Každá firma však musí zaistiť, aby v prevádzkových záznamoch zachovala takzvaný „rodný list“ osobných údajov, teda to, na základe čoho, akým spôsobom a počas akého obdobia spracovanie týchto údajov realizovala.
Ako sa vysporiadať s požiadavkami
Prevádzkové záznamy musia taktiež obsahovať informácie, akým spôsobom boli vybavované požiadavky ľudí, ktorých sa osobné údaje týkajú. Ide predovšetkým o vymazávanie, obmedzenie spracovania či úpravu informácií. Tieto požiadavky by mala firma nielen uchovávať, ale mala by ich vedieť aj ľahko dohľadať.
Firmy potrebujú prevádzkové záznamy aj preto, aby mohli následne doložiť takzvaný prevažujúci záujem. To sa stáva napríklad vtedy, keď dokladujeme, či zákonný dôvod pre spracovanie prevýši požiadavku daného zákazníka, aby boli jeho osobné údaje vymazané. V takom prípade dochádza k potenciálne konfliktnej situácii a správca osobných údajov sa ocitne v pozícii, kedy sa musí pripraviť na možný spor s osobou, ktorej sa údaje týkajú. Je to teda predovšetkým v záujme firmy, aby mala dostatočné podklady dostupné nielen v období posudzovania, ale aj s odstupom niekoľkých mesiacov a rokov.
Záznamy bezpečnostných incidentov
Z prevádzkových záznamov musí byť známy proces ohlasovania prípadov porušenia zabezpečenia dohliadajúcemu orgánu. I tu platí, že čím viac informácií ako správca mám, tým viac môžem byť v rámci takéhoto ohlásenia konkrétnejší.
Porušenie zabezpečenia sa musí oznámiť do 72 hodín od okamihu, kedy sa správca o takomto porušení dozvedel. To samozrejme zvyšuje nároky na kvalitu a dostupnosť prevádzkových záznamov.
Kvalita týchto informácií môže ovplyvňovať hodnotenie úrovne spracovania osobných údajov zo strany dohliadajúceho orgánu, v našom prípade Úradu na ochranu osobných údajov. Od tohto hodnotenia potom bude závisieť rozsah uložených nápravných opatrení i prípadných sankcií.
So zakódovanými dátami je to jednoduchšie
Firma musí taktiež zaistiť oznámenie prípadu porušenia zabezpečenia subjektom osobných údajov, teda priamo ľuďom, ktorých sa osobné údaje týkajú. V tomto prípade však nie sú požiadavky na komunikáciu také striktné ako v prípade ohlasovania dohliadajúcemu orgánu.
Z nariadení GDPR zároveň vyplýva, že sa nevyžaduje oznámenie incidentu subjektom údajov, pokiaľ boli údaje „urobené nezrozumiteľnými“, teda v prípade, že boli zakódované. Cloudové služby Azure a Office 365 umožňujú využiť celú škálu kódovacích metód, je však dôležité zdokumentovať, že kódovanie dát v úložisku bolo naozaj aktivované.
Ako výhodne logovať
Na účely plnenia povinností, ktoré súvisia so spravovaním prevádzkových záznamov, sa dajú opäť použiť mnohé nástroje. Cloudová služba Office 365 má napríklad bohatú výbavu prevádzkových logov. Vďaka nim sa dajú dohľadať i prístupy administrátorov na mailbox užívateľa, presuny a vymazávanie emailov. Okrem editovania sa dajú zaznamenať aj prístupy na čítanie konkrétnych užívateľov súborov v SharePoint Online či OneDrive for Business, čo spĺňa požiadavky práce so zvláštnymi kategóriami údajov – najmä zdravotníckou dokumentáciou.
Správca si tiež môže záznamy o spracovaní priebežne sťahovať z cloudových služieb a ukladať si ich buď vo svojom dátovom centre, alebo môže tieto objemné súbory bezpečne skladovať v Microsoft Azure. Tam ich tiež môže spracovávať rôznymi analytickými nástrojmi, rovnako dostupnými z cloudu na báze prenájmu.
Nástroje, ktoré vám dajú slobodu
Prevádzkové záznamy o „zalogovaní“ a prístupoch užívateľov sa v cloude realizujú pomocou Azure AD Audit Reports, kde sa zachytávajú i neúspešné pokusy o prihlásenie a tiež napríklad IP adresa a lokalita, z ktorej sa niekto skúšal prihlásiť. Tieto logy organizácie udržiavajú pre vlastnú kontrolu spravidla počas obdobia niekoľkých rokov, kým dôjde k ich postupnému vymazaniu.
Aj v prípade spravovania prevádzkových záznamov teda existuje množstvo užitočných nástrojov, ktoré administrátorom osobných údajov dávajú slobodu. Pretože sa termín účinnosti GDPR nezadržateľne blíži, blíži sa k záveru i náš seriál. V siedmom a poslednom kroku si povieme, ako dokumentovať a preukazovať účinnosť zavedených bezpečnostných opatrení.
Podrobný návod, ako využiť cloud k zaisteniu v súlade s GDPR, nájdete TU.
V seriály ako prežiť GDPR zatiaľ vyšlo
Ako začať? Zmapujte si terén(1)
Ako zvládnuť správu dát? Čo nepotrebujete, vyhoďte(2)
Ako veľmi sú údaje citlivé? Určite, kto k nim má prístup (3)
