Bezpečnostné opatrenia na ochranu osobných údajov

Nariadenie GDPR obsahuje, okrem iného, aj ustanovenia o ochrane osobných údajov. Súčasťou tejto ochrany pritom je aj bezpečnosť osobných údajov. Prevádzkovateľ je preto povinný chrániť osobné údaje tak, aby nedošlo k ich sprístupneniu neoprávneným osobám alebo sprístupneniu verejnosti (strata osobných údajov, zverejnenie osobných údajov na internete, únik osobných údajov, strata zariadenia s osobnými údajmi a mnohé iné). Jedným z spôsobov ochrany údajov sú práve bezpečnostné opatrenia GDPR.

Ak dôjde k porušeniu ochrany osobných údajov – teda napríklad k ich úniku mimo spoločnosť, pôjde o tzv. bezpečnostný incident. S bezpečnostnými incidentmi sú pritom spojené negatívne dôsledky, napríklad oznámenie bezpečnostného incidentu Úradu na ochranu osobných údajov, kontrola zo strany tohto úradu, až po oznámenie bezpečnostného incidentu dotknutým osobám, ktorých údaje unikli.

V tomto článku sa preto dočítate, ako Nariadenie GDPR popisuje bezpečnostné opatrenia a aj praktické príklady takýchto opatrení. V prvom rade sa však pozrieme na to, čo je to vlastne bezpečnostný incident.

Čo je bezpečnostný incident?

Za bezpečnostný incident sa na účely Nariadenia GDPR považuje porušenie ochrany osobných údajov. Ide o situáciu, kedy dôjde k náhodnej alebo nezákonnej strate, neoprávnenému poskytnutiu osobných údajov, neoprávnenému prístupu k nim, k ich zmene alebo zničeniu.

V praxi sa najčastejšie stretávame s tým, že prevádzkovateľ sprístupní osobné údaje dotknutých osôb nepovolanej osobe, prípadne ich zverejní na verejne dostupnom mieste alebo stratí pracovný počítač a tak sa osobné údaje dotknutých osôb dostanú do rúk neoprávnenej osobe.

V prípade, že samotné porušenie ochrany osobných údajov nie je zo strany prevádzkovateľa riešené včas a primeraným spôsobom, môže takéto porušenie spôsobiť fyzickým osobám ujmu. Predmetná ujma môže mať majetkovú povahu (finančná strata, hospodárske znevýhodnenie, podvod a pod.) alebo nemajetkovú povahu (strata kontroly nad vlastnými osobnými údajmi, diskriminácia, poškodenie dobrého mena, krádež totožnosti, sociálne znevýhodnenie a pod.).

Okrem toho je bezpečnostný incident spojený s negatívny následkami aj pre prevádzkovateľa.

• Prevádzkovateľ je totiž povinný uvedenú skutočnosť bezodkladne nahlásiť príslušnému dozornému orgánu.¹ 
• V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov taktiež dotknutej osobe.²
• V neposlednom rade môže byť u prevádzkovateľa začatá kontrola z Úradu na ochranu osobných údajov a prípadne udelená pokuta.

Aby sa prevádzkovateľ vyhol týmto nepríjemným následkom, musí prijať bezpečnostné opatrenia, ktoré zabránia tomu, aby došlo k bezpečnostnému incidentu.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies. Celé video nájdete aj na našom YouTube.

Bezpečnostné opatrenia všeobecne 

Na to, aby prevádzkovateľ naozaj chránil osobné údaje a súkromie dotknutých osôb a vyhol sa tak hroziacim bezpečnostným incidentom, mal by najskôr uskutočniť analýzu bezpečnosti osobných údajov, ktoré spracúva. Na základe tejto analýzy by mal prijať opatrenia, ktoré zabránia bezpečnostným incidentom.

Pri hodnotení bezpečnosti je pritom nevyhnutné prihliadať na druh osobných údajov, ich povahu, význam, kontext a taktiež na výskyt potenciálnych bezpečnostných hrozieb. 

