11.7 Nakládání s nosiči údajů
Bezpečnostní opatření by se měla věnovat i otázce uchovávání a správy nosičů dat a jejich přenášení. Je tedy třeba rozlišit následující základní typy opatření:
• opatření týkající se správy nosičů,
• opatření, která mají zabránit, aby nosiče byly čteny, kopírovány, pozměňovány nebo
vyřazovány neoprávněnými osobami,
• opatření týkající se přenosů informací obsažených na nosičích, resp. týkající se transportů
nosičů s informacemi.
Obecně řečeno, uvedená opatření mají především zabránit neoprávněnému přístupu k nosičům, a tedy i tomu, aby během přepravy a skladování nosičů mohlo být s údaji neoprávněně nakládáno.
Základní opatření týkající se správy nosičů používaných správci, a to jak v případech, kdy jsou údaje používány, tak i tehdy, přestanou-li být používány, nebo má-li se přistoupit k jejich opravě, lze shrnout takto:
• zajištění popisu obsahu nosiče. Je třeba zajistit, aby bylo možno identifikovat druh informací
obsažených na nosiči;
• řádná inventarizace a uchovávání nosičů. Nosiče informací, které budou obsahovat osobní
údaje, musí být inventarizovány a skladovány na místě s přístupem omezeným pouze na
personál, který je k tomuto oprávněn bezpečnostním dokumentem;
• aplikace opatření, která mají zabránit znovunačtení informací z opotřebených nosičů
určených k vyřazení.
K tomu lze také požadovat aby, pokud bude některý nosič opotřebený nebo opakovaně používaný, byla před jeho vyřazením přijata nezbytná opatření tak, aby bylo zabráněno jakémukoli pozdějšímu načtení informací uchovaných na tomto nosiči. Pro papírové nosiče je možno stanovit, že jakékoli vyhotovení složky s osobními údaji určenými k likvidaci musí být spolehlivě zničeno tak, aby nebylo možné tyto údaje znovu získat.
Dále je třeba zabránit čtení nebo přístupu k osobním údajům obsaženým na nosičích v případě, že tyto nosiče budou za jakýmkoli účelem vynášeny mimo místnosti, kde jsou uchovávány.
Je tedy třeba zavést kontrolu nosičů na vstupu a výstupu z místností. K tomu lze požadovat i zřízení dvou registrů pro záznam o vstupujících a vystupujících nosičích, kde mají být zachycovány informace o druhu nosiče, datu, vysílající nebo přijímající osobě, počtu nosičů, druhu informace obsažené na nosiči, formě zasílání a odesílání a osobě odpovědné za přijetí či odeslání, která bude mít náležité oprávnění.
Ve všech případech a pro všechna zpracování se požaduje, aby k výstupu nosičů bylo předem vydáno příslušné oprávnění. V případě, že se bude jednat o zpracování citlivých údajů nebo jiná zpracování s vyšším stupněm dopadu vůči subjektu údajů, je možno požadovat, aby se distribuce nosičů prováděla se zašifrovanými údaji, nebo musí být použit jakýkoli jiný mechanismus, který zaručí, že přenášená informace nebude během přepravy čitelná a ani s ní nebude manipulováno.
Ve světle předchozího lze říci, že informační systém, který má zajišťovat odpovídající vyšší stupeň zabezpečení osobních údajů, především, bude-li se jednat o automatizované zpracování osobních údajů, bude muset v každém případě respektovat uvedené požadavky na správu nosičů (se zvláštním zřetelem na opatření pro inventarizaci a znehodnocení). Rovněž
je nutné registrovat vstupující a vystupující nosiče a šifrovat údaje, pokud by jejich prozrazení mohlo narušit ve větší míře soukromí subjektu údajů.
11.8 Další možná doplňková opatření speciálnější povahy
V souvislosti se zajištěním řádné úrovně fyzické bezpečnosti dat je v zásadě žádoucí v odpovídající míře realizovat i v následujícím textu popsaná opatření.
1. Zajištění odpovídající reakce na narušení normálního chodu.
Za narušení normálního chodu je třeba považovat jakoukoliv anomálii oproti
požadovanému stavu, která má vliv na vlastní proces zpracování nebo by se nějakým
způsobem mohla týkat bezpečnosti osobních údajů.
Pro případ, že takováto situace nastane, je třeba mít připravena opatření, která by:
– zaručila, aby užívané systémy mohly být v případě poruchy rychle obnoveny (např.
restart systému a případná obnova dat),
– zaručila, aby funkce systému nevykazovaly poškození a aby případné chyby byly
okamžitě označeny, dále aby uložené údaje nebyly zkresleny chybným fungováním
systému.
Prvotním úkolem ovšem je vytýčit v souvislosti s konkrétním zpracováním osobních údajů:
– základní modelové případy narušení běžného stavu a možné reakce na ně,
– formu jejich zdokumentování s výslovnou povinností pro toho, kdo je zjistí, podat
okamžitě hlášení osobě odpovědné za zpracování údajů.
