Klíčovým bodem pro zajištění souladu zpracování osobních údajů s požadavky GDPR je odpovídající zabezpečení osobních údajů. GDPR však neposkytuje žádné konkrétní návody, jak takového stupně zabezpečení dosáhnout.
Dle čl. 32 GDPR platí, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provede každý správce vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, a to zejména tak, že zajistí:
- pseudonymizaci[1] a šifrování osobních údajů;
- schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
- schopnost obnovit dostupnost osobních údajů a včasný přístup k nim v případě, že dojde k fyzickým či technickým bezpečnostním incidentům;
- procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Bohužel ani GDPR ani příslušná výkladová stanoviska (jako např. stanoviska publikovaná pracovní skupinou WP29) nedávají žádný návod, jak by výše uvedené požadavky měly být technicky splněny. Je proto nutné, aby každý správce (zpracovatel) osobních údajů byl osobně zodpovědný za zajištění odpovídajícího zabezpečení dat nezávisle na tom, jakým způsobem bude zabezpečení dosaženo.
Porušení zabezpečení osobních údajů
Porušení zabezpečení osobních údajů je definováno v čl. 4 odst. 12 GDPR jako porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Jelikož porušení ochrany osobních údajů bude pro správce s největší pravděpodobností představovat značně stresovou situaci, je vhodné, aby správci většího množství osobních údajů měli vypracovaný nouzový plán pro případ porušení ochrany osobních údajů, který by měl zahrnovat např. kontaktní údaje osob uvnitř organizace příslušných k řešení situace, postupy řešení, kontaktní údaje dozorových úřadů, které mají být uvědomněny, atd.
S porušením zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, spojuje GDPR ohlašovací povinnost dozorovému úřadu (čl. 33 GDPR), a v případě, že porušení osobních údajů představuje vysoké riziko pro práva a svobody fyzických osob, také povinnost informovat o tomto riziku subjekt údajů (čl. 34 GDPR).
Ohlašování porušení zabezpečení osobních údajů dozorovému úřadu
Jakékoli porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, je správce povinen oznámit příslušnému dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů. Ohlášení by mělo být provedeno bez zbytečného odkladu a, je-li to možné, do 72 hodin od zjištění, že k porušení došlo. Pokud není ohlášení provedeno do 72 hodin, musí být současně s ním uvedeny důvody, proč k včasnému ohlášení nemohlo dojít.
Pro začátek běhu lhůty je rozhodující, kdy se správce dozvěděl o bezpečnostním incidentu. V některých případech bude velmi složité určit začátek této lhůty přesně[2], jelikož GDPR nespecifikuje, která z osob uvnitř správce se musí o incidentu dozvědět, aby lhůta mohla začít běžet – každý správce může příslušné zaměstnance stanovené jiným způsobem. Je proto nezbytné, aby každý správce identifikoval potencionální okruh zaměstnanců, u kterých je pravděpodobné, že by mohli odhalit bezpečností incident, a poučit je o tom, jak v takovém případě postupovat a komu hlásit informace o bezpečnostním incidentu, aby mohl správce splnit ohlašovací povinnost ve stanovené lhůtě.
GDPR v čl. 33 odst. 3 také stanoví podmínky, které musí každé hlášení dozorovému úřadu splňovat:
- popis povahy porušení údajů včetně informace, pokud je k dispozici, o kategoriích a přibližném počtu dotčených subjektů údajů a kategoriích a přibližném množství dotčených záznamů osobních údajů,
- jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiné kontaktní osoby, která může poskytnout bližší informace,
- popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
- popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Pokud není z jakéhokoli důvodů možné poskytnout informace uvedené v čl. 33 odst. 3 okamžitě a zároveň, mohou být poskytnuty i postupně, avšak bez zbytečného odkladu. Prvotní informace o porušení zabezpečení osobních údajů však musí být poskytnuta ve stanovené lhůtě.
