Úvod
Tato nařízení pomáhají sjednotit a provést nejdůležitější ustanovení obsažená v dokumentaci o ochraně osobních údajů, která jsou rovněž vyžadována zákonem. Platí pro zaměstnance na plný úvazek a spolupracovníky s platným oprávněním ke zpracování osobních údajů uděleným správcem údajů. Předpisy byly vytvořeny v návaznosti na požadavky obsažené v zákoně ze dne 10. května 2018 o ochraně osobních údajů (Sb. z roku 2018, částka 1000, 1669, z roku 2019, částka 730.) a v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 a v nařízení ministra vnitra a správy ze dne 29. dubna 2004. o dokumentaci zpracování osobních údajů a technických a organizačních podmínkách, které musí splňovat zařízení a informační systémy používané pro zpracování osobních údajů (Sb. m. s., 2004, č. 100, bod 1024), ve vztahu k čl. 68 a 69 odst. 1 bod 3 zákona ze dne 27. srpna 2009 o veřejných financích (konsolidované znění: Sbírka zákonů 2013, položka 885).
1. Udělování oprávnění a práv
1. Správce údajů jednající současně jako správce informačního systému uděluje veškerá oprávnění k přístupu do systému.
2. Před udělením oprávnění ke zpracování osobních údajů musí kdokoli:
(a) být seznámen s těmito předpisy,
b) absolvovat potřebné školení,
c) podepsat prohlášení o zachování důvěrnosti a být si vědom souvisejících povinností.
3. Oprávnění ke zpracování osobních údajů v listinné podobě se uděluje pro následující účely:
-
Zpracování osobních údajů pro účely související s činností správce je zákonné, pokud byly údaje získány od subjektu údajů, a přípustné, pokud je nezbytné pro výkon práva nebo splnění povinnosti vyplývající z právního předpisu.
-
Pokud osobní údaje nebyly získány od subjektu údajů, je jejich zpracování zákonné, pokud tak stanoví zvláštní předpis.
-
Posouzení nezbytnosti zpracování osobních údajů pro naplnění oprávněných účelů správce by mělo být provedeno případ od případu.
-
Zpracování údajů pro jiný účel, než pro který byly shromážděny, je přípustné, pokud neporušuje práva a svobody subjektu údajů a pokud je prováděno za účelem výkonu oprávnění nebo plnění povinnosti vyplývající z právního předpisu.
4. Pokud je povolení uděleno pro systém archivace v informačním systému, přidělí správce tohoto systému osobě v systému individuální a jedinečný identifikátor.
5. Pokud je oprávnění ke zpracování osobních údajů z jakéhokoli důvodu zrušeno, oprávnění přidělená v počítačovém systému dotčené osobě se zablokují.
6. Správce systému je osobně odpovědný za evidenci přidělených oprávnění v informačním systému a je povinen sledovat a dohlížet na jejich soulad se skutečným stavem.
7. Je třeba si uvědomit, že každý, kdo má přístup do místnosti, kde je instalováno zařízení IT systému, může způsobit poškození systému nebo může mít přístup k informacím zobrazeným na monitoru nebo k tiskovým výstupům. Hrozbu pro systém může představovat také jakákoli jiná osoba, např. podpůrný personál, technici, konzultanti atd. s dostatečnými dovednostmi a znalostmi pro přístup k síti.
8. Místnosti, v nichž jsou umístěny počítačové pracovní stanice, musí být: a) uzamčeny, pokud se v nich nikdo nenachází; b) vybaveny trezory nebo jinými schránkami pro ukládání dokumentů. Instalace zařízení systému a sítě ICT probíhá s vědomím a pod kontrolou správce informační bezpečnosti, který je rovněž odpovědný za podmínky uvedení do provozu, skladování, provozování a vyřazení každého zařízení.
2. Zásady používání hesel
1. Heslo pro přístup do informačního systému se skládá nejméně z 8 znaků (velká a malá písmena a číslice nebo speciální znaky).
2. Heslo pro přístup do informačního systému se mění nejméně každých 30 dní a okamžitě, pokud existuje podezření, že heslo mohlo být prozrazeno.
3. Uživatel systému může v případě potřeby při práci v aplikaci změnit své heslo.
4. Změnu hesla provádí uživatel automaticky.
5. Hesla nesmí být běžně používaná slova, zejména by se jako hesla neměla používat následující slova: data, křestní jména, příjmení, iniciály, registrační čísla automobilů, telefonní čísla.
6. Uživatel se zavazuje uchovávat hesla v tajnosti, a to i po uplynutí jejich platnosti; zejména je zakázáno ukládat hesla otevřeně na místech, která k tomu nejsou určena, nebo je předávat dalším osobám.
3. Používání informačního systému
1. IT vybavení se skládá ze stolních počítačů, síťových tiskových zařízení a serverových stanic.
2. Uživatel systému vykonává veškeré práce potřebné pro efektivní a bezpečnou práci na pracovní stanici /také pomocí pracovní stanice/. Je povinen dodržovat nezbytné bezpečnostní podmínky, zejména dodržovat postupy pro přístup do systému a ochranu osobních údajů. Osoba používající počítačový systém
(a) je povinna používat zařízení následujícím způsobem: v souladu s jeho určením, způsobem, který je v souladu s přiloženým návodem k použití, a chránit zařízení před zničením, ztrátou nebo poškozením,
b) je povinen neprodleně informovat správce tohoto systému o každém zničení, ztrátě nebo poškození svěřeného zařízení,
(c) nesmí do počítačového systému svévolně instalovat nebo používat žádný software, který nebyl předem schválen společností ASI, ani se pokoušet o prolomení nebo získání administrátorských práv v tomto systému, a je zakázáno ripovat na pevný disk počítače a spouštět jakékoli nelegální programy a soubory stažené z neznámého zdroje (nelegálního původu). Takové soubory by měly být stahovány pouze se souhlasem správce údajů v každém případě a pouze v odůvodněných případech, pokud to nepovede k porušení zákona.