Je možné doporučit zavedení deníku narušení pro každé zpracování, ve kterém by bylo
vyznačeno, k jakému typu narušení došlo, čas události, kdo je osoba podávající hlášení,
které osobě bylo hlášení podáno, a případné důsledky tohoto narušení.
V případech zpracování, která vyžadují zajištění vyššího stupně bezpečnosti, je třeba
zaznamenat do deníku postupy realizované pro opětovné získání údajů s označením osoby,
která tyto postupy vykonala a s uvedením, o které údaje se jednalo, případně zda bylo nutno
v postupu obnovy dat tyto údaje ručně vložit. Netřeba ovšem připomínat, že výkon
jakéhokoliv postupu obnovy údajů vyžaduje autorizaci osobou odpovědnou za zpracování.
Pokud se jedná o postup v případě obnovy údajů, je v každém případě vhodné učinit o něm
přiměřený záznam.
2. Zajištění zálohovací kopie.
Postupy, ustanovené pro vyhotovení zálohovacích kopií zpracovávaných osobních údajů,
by měly zaručit obnovu dat do stavu, v jakém se nacházely před jejich ztrátou nebo
zničením. Pořízení zálohovací kopie tedy je logickým doplňkem toho, cojsme uvedli v
souvislosti s reakcí na narušení systému.
Kopie musí být uchovávány a pořizovány tak, aby byla zaručena jejich praktická
využitelnost.
Je možno vyžadovat pravidelná prověřování stavu kopií a jejich výmazu, pokud přestaly
být potřebné (hlavně z důvodu jejich nahrazení pozdější kopií).
Kopie by měly být uchovávány na místě odděleném od místa, kde probíhá vlastní
zpracování osobních údajů, a to zejména v případech vedení složitých informačních
systémů. To by umožnilo eliminovat nenávratné zničení souborů v důsledku některých
událostí vedoucích k nenapravitelným škodám na systému (např. požár).
Dále je žádoucí i stanovení určitých podmínek pro uchovávání kopií a jejich pravidelnou
obnovu. Je tak třeba určitým způsobem zohlednit i proces postupného vkládání údajů, a tedy
se vyrovnat s logickým procesem postupného zastarávání těchto dat (viz kap. II. 8 Přesnost
osobních údajů).
3. Zkušební provoz.
Jedná se o další doplňkové opatření, použitelné pro dosažení vyšší úrovně bezpečnosti dat,
které umožní preventivní odstranění nedostatků v zabezpečení informačního systému již
během zkušební fáze provozu.
Nutno ovšem připomenout, že během zkušebního provozu, který předchází zavedení nebo
úpravě informačních systémů zpracovávajících osobní údaje, by bylo zásadně
kontraproduktivní užívat skutečná data.
4. Osoba pověřená bezpečností.
U složitějších systémů je vhodné, aby jeden ze zaměstnanců samotné organizace byl
pověřen dohledem nad plněním bezpečnostních opatření (bezpečnostní ředitel). Tato osoba
bude zodpovědná za bezpečnost údajů uložených v informačním systému, zvláště pak bude
povinna konat a přijímat potřebná opatření v případě, že by došlo k porušení bezpečnosti
systému. Takováto funkce, jak už jsme víceméně naznačili, je zpravidla vyžadována pro
zpracování osobních údajů vyžadujících vyšší stupeň zabezpečení. Nicméně třeba
upozornit, že pracovník zodpovědný za bezpečnost sice dohlíží na správný chod opatření,
ale odpovědnost vůči subjektu údajů v případech selhání bezpečnosti náleží primárně
správci jako takovému, aniž by tím ovšem byly dotčeny případné interní důsledky takového
selhání.
5. Audit bezpečnosti.
Dalším z možných opatření je podrobení systému, ve kterém se uchovávají osobní údaje,
pravidelným bezpečnostním auditům, i když toto opatření je opět aplikovatelné spíše pro
případy s potřebou vyšší úrovně zabezpečení. Předmětná opatření pak je možno
charakterizovat následujícím způsobem:
– systém auditu může být interní nebo externí, nicméně osoba provádějící kontrolu musí
vždy požívat dostatečnou nezávislost nebo autonomii, aby mohla provést potřebnou
analýzu.
Např. u velkých organizací by se audit mohl vykonávat jiným oddělením, než jaké
provádí zpracování dat;
– audit by měl ověřit plnění bezpečnostních opatření stanovených zákonem, jakož i
platných předpisů a pokynů, které k tomu ustanovil správce souboru;
– audit by měl být vykonán minimálně každé dva roky anebo po každé zásadní změně
systému;
– auditorská zpráva se má vyjádřit k vhodnosti zavedených opatření a kontrol z hlediska
toho, co pro ochranu osobních údajů požadují platné zákony. Zjištěné nedostatky mají
být označeny spolu s návrhem nápravných nebo doplňkových opatření;
– auditorská zpráva bude podrobena rozboru vedoucího organizace, případně osoby
zabývající se bezpečností dat, který předloží organizaci závěry auditu, aby tato mohla
přijmout odpovídající nápravná opatření.