Ohlašování porušení zabezpečení osobních údajů subjektu údajů
Jelikož porušení zabezpečení osobních údajů může mít negativní dopad na subjekty údajů, stanoví GDPR v čl. 34 povinnost pro správce ohlašovat případy porušení též subjektu údajů, pokud je pravděpodobné, že takové porušení osobních údajů subjektu bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Rozdíl mezi ohlašovací povinností dozorovému orgánu a ohlašovací povinností subjektu údajů tedy spočívá v závažnosti rizika. Subjekt údajů musí být informován, pokud porušení představuje vysoké riziko, zatímco dozorový úřad musí být informován vždy, pokud existuje jakékoli riziko. Co se týče podmínky vysokého rizika pro práva a svobody fyzických osob, tato podmínka zahrnuje závažné bezpečnostní incidenty, které by mohly narušit práva subjektu nebo působit diskriminačně. Jelikož v praxi takové bezpečnostní incidenty nejsou vyloučeny, je v zájmu správce takovým případům zabránit. GDPR za tímto účelem navrhuje mimo jiné bezpečnostní opatření uvedená výše, tj. např. pseudonymizaci a zašifrování osobních údajů.
[1] Pseudonymizace, jako jedno z hlavních bezpečnostních opatření, je definované v GDPR, konkrétně v čl. 4 odst. 5, jako zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření zajišťující, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Podstatou pseudonymizace je tedy dočasné funkční oddělení určité “podmnožiny údajů” od ostatních údajů, přičemž identifikace subjektu údajů je možná pouze pokud jsou tyto skupiny údajů použity společně.
Tabulka níže ukazuje příklad pseudonymizace, přičemž první řádek představuje kompletní osobní údaje, ze kterých je možné identifikovat subjekt údajů, ke kterému se údaje vztahují. Druhý řádek obsahuje příklad pseudonymizace v kombinaci se šifrováním, jelikož správce uložil jméno, příjmení a adresu subjektu údajů odděleně od zbývajících osobních údajů subjektu a navíc tyto údaje nahradil číselným kódem.
Jméno |
Příjmení |
Adresa |
Věk |
Vzdělání |
Pozice |
Měsíční příjem |
Jan |
Novák |
Ječná 1, Praha |
45 |
VŠ |
strojní inženýr |
45.000 Kč |
00001 |
45 |
VŠ |
strojní inženýr |
45.000 Kč |
Pseudonymizace a šifrování údajů jsou bezpečnostní opatření zaváděná GDPR, nikoliv však jako povinně. Jejich použití jako bezpečnostních opatření je tedy na rozhodnutí každého správce osobních údajů.
[2] K tomuto tématu se však již WP29 vyjadřovala např. zde ec.europa.eu/newsroom/document.cfm?doc_id=47741
Požadavky na zabezpečení dat dle GDPR
29.1.2018
Nezařazené
Comments Off on Požadavky na zabezpečení dat dle GDPR
Jaroslav Tajbr
Klíčovým bodem pro zajištění souladu zpracování osobních údajů s požadavky GDPR je odpovídající zabezpečení osobních údajů. GDPR však neposkytuje žádné konkrétní návody, jak takového stupně zabezpečení dosáhnout.
Dle čl. 32 GDPR platí, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provede každý správce vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, a to zejména tak, že zajistí:
Bohužel ani GDPR ani příslušná výkladová stanoviska (jako např. stanoviska publikovaná pracovní skupinou WP29) nedávají žádný návod, jak by výše uvedené požadavky měly být technicky splněny. Je proto nutné, aby každý správce (zpracovatel) osobních údajů byl osobně zodpovědný za zajištění odpovídajícího zabezpečení dat nezávisle na tom, jakým způsobem bude zabezpečení dosaženo.
Porušení zabezpečení osobních údajů
Porušení zabezpečení osobních údajů je definováno v čl. 4 odst. 12 GDPR jako porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Jelikož porušení ochrany osobních údajů bude pro správce s největší pravděpodobností představovat značně stresovou situaci, je vhodné, aby správci většího množství osobních údajů měli vypracovaný nouzový plán pro případ porušení ochrany osobních údajů, který by měl zahrnovat např. kontaktní údaje osob uvnitř organizace příslušných k řešení situace, postupy řešení, kontaktní údaje dozorových úřadů, které mají být uvědomněny, atd.
S porušením zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, spojuje GDPR ohlašovací povinnost dozorovému úřadu (čl. 33 GDPR), a v případě, že porušení osobních údajů představuje vysoké riziko pro práva a svobody fyzických osob, také povinnost informovat o tomto riziku subjekt údajů (čl. 34 GDPR).
