Zabezpečení osobních údajů

Transkript

1 Pověřenec pro ochranu osobních údajů září 2017, Praha Zabezpečení osobních údajů PhDr. Hana Štěpánková Organizační a technické zabezpečení osobních údajů (dále jen ou) Důležité při rozhodování o zabezpečení ou Provést zhodnocení zpracování ou: Jaké představují riziko pro práva a svobody subjektů údajů - představují riziko či velké riziko? Jakého jsou rozsahu? Jaké jsou povahy? Nakolik jsou komplexní? Při velkých rizicích je žádoucí nastavení pseudonymizace nebo šifrování ou. Zohledit při posouzení zejména eventualitu fyzické, hmotné či nehmotné újmy subjektů; zpracovávání zvláštních údajů (citlivých) a odsouzení v trestních věcech. Zodpovědět otázky: Může zpracování vést k diskriminaci, krádeži či zneužití identity? K finanční ztrátě? Poškození pověsti? Ztrátě ou chráněných služebním tajemstvím? K neoprávněnému zrušení pseudonymizace? K hospodářskému nebo společenskému znevýhodnění? Dochází profilováním k vyhodnocování osobních aspektů - zejména zdravotního stavu, pracovních výsledků, ekonomické situace, osobních preferencí, chování, místa pobytu a pohybu? Týkají se zpracovávané ou zvlášť zranitelných osob zejm. dětí? Je zpracováván velký objem ou? 1

2 Předpoklady zabezpečení ou Nežádoucí jevy při zabezpečení: Náhodné či protiprávní zničení ou, ztráta ou, pozměnění ou, neoprávněné zpřístupnění při přenosu, uložení, jiném zpracování Povinnost zajistit trvale důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování Organizačně nastavit pravidla pro zpracování ou: Nastavení pravidel ochrany ou - např. v bezpečnostní politice a směrnici, jasná identifikace správce, zpracovatelů Dostatečně závazně informovat pracovníky o jejich kompetencích a hierarchii odpovědností (popis práce, školení periodicky nastavené) žádné operace nad rámec pověření správcem, zajištění segmentovaného přístupu k ou na základě oprávnění; zajištění identifikace osob přistupujícím k ou času, kdy k přístupu došlo; vytvoření pravidel k přístupu na pracoviště, kde probíhá zpracování ou pravidla a oprávnění předávání ou ( identifikace příjemce) závazky mlčenlivosti zpracovatelů zajišťujících určitou službu (př. údržba IT) Předpoklady zabezpečení ou Technické zabezpečení integrity systémů a služeb monitorování přístupu k ou (kdo, kdy, jaké změny provedl) vytváření verzí při jejich změně s následnou kontrolou rozdílů hashování zajištění dostupnosti systémů a služeb zpracování - v případě výpadku funkcionality systému či určité služby zajistit k dispozici záložní zdroje (př. rozprostření síťové služby a dat mezi více serverů) Zajištění odolnosti systémů a služeb zpracování zajištění odolnosti vůči selháním Organizačně a technicky učinit zabezpečení ou součástí bezpečnostní politiky - provádět periodicky testování, vytvořit pohotovostní plány pro případ fyzického či technického incidentu (penetrační testování, bezpečnostní audity) účelné a důležité pro případy data breaches a kontrol; školení pracovníků Provádět kontroly opatření a vést o nich dokumentaci (polehčující okolnost při kontrolách) Dokumentace každého z opatření k zabezpečení ou (závažné při kontrolách) Pro zavedení dostatečných bezpečnostních opatření lze využívat kodexy chování, osvědčení o ochraně osobních údajů 2

3 Ohlašování porušení zabezpečení ou Správce hlásí ÚOOU do 72 hodin, pokud je pravděpodobné riziko pro práva a svobody fyzických osob. Při zpoždění uvádí jeho důvody. Směrnicí 95/46/ES z.č 101/2000 Sb. ukládáno ohlašování veškerých narušení zabezpečení ou Obdobně činí povinné osoby dle zákona o elektronických komunikacích a povinné osoby dle zákona o kybernetické bezpečnosti, poskytovatelé platebních služeb dle zákona o platebním styku (uloženo transpozicí směrnice PSD2) - případy, kdy v rámci jednoho incidentu je třeba více notifikací Správce nastaví v rámci organizačních a technických opatření k zajištění ou kroky pro detekci porušení zabezpečení (kontroly záznamů přístupu k ou, prevence ztráty dat, systémy odhalující průnik do počítačových sítí) Správce dokumentuje veškeré případy porušení zabezpečení s uvedením charakteru porušení a přijatých nápravných opatření. Musí být průkazné pro kontrolu. Zpracovatel po zjištění bezodkladně hlásí porušení správci. Nikoli ÚOOÚ. Hlášením pomáhá správci, proto obsahově obdobné jako hlášení správce ÚOOÚ. Řešení bezpečnostních incidentů Dokumentace porušení Identifikace rozsahu porušení: Vyhodnocení, zda jde o porušení zabezpečení (organizačně by mělo být nastaveno předem, kdo tak učiní běží zde lhůta pro oznámení ovlivňuje rozhodnutí o ohlášení Mělo by se dít na základě relevantního upozornění důležité proškolení zaměstnanců Posouzení míry rizika rozhodné i pro povinnost ohlašovat subjektům údajů Pro kontrolu důležité, aby bylo zdokumentováno jak rozhodnutí o ohlášení, tak pouhé porušení, které není nutné ohlašovat ÚOOÚ 3