Vyššie spomenuté opatrenia, ktoré zabránia bezpečnostným incidentom, sa nazývajú bezpečnostné opatrenia.

Hlavným cieľom bezpečnostných opatrení je pritom zabrániť vzniku bezpečnostného incidentu vrátane zníženia nechcených následkov. 

Z uvedeného dôvodu je žiadané, aby každý prevádzkovateľ bezpečnostné opatrenia nielen prijal, ale aj neustále zlepšoval. Zlepšovanie je dôležité preto, že v kybernetickom priestore sa v súčasnosti rýchlo vyvíjajú rôzne formy útokov, ktoré spôsobujú nebezpečenstvo pre ochranu osobných údajov.

Vhodný výber bezpečnostných opatrení a ich zavedenie je pritom iný u každého prevádzkovateľa. Tento výber závisí od veľkosti konkrétnej firmy/organizácie, počtu zamestnancov, rozsahu údajov a spôsobu ich spracúvania.

Bezpečnostné opatrenia môžeme rozdeliť na technické a organizačné. 

Technické bezpečnostné opatrenia sú také, ktoré technicky ochraňujú osobné údaje pred ich neoprávneným sprístupnením tretím osobám. Tieto opatrenia sa využívajú na zabezpečenie ochrany údajov nielen vo fyzickom priestore, ale predovšetkým v kybernetickom priestore. 

Cieľom organizačných opatrení je zase využívanie osobných údajov len na účely, na ktoré je potrebné konkrétne údaje spracúvať. 

Medzi tieto opatrenia zaraďujeme napríklad prijatie smernice o ochrane osobných údajov, poverenie oprávnených osôb so spracúvaním osobných údajov, uzatvorenie zmluvy o poverení so spracúvaním osobných údajov s každým sprostredkovateľom, pravidelné školenia zamestnancov a pod..

Mnohé bezpečnostné opatrenia však obsahujú organizačné a technické prvky súčasne. Vzhľadom na to pri mnohých opatreniach nie je možné jednoznačne stanoviť, o ktorý druh opatrení ide. 

Preto ich ani my nebudeme deliť na technické a organizačné a v našom článku sa teraz pozrieme na niektoré vybrané bezpečnostné opatrenia. 

Vybrané bezpečnostné opatrenia 

Najčastejšie využívané bezpečnostné opatrenia sú:

• ochrana fyzických priestorov, 
• politika čistého pracovného stola,
• bezpečnosť osobných údajov pri práci s pracovnými zariadeniami,
• heslá do interných systémov a aplikácií.

Nižšie si k jednotlivým opatreniam povieme viac.

1. Ochrana fyzických priestorov 

Ochrana fyzických priestorov patrí medzi zásadné bezpečnostné opatrenia. Prevádzkovateľ by mal zaviesť určité pravidlá správania sa, ktoré zabezpečia ochranu fyzickým priestorov a tým aj bezpečnosť osobných údajov. 

Medzi základné pravidlá ochrany fyzických priestorov zaraďujeme nasledovné: 

• návštevníci prevádzkovateľa sa nesmú pohybovať v spoločnosti bez dohľadu prevádzkovateľa (navštívenej osoby), prípadne ním poverenej osoby, 
• stretnutia so zákazníkmi a inými osobami sa vykonávajú iba v nato určených miestnostiach, nie je povolené zamestnancovi prevádzkovateľa umožniť iným osobám prístup do kancelárií vrátane prístupu k pracovnému stolu, 
• ak nie je v kancelárii prevádzkovateľa prítomný žiadny zamestnanec, musí byť kancelária zamknutá,
• zamestnanec, ktorý odchádza z kancelárie posledný, je povinný pred opustením kancelárie skontrolovať, či sú uzamykateľné skrinky zamknuté a následne je povinný kanceláriu zamknúť.