Ohlašování porušení zabezpečení osobních údajů dozorovému úřadu
Jakékoli porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, je správce povinen oznámit příslušnému dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů. Ohlášení by mělo být provedeno bez zbytečného odkladu a, je-li to možné, do 72 hodin od zjištění, že k porušení došlo. Pokud není ohlášení provedeno do 72 hodin, musí být současně s ním uvedeny důvody, proč k včasnému ohlášení nemohlo dojít.
Pro začátek běhu lhůty je rozhodující, kdy se správce dozvěděl o bezpečnostním incidentu. V některých případech bude velmi složité určit začátek této lhůty přesně[2], jelikož GDPR nespecifikuje, která z osob uvnitř správce se musí o incidentu dozvědět, aby lhůta mohla začít běžet – každý správce může příslušné zaměstnance stanovené jiným způsobem. Je proto nezbytné, aby každý správce identifikoval potencionální okruh zaměstnanců, u kterých je pravděpodobné, že by mohli odhalit bezpečností incident, a poučit je o tom, jak v takovém případě postupovat a komu hlásit informace o bezpečnostním incidentu, aby mohl správce splnit ohlašovací povinnost ve stanovené lhůtě.
GDPR v čl. 33 odst. 3 také stanoví podmínky, které musí každé hlášení dozorovému úřadu splňovat:
Pokud není z jakéhokoli důvodů možné poskytnout informace uvedené v čl. 33 odst. 3 okamžitě a zároveň, mohou být poskytnuty i postupně, avšak bez zbytečného odkladu. Prvotní informace o porušení zabezpečení osobních údajů však musí být poskytnuta ve stanovené lhůtě.
Ohlašování porušení zabezpečení osobních údajů subjektu údajů
Jelikož porušení zabezpečení osobních údajů může mít negativní dopad na subjekty údajů, stanoví GDPR v čl. 34 povinnost pro správce ohlašovat případy porušení též subjektu údajů, pokud je pravděpodobné, že takové porušení osobních údajů subjektu bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Rozdíl mezi ohlašovací povinností dozorovému orgánu a ohlašovací povinností subjektu údajů tedy spočívá v závažnosti rizika. Subjekt údajů musí být informován, pokud porušení představuje vysoké riziko, zatímco dozorový úřad musí být informován vždy, pokud existuje jakékoli riziko. Co se týče podmínky vysokého rizika pro práva a svobody fyzických osob, tato podmínka zahrnuje závažné bezpečnostní incidenty, které by mohly narušit práva subjektu nebo působit diskriminačně. Jelikož v praxi takové bezpečnostní incidenty nejsou vyloučeny, je v zájmu správce takovým případům zabránit. GDPR za tímto účelem navrhuje mimo jiné bezpečnostní opatření uvedená výše, tj. např. pseudonymizaci a zašifrování osobních údajů.
[1] Pseudonymizace, jako jedno z hlavních bezpečnostních opatření, je definované v GDPR, konkrétně v čl. 4 odst. 5, jako zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření zajišťující, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Podstatou pseudonymizace je tedy dočasné funkční oddělení určité “podmnožiny údajů” od ostatních údajů, přičemž identifikace subjektu údajů je možná pouze pokud jsou tyto skupiny údajů použity společně.
Tabulka níže ukazuje příklad pseudonymizace, přičemž první řádek představuje kompletní osobní údaje, ze kterých je možné identifikovat subjekt údajů, ke kterému se údaje vztahují. Druhý řádek obsahuje příklad pseudonymizace v kombinaci se šifrováním, jelikož správce uložil jméno, příjmení a adresu subjektu údajů odděleně od zbývajících osobních údajů subjektu a navíc tyto údaje nahradil číselným kódem.
Pseudonymizace a šifrování údajů jsou bezpečnostní opatření zaváděná GDPR, nikoliv však jako povinně. Jejich použití jako bezpečnostních opatření je tedy na rozhodnutí každého správce osobních údajů.
[2] K tomuto tématu se však již WP29 vyjadřovala např. zde ec.europa.eu/newsroom/document.cfm?doc_id=47741