Článek 32 Obecného nařízení (GDPR) stanoví povinnost správců a zpracovatelů s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku. Při posuzování vhodné úrovně zabezpečení se zohlední především rizika, která představuje zpracování, náhodné, nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů či neoprávněný přístup k nim.
Logování
Uvedené povinnosti lze plnit různým způsobem. K těm nejspolehlivějším a nejčastěji využívaným patří logování přístupů. Při logování se zaznamenávají data za účelem jejich následné analýzy. Zachycuje aktivitu systémů, aplikací a uživatelů a umožňuje zpětně dohledat aktivity, které proběhly v systémech, a provádět tak jednorázové nebo průběžné audity. Lze provádět podrobné sledování, aktivovat výstrahy a zajistit podrobnou analýzu. To je důležité pro odhalování narušení dat a minimalizaci jejich dopadů – bezpečnostních incidentů. K logování může docházet například při provozu na síťových prvcích. Je možné také monitorovat administrativní úkony a přístup k prostředkům zpracování. Důležité je logování přístupů k osobním údajům v aplikacích, přístupů k dokumentům, změnám v konfiguraci přístupů apod.
Úřad pro ochranu osobních údajů uvedl, že logování přístupů k osobním údajům není v obecném nařízení direktivně stanoveno jako povinnost správce, přesto se stává standardní ochranou a nezbytnou součástí zabezpečení osobních údajů. Dále kontrolující uvedli, že volba správce nevést logování přístupů k osobním údajům je spojena s větší odpovědností za přijatá opatření k zabezpečení údajů. V případě, že dojde k neoprávněnému přístupu k osobním údajům, popřípadě k jejich zneužití a správce nebude v daném případě schopen prokázat, kdo, kdy a za jakým účelem k osobním údajům neoprávněně přistoupil, bude odpovídat za vzniklé protiprávní následky v plném rozsahu.1)
Odpovědnost za IT systém
Jak již bylo uvedeno výše, při zpracování osobních údajů pomocí výpočetní techniky vznikají vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití. Je tomu proto, že výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat (zejména jejich strukturované uspořádání a analýzu podle zadaných kombinací kritérií), jakož i jejich snadné a bez zvláštních opatření následně jen obtížně zjistitelné kopírování, včetně kopírování nepovoleného.
„Ve své podstatě jsou to právě informační systémy provozované pomocí výpočetní techniky, jež svojí podstatou jsou typický potenciální objekt zneužití osobních údajů v masovém měřítku, a to způsobem, co do komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění s sebou navíc nenese nikterak nepřiměřené náklady. Je-li automatizované zpracování osobních údajů využíváno, nemůže činit za současného stavu techniky problém implementovat do používaného systému na zpracování osobních údajů další vedlejší funkci – zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah. Takovéto opatření má vysoký preventivní účinek proti zneužití údajů z informačního systému, neboť každý, kdo s ním oprávněně pracuje, si musí být vědom, že je možno zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval a zda se tak dělo oprávněně.“
2) I Nejvyšší správní soud rozhoduje v tom smyslu, že zpracování pomocí výpočetní techniky je rizikovější než zpracování manuální a zejména u velkých systémů, které zpracovávají osobní údaje ve velkém rozsahu, je na místě logování zavést, a to právě pro možnost zpětné kontroly.
Podle Nejvyššího správního soudu uvedené nelze bagatelizovat, neboť logování na jedné straně přispívá k zamezení nedůvodnému přístupu k osobním údajům (v případě zdravotnické dokumentace dokonce k citlivým osobním údajům) a na straně druhé dává správci osobních údajů možnost řádně a bez dalšího kontrolovat, zdali nedochází již jen k neoprávněnému čtení či jinému zacházení s osobními údaji.
„Na odpovědnosti správce pak nemůže nic měnit, že není vývojářem předmětného informačního systému, neboť bylo jeho povinností zajistit, aby jím využívaný systém splňoval zákonné požadavky. Úpravu systému, aby se tato možnost stala povinností, nelze dle soudu považovat za nesplnitelný technický požadavek“
.
3) Jak již bylo uvedeno, článek 32 Obecného nařízení (GDPR) uvádí, že bezpečnostní opatření jsou stanovena s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.
Úřad pro ochranu osobních údajů také konstatoval, že s ohledem na malá rizika při zpracování osobních údajů a malý počet zaměstnanců není vždy nutné nezavedení logování posoudit jako porušení čl. 5 odst. 1 písm. f), resp. čl. 32 Obecného nařízení (GDPR).
Nejnovější rozhodnutí Nejvyššího správního soudu
V jednom ze svých posledních rozhodnutí Nejvyšší správní soud uvedl, že: „
na zpracovatele a správce osobních údajů však nelze přenášet neomezenou odpovědnost za jakoukoliv (mnohdy i protiprávní, či dokonce trestnou) činnost jiných subjektů. Tento požadavek se obzvlášť silně projevuje právě v oblasti kybernetických útoků.“
4) Soud dále uvedl, že správce osobních údajů musí být připraven na možnost takového protiprávního jednání, stěží lze očekávat, že jím přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok.
„V praxi to pak znamená, že přestupku podle citovaného ustanovení se dopustí osoba, která nepřijme dostatečná opatření za účelem ochrany osobních údajů, a to i v situaci, kdy k neoprávněnému nakládání s těmito údaji nedojde. Častější variantu pak bude představovat situace, kdy k negativnímu následku v podobě neoprávněného nakládání s údaji dojde. V takovém případě je nutné však zabývat se tím, jaká opatření dotčený subjekt přijal a dodržoval. Byla-li opatření nedostatečná, nastupuje odpovědnost za uvedený přestupek. Pakliže však opatření odpovídají kritériím vyplývajícím z čl. 24 odst. 1 a čl. 32 odst. 1 obecného nařízení, a přesto k porušení bezpečnosti osobních údajů dojde, nejsou znaky přestupku podle § 45 odst. 1 písm. h) naplněny a odpovědnost za přestupek nevzniká. Za náležitá je přitom potřeba (s ohledem na odkazovanou evropskou úpravu) považovat především taková opatření, která zajišťují přiměřenou úroveň ochrany, a to s ohledem na stav techniky a náklady na jejich provedení. Přiměřenost a vhodnost opatření je pak nezbytné vnímat rovněž jako kategorii, jejíž obsah se bude také odvíjet od rozsahu a obsahu zpracovávaných údajů.“
5) Nejvyšší správní soud nemá pochyb o tom, že správce osobních údajů má předvídat i případné riziko kybernetického útoku. To však neznamená, že musel být schopen se jakémukoliv obdobnému jednání skutečně ubránit.