2. Politika čistého pracovného stola

Prevádzkovateľ a jeho zamestnanci sú povinní dodržiavať tzv. clear desk policy (politiku čistého pracovného stola), v rámci ktorej platia určité pravidlá správania sa:

• každý zamestnanec prevádzkovateľa je povinný mať na pracovnom stole položené iba také dokumenty a doklady, ktoré používa pri svojej práci a po skončení je povinný tieto dokumenty uskladniť na miesto nato určené (t. j. nenechať ich na svojom pracovnom stole počas svojej neprítomnosti),
• dokumenty obsahujúce osobné údaje musí zamestnanec po skončení pracovnej činnosti (na konci pracovného dňa) uskladniť v na to určených uzamykateľných skriniach,
• dokumenty, s ktorými zamestnanec aktuálne pracuje musí odkladať tak, aby nemohli byť náhodne odpozerané neoprávnenou osobou (napr. položenie dokumentov „tvárou dole“  alebo umiestnenie dokumentu v nepriehľadnej obálke),
• listiny a dokumenty, ktoré už zamestnanec k svojej práci nepotrebuje, musí skartovať,
• predtým, ako zamestnanec opustí svoj počítač, skontroluje, či sa z počítača odhlásil, to pritom platí pri každom opustení počítača, aj keď len na chvíľu,
• zamestnanec nesmie počítač premiestňovať, odpájať a pripájať do siete, nesmie na ňom meniť jeho nastavenia, inštalovať a odinštalovať žiaden softvér,
• zamestnanec nesmie používať a šíriť nelegálne programy a zároveň kopírovať a distribuovať nainštalované programy,
• všetky pracovné dokumenty musí zamestnanec ukladať na pridelenom zariadení do pracovného adresára na serveri prevádzkovateľa,
• zamestnanec nesmie navštevovať webové stránky alebo používať on-line služby, ktoré nesúvisia s pracovnou činnosťou.

3. Bezpečnosť osobných údajov pri práci s pracovnými zariadeniami

V rámci zabezpečenia bezpečnosti pri práci sa opatrenia týkajú predovšetkým používania pracovných zariadení, elektronickej komunikácie a sociálnych sietí:

• súbory s osobnými údajmi a dôverné informácie zamestnanec ukladá do prenosného zariadenia iba v prípade, ak to je nevyhnutné a následne ich bezodkladne umiestni na server a zo zariadenia vymaže (napr. fotografiu v mobile),
• svoje zariadenia zamestnanec nesmie pripájať na verejné a nechránené siete (wifi, hotspoty a pod.),
• zamestnanec nepracuje s osobnými údajmi a dôvernými informáciami na verejnosti,
• za svoje pracovné zariadenie si zamestnanec zodpovedá sám a musí ho chrániť pred stratou, krádežou, poškodením a zneužitím,
• zamestnanec má pracovné zariadenia vždy pri sebe, uzamknuté vo svojom obydlí, pričom ich nesmie ponechať v aute, a to ani v kufri,
• stratu a krádež pracovných zariadení zamestnanec okamžite hlási osobe poverenej dohľadom ,
• osobné údaje a dôverné informácie na fyzickom médiu musia byť počas presunu uložené v šifrovanej forme, a to pomocou špecializovaného softvéru ,
• prístup na server prevádzkovateľa pri práci na diaľku (napr. pri práci z domu) je zamestnancovi umožnený iba prostredníctvom prideleného pripojenia cez VPN,
• zamestnanec je povinný pred skončením práce v príslušný deň vymazať download zložku,
• zamestnanec musí svoj počítač pri opustení kancelárie uzamknúť,
• zamestnanec nesmie pri spracúvaní osobných údajov používať a do pridelených prostriedkov informačných technológií prevádzkovateľa zapájať USB disky, CD nosiče alebo iné externé dátové zariadenia,
• zamestnanec nesmie na tieto média ukladať žiadne dokumenty, ktoré obsahujú osobné údaje,
• všetky dokumenty, ktoré obsahujú osobné údaje, je zamestnanec povinný okamžite zobrať z tlačiarne,
• dokumenty obsahujúce osobné údaje alebo iné dáta spracúvané prevádzkovateľom v listinnej alebo elektronickej podobe nesmie zamestnanec preniesť mimo priestorov spoločnosti,
• na elektronickú komunikáciu zamestnanec používa iba e-mailové adresy, ktoré mu prevádzkovateľ pridelil,
• osobné údaje nesmú byť súčasťou textu emailovej správy – osobné údaje musia byť umiestnené v zamknutom súbore v prílohe emailovej správy, ktorý je chránený heslom,
• zamestnanec je povinný dodržiavať interný manuál prevádzkovateľa pre emailovú komunikáciu,
• e-mailovou a ani inou komunikáciou zamestnanec neotravuje iných používateľov a adresátov, v komunikácii nesmie nepoužívať vulgarizmy a ani znevažujúce výrazy,
• je zakázané posielanie a otváranie príloh, pripojených súborov v elektronickej pošte (vrátane externých linkov alebo odkazov umiestnených v texte mailu), ktoré majú podozrivý charakter (napríklad sú pre zamestnanca úplne neznáme, nepozná odosielateľa, odosielateľ je podozrivý a pod.),
• keď zamestnanec obdrží elektronickú správu s podozrivým obsahom, je povinný to bez zbytočného odkladu nahlásiť prevádzkovateľovi, alebo ním poverenej osobe,
• prostredníctvom sociálnych sietí, ktoré môže zamestnanec používať iba počas prestávky, nesmie realizovať pracovnú komunikáciu a počas používania sociálnych sietí nesmie používať pracovný e-mail a nie je do neho prihlásený.

