Audit Zabezpečení Ochrana osobních dat
Úvod Zákon Systém řízení Normy ISO Ochrana osobních dat Bezpečnostní dokumenty a politiky
Informační bezpečnost podle zákona o kybernetické bezpečnosti a standardu ISO 27001 má ke GDPR (General Data Protection Resolution neboli Obecné nařízení o ochraně osobních údajů) blízko tím, že jedním z cílů je právě zajištění ochrany dat před neoprávněným přístupem a vytváří vhodné výchozí postavení, aby byly splněny požadavky GDPR a zajištění souladu s ním (Co přináší GDPR a jak je možné využít ISO 27001 a ZKB, nedatováno).
Přijetí normy ISO 27001 a soulad s touto směrnicí má za jeden z hlavních cílů minimalizovat rizika, týkající se bezpečnosti informací, a je tedy dobrým výchozím bodem k dosažení požadavků na ochranu osobních údajů podle GDPR. Využívají se k tomu přijatá opatření a politiky, která prováděním kontrol a testováním mají poskytovat důvěru a ujištění o skutečné bezpečnosti. Pravidelnou aktualizací plánů, které mají zajišťovat bezpečnost i aktualizací celého ISMS, probíhá neustále zlepšování bezpečnosti. Reaguje se tak na rizika, která vyplývají z vývoje prostředí, čímž poskytuje ucelený pohled na zabezpečení informací v organizaci. Normy ISO 27000 využívají soubor zásad, postupů, technologií a dokumentů týkajících se bezpečnosti informací, a v rámci
ISMS pomáhají řídit rizika, sledovat stav bezpečnosti prostřednictvím auditů a zlepšovat úroveň zabezpečení, týkající se nejen osobních údajů. Soulad s normami ISO 27000 dává najevo, že organizace podnikla kroky v oblastech bezpečnosti informací a přijala vhodná opatření ke zmírnění rizik, což lze doložit také certifikací – prokazatelným důkazem o přijetí nezbytných opatření a splnění požadavků na informační bezpečnost, zahrnující i ochranu osobních údajů pro ověření souladu s GDPR (EU General Data Protection Regulation - A Compliance Guide, 2016).
Obecné nařízení o ochraně osobních údajů je právní rámec, působící v evropském (unijním) prostoru, a souvisí se zpracováváním osobních údajů. Posláním tohoto rámce je především posílením práv občanů proti neoprávněnému zacházení s osobními údaji prostřednictvím organizačních, technických a bezpečnostních opatření pro používání a pohyby osobních údajů, které organizace musí zavést a realizovat, aby tato opatření vyhovovala požadavkům zákona potažmo nařízení. Implementace opatření obnáší určité náklady a vyžaduje potřebný čas na změny, které mohou být velmi náročné. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) nabude účinnosti 25. května 2018, a tím dojde ke změně legislativy českého právního systému, kterou v této oblasti představuje zákon č. 101/2000 Sb., o ochraně osobních (Žůrek, 2017). Nabytí účinnosti závisí hlavně na schopnosti včas zákon zavést.
Od přijetí směrnice v dubnu roku 2016 začalo přechodné období, které má poskytnout dostatečně dlouhou dobu zpracovatelům a správcům osobních údajů, aby došlo k uplatnění principu zodpovědnosti. Podle (Škorničková, nedatováno a) se týká oblastí:
• implementace záměrné a nezbytné ochrany dat,
• vypracování posouzení vlivu na ochranu osobních údajů neboli DPIA (Data Protection Impact Assessment),
• jmenování pověřence pro ochranu osobních údajů DPO (Data Protection Officer),
• zavedení tzv. pseudonymizace osobních údajů,
• vedení záznamů o činnostech zpracování,
• konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.
V souvislosti s GDPR nelze vynechat definici co jsou podle této regulace osobní údaje. Za osobní údaje jsou považovány všechny informace, které se vztahují k identifikované, či identifikovatelné fyzické osobě. Které informace vedou k identifikaci nebo identifikovatelnosti nejsou taxativně vymezeny. (Škorničková, nedatováno b) uvádí, že takové informace jsou samozřejmě jméno, pohlaví, věk a datum narození nebo osobní stav. Osobními údaji jsou:
• IP adresy,
• fotografický záznamy,
• genetické informace, analýzy biologických vzorků a osobní údaje dětí,
• biometrické údaje – tedy údaje, vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby,
a dále jsou to údaje o:
• rasovém či etnickém původu,
• politických názorech,
• náboženském nebo filozofickém vyznání,
• členství v odborech, • zdravotním stavu,
• sexuální orientaci,
• trestních deliktech či pravomocném odsouzení.
Údaje, které jsou vyloučeny z působnosti GDPR jsou anonymizované údaje, údaje zemřelých osob a údaje zpracovávané pro osobní potřebu, pokud nebudou sdílené jiným osobám. Nedodržení požadavků nebo jejich porušení pro povinné subjekty znamená, že jim může být uložena vysoká pokuta, která může být pro některé organizace likvidační. Udělení výše pokuty je ovlivněna několika faktory podle závažnosti porušení zásad. Přitom není přihlíženo k tomu, zda se jedná o organizaci s tisíci zaměstnanci nebo firmu s méně než deseti zaměstnanci. Maximální výše pokuty je 20 milionů eur nebo 4 % z celkového ročního obratu, přičemž se ukládá pokuta, která z nich je vyšší (Škorničková, nedatováno c).