4 Vzor pro oznámení (dokumentování porušení zabezpečení) obsah ohlášení Účelný je Vzor hlášení porušení zabezpečení ou vytvořený v rámci organizačních opatření pro zabezpečení ou; obdobný Vzor dokumentace porušení zabezpečení ou ; Forma hlášení není a priori vyžadována v Nařízení má být co nejpřehlednější pro ev. kontrolu dozorového úřadu Minimální obsah hlášení Popis povahy porušení kategorie dotčených ou přibližný počet dotčených subjektů kategorie dotčených subjektů Kontaktní údaje pověřence, nebo jiné kompetentní osoby Popis pravděpodobných důsledků porušení zabezpečení - fyzická, hmotná, nehmotná újma? Popis přijatých navržených opatření k řešení porušení, zmírnění jeho nepříznivých následků podstatné z hlediska kontroly Informace do hlášení lze postupně doplňovat, nemusí podány všechny naráz (do 72 hodin) Oznamování porušení zabezpečení subjektu ou Pokud došlo k vysokému riziku pro práva a svobody fyzických osob Sdělení bezodkladné, jasné a srozumitelné povaha porušení, informace o možných důsledcích, doporučení ke zmírnění následků, informace o přijatých opatřeních pro odstranění porušení bezpečnosti, kontaktní údaje pověřence eventuálně kompetentní osoby správce. Prvořadě však správce přijímá opatření pro odstranění porušení zabezpečení Povinnost sdělení může uložit ÚOOÚ, pokud tak neučinil správce sám Hlášení subjektu ou není nutné: Byla přijata opatření, která činí údaje nesrozumitelnými pro neoprávněné osoby (šifrovány) Okamžitě přijata opatření, takže předpoklad, že negativní dopady se neprojeví Vyžadovalo by nepřiměřené úsilí tehdy ale povinná informace veřejným oznámením 4

5 Posouzení vlivu zpracování na soukromí a ochranu údajů ( Privacy Impact Assessment ) Zahrnuje popis a analýzu více různých aspektů zpracování, jeho rizik a možných opatření pro jejich zmírnění Pokud zpracování (např. použití nové technologie) bude mít za následek vysoké riziko pro subjekty ou Vyžádána konzultace pověřence Nutné a stanovené nařízením: Při systematickém a rozsáhlém vyhodnocování osobních aspektů subjektů ou, včetně profilování, zakládajích rozhodování o subjektu ou; rozsudků v trestních věcech a trestných činech Rozsáhlé systematické monitorování veřejně přístupných prostorů Rozsáhlé zpracování zvláštních údajů Zohledňuje se dodržování přijatých kodexů Získání postoje subjektů ou Pokud provedeno posouzení v rámci legislativního procesu neprovádí se znovu; je též proveditelné v rámci celé aplikace nebo platformy najednou (př. zpracování prováděná stejnou technologií za stejným účelem) Posouzení vlivu zpracování dle WP29 týká zpracování zahájených po účinnosti Nařízení (25:5: 2018) i těch přijatých před jeho účinností, došlo-li k zásadní změně (př. využití nové technologie) Obsah posouzení vlivu Systematický popis zamýšlených operací, účely zpracování, oprávněné zájmy správce Posouzení nezbytnosti a přiměřenosti operací z hlediska účelů Posouzení rizik pro práva a svobody subjektů ou Plánovaná opatření k řešení rizik, nastavení záruk, opatření a mechanismů k zajištění ochrany ou Toto předpokladem vytvoření dokumentace o zpracování ou ukládané Nařízením umožňující zmírnění rizik zpracování k prokázání souladu s Nařízením. Pokud zpracování pro posouzení rizik a jejich řešení má základ v právu státu nebo Unie a bylo provedeno jako součást obecného posouzení v souvislosti s přijetím právního základu není posouzení třeba vykonávat 5

