbook Air je levnější, má větší SSD a vrací se k tradiční klávesnici

** Nový MacBook Air opravuje nejzásadnější chyby dosavadní verze ** Dostal lepší klávesnici, výkonnější procesor a 256GB SSD ** Apple navíc snížil ceny

Martin Miksa | 53


Aktuální číslo časopisu Computer

Megatest 21 grafických karet

AMD poráží Intel už i v notebooku

Jak vytvořit 3D fotky v mobilu

Nejlepší fotoaparáty do 30 000 Kč