4. Heslá do interných systémov a aplikácií 

Posledným bezpečnostným opatrením, ktoré priblížime, je opatrenie zamerané na pravidlá správania sa v súvislosti s heslami do interných systémov a aplikácií:

• v každom systéme a aplikácii používa zamestnanec iné heslo (jedno heslo pre prístup k počítaču, jedno heslo pre prístup do každej aplikácie – outlook, databáza a pod.),
• prednastavené heslá, ktoré sú zamestnancovi odovzdané, musí okamžite po prihlásení zmeniť,
• každé heslo musí mať min. 14 znakov, môže obsahovať malé a veľké písmená, číslice a špeciálne znaky,
• žiadne z hesiel zamestnanca nesmie byť rovnaké,
• heslá obsahujúce mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení sú nespoľahlivé,
• heslá zamestnanca, ktoré používa v práci, nesmie používať aj pre súkromné aplikácie a zariadenia,
• heslá si zamestnanec musí meniť 1x za 4 mesiace a heslo do outlooku aspoň 1x za 6 mesiacov,
• v žiadnom prípade zamestnanec nemôže pri zmene hesiel použiť to isté heslo, ako mal naposledy,
• heslá zamestnanec nesmie mať uchované v listinnej podobe (na papieri) a ani uložené v počítači,
• heslá v žiadnom prípade zamestnanec neposiela cez nešifrované elektronické kanály,
• zamestnanec si heslá musí chrániť, pretože za ich utajenie si zodpovedá sám,
• svoje heslo nesmie zamestnanec s nikým zdieľať, a to ani s iným zamestnancom prevádzkovateľa, pričom každý zamestnanec musí mať vlastné heslo na prístup do systému a aplikácií.

Na prvý pohľad sa môže zdať, že zavedenie bezpečnostných opatrení je nesplniteľnou úlohou. Pravdou však je, že každý prevádzkovateľ spracúva osobné údaje iným spôsobom a tomu musí prispôsobiť aj svoje bezpečnostné opatrenia.

Preto vyššie uvedené bezpečnostné opatrenia nie je nutné implementovať všetky, ale podľa povahy spracúvania osobných údajov a slabých miest v súčasných opatreniach si vybrať také opatrenia, ktoré prispejú k zvýšeniu ochrany osobných údajov.

1. čl. 33 Nariadenia GDPR  ↩

2. čl. 34 Nariadenia GDPR ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb