Zpět

Obecné principy zabezpečení osobních údajů v elektronické podobě

30.05.2018 Autor: Ing. Miroslav Bulla Kategorie: Ochrana osobních údajů (GDPR)

Velmi důležitým faktorem při vedení osobních údajů v elektronické podobě je zajištění bezpečnosti při evidenci osobních údajů a při přenosu osobních údajů prostřednictvím elektronické komunikace k příslušným institucím (hlášení zdravotním pojišťovnám, e-Podání do ČSSZ). Je třeba zajistit, aby tyto údaje nemohly být zneužity neoprávněnou osobou.


Existuje řada nástrojů k zajištění bezpečnosti osobních údajů v elektronické podobě, které zajišťují naplnění příslušných ustanovení dosavadních i nových předpisů o ochraně osobních údajů:

  • Základem je tzv. autentizace, tj. ověření identity (totožnosti) uživatele při přihlašování do personálního a mzdového systému, ve kterém jsou osobní údaje evidovány. To se provádí především prostřednictvím přístupových hesel, různých certifikátů, čipů atd. Správce systému pak dále stanoví přístupová práva pro jednotlivé uživatele systému.
  • Především při přenosu dat (elektronickém podání) je bezpečnost (integrita zprávy, utajení údajů) z počítače uživatele na příslušný server (OSSZ, ZP apod.) zajišťována šifrováním, data jsou také zpravidla opatřena elektronickým podpisem. Jde o to, aby data během přenosu nemohl nikdo nepovolaný přečíst. Elektronické podání se zpravidla u podávajícího automaticky šifruje pomocí šifrovacího certifikátu a dalšími bezpečnostními prvky, aby byla zajištěna co nejvyšší úroveň zabezpečení. Dešifrovat (přečíst) data může pouze příjemce zprávy (ČSSZ, zdravotní pojišťovny).
  • Data personálního a mzdového systému je třeba mít na datovém serveru v počítačové síti umístěna tak, aby nebyla čitelná za pomoci jiných aplikací. Je třeba také zajistit, aby byl znemožněn převod databází do jiné instalace stejného personálního a mzdového systému neoprávněným uživatelem (např. zaheslováním). Dále, aby zde nebyly volně přístupné různé bez problémů čitelné soubory v XML či PDF tvaru. Databáze tedy musí být maximálně zabezpečena proti případnému zcizení či zneužití (šifrována, zaheslována apod.).
  • Je vhodné šifrovat či zaheslovat i zálohy dat z personálního a mzdového systému, aby tyto zálohy nemohly být obnoveny u neoprávněného uživatele (např. v jeho instalaci personálního či mzdového systému).
  • Podobně je vhodné ochraňovat heslem i výstupní PDF dokumenty obsahující osobní údaje zaměstnanců, např. při jejich zasílání e-mailem atd. (výplatní pásky, ELDP).
  • Samozřejmostí je dodržování všeobecných bezpečnostních zásad, jako je pracovat na důvěryhodném PC, ke kterému nemají přístup jiní uživatelé, používat kvalitní a pravidelně aktualizovaný antivirový program, provádět aktualizace operačního systému a internetového prohlížeče a dodržovat další obecná pravidla pro práci s PC. Tj. nikomu neprozrazovat své přístupové kódy, pokud možno, nikam si přístupové kódy nezaznamenávat, a když už, tak odděleně uživatelské jméno a heslo.

Tyto jednotlivé nástroje k zajištění bezpečnosti osobních údajů je přitom nutné vhodně kombinovat, resp. používat většinu z těchto nástrojů či jejich obdobu. Uživatel musí být dostatečně opatrný a dodržovat základní bezpečnostní pravidla pro práci s PC a s internetem. Pokud v praxi někdy dojde k zneužití dat neoprávněnou osobou či úniku dat, bývá to většinou způsobeno právě porušením základních bezpečnostních pravidel na straně uživatele.

Příklady možných rizik při elektronické evidenci a elektronickém přenosu osobních údajů:

  • Špatné nastavení uživatelských práv (oprávnění) v účetním SW s modulem mezd, resp. mzdového SW, např. finanční účetní se pak dostane i k osobním údajům ostatních zaměstnanců (personalistika a mzdy).
  • V praxi jsou často uživatelské přístupy (přihlašovací jméno + heslo) do systému jednoho zaměstnance z důvodu zajištění zastupitelnosti známy i dalším uživatelům (příležitostným uživatelům) systému. Rovněž jsou v praxi mnohdy používána příliš slabá a snadno prolomitelná hesla typu „1234“, „heslo“, jména apod.
  • Ukládání různých sestav v čitelném tvaru (např. v PDF) na veřejná místa v síti (na serveru), tj. přístupná i osobám, které přitom nemají oprávnění k nahlížení do osobních údajů.
  • Ne zcela zabezpečená jsou rovněž podání zasílaná e-mailem přílohou v PDF tvaru bez zaheslování a zašifrování (výplatní pásky, e-Podání ELDP - Evidenční list důchodového pojištění, ONZ - Oznámení o nástupu do zaměstnání, PVPOJ - Přehled o výši pojistného aj.).
  • Velkým rizikem je samozřejmě porušování pravidla mlčenlivosti ze strany uživatelů přicházejících do styku s osobními údaji.
  • Vědomé stažení osobních údajů zaměstnanců za účelem jejich zneužití některým z uživatelů systému. Postupy, jak tato i další rizika co nejvíce minimalizovat, resp. jim předcházet, jsou naznačeny v dalších částech tohoto textu.

Zdroj: Práce a mzda 2018/5

Jednotlivé díly seriálu Osobní údaje v elektronické podobě a GDPR

   

Související kurzy

Školení Před a po GDPR - rozdíly mezi stávající a novou právní úpravou 675 Kč / os

Ochranu osobních údajů v současné době upravuje zákon o ochraně osobních údajů (dále jen „ZOOÚ“). V souvislosti s hojně diskutovanou změnou právní úpravy na poli osobních údajů na evropské úrovni dochází také ke změně tuzemského zákona. Poté, co nabude účinnosti obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), bude rovněž český ZOOÚ zrušen a evropská úprava bude promítnuta do nového zákona o zpracování osobních údajů (dále jen „ZOZOÚ“), na jehož účinnost ještě čekáme. Zásadní změny, které se dotknou české právní úpravy, a rozdíly mezi stávající praxí a praxí po účinnosti GDPR budou obsahem tohoto školení.

Další články z kategorie
Ochrana osobních údajů (GDPR)

Compliance a ochrana osobních údajů

19.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.

Zpracování osobních údajů uchazečů o zaměstnání

26.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Zpracovávání osobních údajů během pracovního poměru

31.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a sledování zaměstnanců pomocí kamer a GPS ve služební...

14.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a monitoring aktivit zaměstnanců na internetu

23.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková