7 kroků, jak přežít GDPR: Provozní záznamy veďte efektivně (6)

Každá firma musí podle GDPR vést o zpracování osobních údajů provozní záznamy. Jak? To záleží na několika okolnostech. Zejména na velikosti organizace, typu údajů, které zpracovává, a způsobu zpracování.
7 kroků, jak přežít GDPR: Provozní záznamy veďte efektivně (6)
Klepněte pro větší obrázek
Proč vést provozní záznamy? Ušetříte si trable

Pro organizaci, která zaměstnává více než 250 lidí nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Organizace, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí samy zamyslet, jak provozní záznamy povedou.

Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.

Jak naložit s požadavky

Záznamy musí také obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale i snadno dohledat.

Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány.

Jedná se tedy o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy v zájmu správce mít dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.

Záznamy bezpečnostních incidentů

Z provozních záznamů musí být také jasný proces ohlašování případů, kdy dojde k porušení zabezpečení, dozorovému orgánu, v našem případě Úřadu na ochranu osobních údajů. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.

Tento typ oznámení je nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dozvěděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.

Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.

Šifrovali jste? Máte to jednodušší

Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.

Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy jinými slovy zašifrovány. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.

Jak si můžeme pomoct?

Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů.

Například služba Office 365 má bohatou výbavu provozních logů, které lze zobrazit přes menu „Security & Compliance Center”. Lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Kromě editací lze zaznamenat i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky práce se zvláštními kategoriemi údajů – zejména zdravotnickou dokumentací.

Klepněte pro větší obrázek

Office 365 poskytuje i rozhraní (Management Activity API), přes které lze všechny tyto logy automaticky zpracovávat vlastními analytickými nástroji (například SIEM). Logy lze také integrovat do cloudové části administračního nástroje Operations Management Suite (OMS), který události filtruje, třídí, a inteligentně zobrazí do celkového dashboardu administrátora. OMS také testuje a loguje nastavení přístupových práv, což je důležité pro kontrolu činnosti administrátorů.

Obdobně i cloudová databáze Azure SQL umožňuje nastavit ukládání podrobných logů kamkoli, ať už do vlastního datacentra nebo do jiných cloudových úložišť. To přináší výhodu v prakticky neomezené paměťové kapacitě a v rychlosti, se kterou lze logy zpětně prohledávat v případě šetření incidentů. U transakčních systémů lze posílit zpětné šetření ještě pomocí Temporal Tables, tedy zachycení stavu údajů v datových strukturách k určitým bodům v minulosti.

Nástroje, které vám uvolní ruce

Provozní záznamy autentizací a přístupů uživatelů se v cloudu provádí pomocí Azure AD Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také atributy přihlášení, jako je například IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace kvůli vlastním kontrolám samy udržují zpravidla po dobu několika let, než dojde k jejich postupnému mazání.

I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín uvedení GDPR v platnost nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko

Další článek: Evropská centrální banka chystá regulaci kryptoměn. Bitcoin může výrazně oslabit


Určitě si přečtěte

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

** Airlander 10 nabídne plavby vzduchem v interiéru s prosklenou podlahou ** Luxusní vzducholoď byla původně vyvíjena pro vojenské účely ** Počítá se s třídenními „kochacími“ výlety za poznáním

Karel Kilián | 7

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 38

Květnové Windows 10 jsou za dveřmi: Co přinesou nového?

Květnové Windows 10 jsou za dveřmi: Co přinesou nového?

** Windows 10 May 2019 Update se blíží ** Hlavní viditelnou změnou je bílé téma ** Novinek je ale samozřejmě mnohem více

Vladislav Kluska | 57

Galerie: Srovnali jsme estetický Linux a Windows 10. Který z desktopů je hezčí?

Galerie: Srovnali jsme estetický Linux a Windows 10. Který z desktopů je hezčí?

** Linuxový Elementary OS se inspiruje v Apple macOS ** Microsoft Windows 10 jde vlastní cestou ** Který z desktopů je hezčí? Prohlédněte si galerii

Jakub Čížek | 113

Vědci vytvořili jazykovou neuronovou síť, která se přibližuje člověku. Je tak dobrá, že se ji bojí zveřejnit

Vědci vytvořili jazykovou neuronovou síť, která se přibližuje člověku. Je tak dobrá, že se ji bojí zveřejnit

** Naučilo se to číst ** Naučilo se to rozebírat text ** A nakonec se to i naučilo psát fiktivní články na libovolné téma

Jakub Čížek | 42

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 80



Aktuální číslo časopisu Computer

Velký test androidů do 6 500 Kč

Tipy na starší foťáky za super cenu

Důkladný test sportovních kamer

Dárek pro každého: první vydání Computeru