Každá firma musí podle GDPR vést o zpracování osobních údajů provozní záznamy. Jak? To záleží na několika okolnostech. Zejména na velikosti organizace, typu údajů, které zpracovává, a způsobu zpracování.
Proč vést provozní záznamy? Ušetříte si trable
Pro organizaci, která zaměstnává více než 250 lidí nebo zpracovává zvláštní kategorie osobních údajů, jsou povinnosti podrobně popsány v článku 30 GDPR. Organizace, které nemusí splňovat povinnosti podle tohoto ustanovení, se však musí samy zamyslet, jak provozní záznamy povedou.
Každá firma musí každopádně zajistit, aby v provozních záznamech uchovala takzvaný „rodný list“ osobních údajů, tedy na základě čeho, jakým způsobem a po jakou dobu zpracování těchto údajů probíhalo.
Jak naložit s požadavky
Záznamy musí také obsahovat informace, jakým způsobem byly vyřizovány požadavky lidí, jichž se osobní údaje týkají, především ohledně výmazu, omezení zpracování či úpravy informací. Tyto požadavky by měla firma nejen uchovávat, ale i snadno dohledat.
Firmy provozní záznamy potřebují rovněž proto, aby mohly následně doložit takzvaný převažující zájem. To se děje například tehdy, když dokládáme, zda zákonný důvod pro zpracování převáží nad požadavkem daného zákazníka, aby byly jeho osobní údaje smazány.
Jedná se tedy o potenciálně konfliktní situace a správce osobních údajů je v postavení, kdy se musí připravit na možnou rozepři s osobou, které se údaje týkají. Je tedy v zájmu správce mít dostatečné podklady nejen v době posuzování, ale i s odstupem několika měsíců a let.
7 kroků, jak přežít GDPR: Zmapujte si terén
Záznamy bezpečnostních incidentů
Z provozních záznamů musí být také jasný proces ohlašování případů, kdy dojde k porušení zabezpečení, dozorovému orgánu, v našem případě Úřadu na ochranu osobních údajů. I zde platí, že čím víc informací jako správce mám, tím jsem lépe schopen v rámci takového ohlášení být konkrétní.
Tento typ oznámení je nutné udělat do 72 hodin od okamžiku, kdy se správce o takovém porušení dozvěděl. To samozřejmě zvyšuje nároky na kvalitu a dostupnost provozních záznamů.
Kvalita těchto informací může mít vliv i na hodnocení úrovně zpracování osobních údajů ze strany dozorového orgánu. Na tomto hodnocení pak bude záviset rozsah uložených nápravných opatření i případných sankcí.
7 kroků, jak přežít GDPR: Jak uřídit data? Nepotřebné vyhoďte (2)
Šifrovali jste? Máte to jednodušší
Firma musí také zajistit oznamování případů porušení zabezpečení subjektům osobních údajů, tedy přímo lidem, kterých se osobní údaje týkají. Zde ale nejsou požadavky na komunikaci tak striktní jako v případě ohlašování dozorovému orgánu.
Navíc z nařízení GDPR vyplývá, že se nevyžaduje oznámení incidentu subjektům údajů, pokud byly údaje „učiněny nesrozumitelnými“, tedy jinými slovy zašifrovány. Cloudové služby Azure a Office 365 umožňují využít celou řadu šifrovacích metod, je tedy jen důležité zdokumentovat, že šifrování dat v úložišti bylo skutečně aktivováno.
7 kroků, jak přežít GDPR: Rozlišujte, jak jsou údaje citlivé a kdo k nim může (3)
Jak si můžeme pomoct?
Pro účely plnění povinností, které souvisí s vedením provozních záznamů, lze opět použít celou řadu nástrojů.
Například služba Office 365 má bohatou výbavu provozních logů, které lze zobrazit přes menu „Security & Compliance Center”. Lze dohledat i přístupy administrátorů na mailbox uživatele, přesuny a mazání emailů. Kromě editací lze zaznamenat i pouhé čtecí přístupy konkrétními uživateli na soubory v SharePoint Online či OneDrive for Business, což splňuje požadavky práce se zvláštními kategoriemi údajů – zejména zdravotnickou dokumentací.
Office 365 poskytuje i rozhraní (Management Activity API), přes které lze všechny tyto logy automaticky zpracovávat vlastními analytickými nástroji (například SIEM). Logy lze také integrovat do cloudové části administračního nástroje Operations Management Suite (OMS), který události filtruje, třídí, a inteligentně zobrazí do celkového dashboardu administrátora. OMS také testuje a loguje nastavení přístupových práv, což je důležité pro kontrolu činnosti administrátorů.
Obdobně i cloudová databáze Azure SQL umožňuje nastavit ukládání podrobných logů kamkoli, ať už do vlastního datacentra nebo do jiných cloudových úložišť. To přináší výhodu v prakticky neomezené paměťové kapacitě a v rychlosti, se kterou lze logy zpětně prohledávat v případě šetření incidentů. U transakčních systémů lze posílit zpětné šetření ještě pomocí Temporal Tables, tedy zachycení stavu údajů v datových strukturách k určitým bodům v minulosti.
7 kroků, jak přežít GDPR: Jak data zabezpečit? Prevence je základ (4)
Nástroje, které vám uvolní ruce
Provozní záznamy autentizací a přístupů uživatelů se v cloudu provádí pomocí Azure AD Reports, kde se zachycují i neúspěšné pokusy o přihlášení a také atributy přihlášení, jako je například IP adresa a lokalita, z níž se někdo pokoušel přihlásit. Tyto logy organizace kvůli vlastním kontrolám samy udržují zpravidla po dobu několika let, než dojde k jejich postupnému mazání.
I v případě vedení provozních záznamů tedy existuje řada užitečných nástrojů, které administrátorům osobních údajů uvolňují ruce. Protože se termín uvedení GDPR v platnost nezadržitelně blíží, blíží se k závěru i náš seriál. V sedmém a posledním kroku si řekneme, jak dokumentovat a prokazovat účinnost zavedených bezpečnostních opatření.
7 kroků, jak přežít GDPR: Pomocníci v detekci a zvládání bezpečnostních incidentů (5)
Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.
Autor článku: Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko
7 kroků, jak přežít GDPR: Jsou bezpečnostní opatření účinná? Napoví audit (7)