6 Úloha pověřence při posouzení vlivu Pokud jmenován, má poskytnout posudek odpovědnost však trvale zůstává na správci; ten posouzení nemusí respektovat musí být dokumentováno Posouzení v otázkách Provádět vůbec posouzení? Jakou metodiku zvolit? Provést posouzení interně nebo vyžádat od externího specialisty? Jaká opatření ke zmírnění rizik? Je zpracování v souladu s Nařízením? Konzultace v případě porušení zabezpečení Předchozí konzultace Konzultace v případě, pokud z posouzení vlivu plyne, že by zpracování znamenalo vysoká rizika pro subjekty ou; z posouzení vlivu plyne, že rizika nelze snížit za využití existujících technologií, případně z hlediska nákladů na provedení ÚOOÚ poskytuje konzultaci na žádost správce obsahující informace o rozdělení odpovědnosti správce, společných správců a zpracovatelů zejména v rámci skupiny podniků o účelech a způsobech zamýšlených zpracování o opatřeních záruk ochrany ou subjektů kontaktních údajích pověřence (je-li jmenován) o posouzení vlivu na ochranu ou - systematického popisu zamýšlených operací zpracování a účelů, případně oprávněných zájmů správce (a další vyžádané ÚOOÚ) ÚOOÚ vyrozumí správce do 8 týdnů; může poskytnout poradenství; může uplatnit veškeré své pravomoci provést vyšetřování auditem ou, uložit uvedení do souladu s Nařízením, ev. pozastavit i trvale zakázat zpracování 6

7 Operace zpracování s vysokým rizikem Profilování, evaluace, hodnocení subjektů ou kde důsledkem je automatizované rozhodování s právními a podobnými účinky významnými pro subjekt (očekávána výkladová stanoviska WP29 Sboru, zásadní přístup ÚOOÚ) Automatizované rozhodování s právními či obdobně významnými účinky Systematické monitorování subjektů ou Zpracování zvláštních (citlivých) údajů Zpracování údajů ve velkém rozsahu Kombinování osobních údajů z různých datových sad Zpracování údajů týkajících se zvláště zranitelných subjektů Inovativní užití či aplikace technologických řešení Předávání ou mimo EU Bránění subjektům v uplatňování práv v používání nějaké služby nebo uzavření smlouvy Názor WP29: Pokud zpracování obsahuje alespoň dva z uvedených faktorů mělo by být dojít k posouzení vlivu na ochranu ou Nastavení interní a externí komunikace o úniku dat Závislost povinnosti ohlášení porušení zabezpečení a (na) zabezpečení ou Dokumentace o zabezpečení - zahrnout pokyn pro první kroky pro upozornění na porušení, indikátory závažnosti porušení Organizační řád - začlenění pověřence a/nebo odpovědné osoby za komunikaci s ÚOOÚ, vztah pověřence k vrcholovému managementu, osoby odpovědné za zveřejnění oznámení o úniku dat - začlenění pověřence a jeho úkolů při vytváření bezpečného prostředí podniku/instituce Bezpečnostní politika začlenění pověřence a jeho úkolů při vytváření bezpečného prostředí podniku/instituce; povinnost pověřence konzultovat při porušení zabezpečení; stanovit práva a povinnosti při zpracování ou, včetně např. provádění testování, penetračních testů, školení zaměstnanců, povinnosti sledování nových technologií ( privacy by design ); určit okruh pracovníků provádějících posouzení vlivu na ochranu ou; obsáhnout informaci o využívání kodexu, osvědčení o ochraně osobních údajů a charakteru předávání ou do zahraničí ( př. o závazných podnikových pravidlech pro předávání ou/ standardních smluvních doložkách, využívání Privacy Shield ) atd. 7

8 Směrnice o zabezpečení ou Není vyžadována Nařízením, ale je účelná ve vztahu k Nařízení požadujícímu dokumentování zpracování a zabezpečení ou; měla by být vytvořena správcem, který je v ní identifikován Směrnice o zpracování osobních údajů by měla obsahovat vyznačení pracovišť, kde dochází ke zpracování ou, a pozic, které je provádějí (mělo by být při nástupu zaměstnání zřejmé i v pracovní smlouvě) v příloze vzory dokumentace zpracování ou na každém pracovišti stanovení oprávnění přístupu ke zpracovávaným ou stanovení hierarchie odpovědnosti při zpracování ou, včetně stanovení návaznosti jednotlivých pracovníků provádějících zpracování ou na pověřence/odpovědného pracovníka pro zpracování ou stanovení charakteru a periodicitu školení o ochraně ou stanovení řetězce vztahů a kompetencí při zjištění porušení zabezpečení ou, stanovení formy a konzultačního přispění pověřence stanovení osoby, která provede a zformuluje rozhodnutí o nutnosti hlásit porušení zabezpečení ou, či nikoli a bude odpovídat za její předání na ÚOOÚ Obsahovat v příloze vzor hlášení o porušení zabezpečení ou ÚOOÚ subjektu údajů Oznámení porušení zabezpečení ÚOOÚ a spolupráce s ním Předchozí konzultace (viz snímek 9) Sledovat doporučení, názory a sdělení ÚOOÚ ( příprava kritérií pro osvědčení, konzultace při schvalování smluvních doložek ÚOOÚ členství ve Sboru EK, který nahradí WP29 dosud vydává doporučení k implementaci Nařízení přijaté dokumenty snadný přístup k zákonu o ochraně ou zpracovanému na základě Nařízení výsledky jednání v rámci procesu jednotnosti v EU judikatura týkající se ochrany ou česká, evropská sledování vývoje informačních a obchodních praktik Oznámení o porušení zabezpečení (viz vzor snímek 7) 8

9 Děkuji za pozornost Vaše dotazy? PhDr. Hana Štěpánková 9