(d) nesmí svévolně manipulovat s hardwarem, přemisťovat jej, otevírat (demontovat), instalovat další zařízení (např. pevné disky, paměťové karty) nebo připojovat k systému IT jakákoli neschválená zařízení (včetně soukromých zařízení, a to ani za účelem pouhého nabíjení baterií těchto zařízení).
3. Antivirová politika V souvislosti s antivirovou ochranou se uplatňují následující doporučení: a) nepoužívat na pracovní stanici jiný software než ten, který doporučil správce systému; b) neinstalovat freeware ani shareware; c) pravidelně aktualizovat virovou databázi nainstalovaného antivirového softwaru; d) před použitím jakéhokoli paměťového média zkontrolovat, zda se na něm nenachází počítačový virus.
4. Zásady čisté obrazovky
1. Politika čisté obrazovky, tj. přijetí všech opatření k zajištění toho, aby neoprávněné osoby neměly přístup k obsahu zobrazovanému na monitorech nebo obrazovkách notebooků, na nichž jsou uložena data zákazníka.
2. Osoba oprávněná používat IT systém je povinna ručně aktivovat heslem chráněný spořič obrazovky pokaždé, když ponechá IT systém byť jen na okamžik bez dozoru.
3. Je zakázáno pořizovat snímky obrazovek IT systému, na kterých jsou zobrazeny údaje, a také odesílat takové informace mimo organizaci bez souhlasu správce tohoto systému.
4. Každý, kdo je oprávněn používat IT systém, je povinen:
(a) umístit monitory a obrazovky notebooků tak, aby obsah na nich zobrazený nebyl viditelný ve vztahu k oknům i vstupním dveřím prostor, v nichž jsou umístěny,
(b) v případě, že jsou přenosné počítače provozovány mimo prostor pro zpracování dat, např. na letištích, nádražích, v konferenčních místnostech a na jiných veřejných místech, zajistit diskrétnost a ochranu tam zobrazovaných údajů,
c) dohlížet na nepovolané osoby, které se zdržují v prostoru zpracování údajů.
5. Zásady čistého stolu a čistého tisku
1. Politika čistého stolu, tj. zajištění toho, aby po ukončení práce byly všechny dokumenty obsahující osobní údaje mimo dosah nepovolaných očí a rukou.
2. Pokud je místnost vybavena nábytkem nebo uzamykatelnou skříní, před ukončením práce skříně uzamkněte, předtím do nich uložte všechny citlivé údaje a dokumenty a klíče uložte na bezpečné místo, aby k nim neměly přístup neoprávněné osoby.
3. Každý, kdo naposledy opouští prostor pro zpracování dat, by měl zkontrolovat, zda jsou všechna okna zavřená a zda jsou v provozu všechny další bezpečnostní prvky, např. poplašný systém. Ten by měl být zapnutý, dveře by měly být zamčené a všechny ostatní bezpečnostní systémy aktivované.
4. Je zakázáno ponechávat dokumenty a výtisky obsahující osobní údaje v prostorách, kde se nacházejí zařízení, jako jsou tiskárny, kopírky, skenery, bez dozoru. Veškeré dokumenty, které jsou chybně vytištěny nebo které jsou určeny k vyřazení, musí být okamžitě zničeny pomocí skartovaček nebo kontejnerů na likvidaci důvěrné dokumentace.
5. Pokud je to nutné a nastane situace, kdy jsou tištěné dokumenty s osobními údaji přepravovány mimo prostor zpracování, musí se tak dít způsobem, který zajistí jejich důvěrnost, tj. dokumenty musí být zakryty a chráněny proti náhodné ztrátě a přístupu neoprávněných osob.
6. Sdílení osobních údajů
1. Zpracovatel osobních údajů si při telefonickém poskytování údajů musí být jistý totožností svého volajícího, v případě pochybností o totožnosti musí být správce upozorněn na problém při zjišťování totožnosti volajícího. Pokud ústní sdělení údajů nezaručuje důvěrnost, mělo by být použito písemné sdělení (k nahlédnutí).
2. Osobní údaje mohou být subjektu údajů nebo jiné osobě s jeho souhlasem zpřístupněny pouze pro důkazní účely, a to postupem podle výše uvedeného odstavce.
3. Při zpřístupňování osobních údajů mimo pracoviště, kde je nelze dostatečně chránit (např. na veřejně přístupných místech), musí být zaručena maximální důvěrnost údajů.
4. Riziko vyzrazení osobních údajů nebo jiných informací o zavedených bezpečnostních opatřeních neoprávněným osobám musí být zmírněno přijetím různých opatření, která jsou pro tento účel přiměřená. Mezi rizikové situace patří např:
(a) žádost o poskytnutí údajů o zavedených bezpečnostních opatřeních ze strany osob, které se vydávají za jiné osoby (krádež identity),
b) žádosti o informace o dříve používaných heslech pro přístup k IT systémům (telefonické sociální inženýrství),
(c) jakákoli jiná podezřelá žádost o poskytnutí utajovaných informací, zejména telefonická.
7. Používání přístupu k internetu
1. Každý, kdo zpracovává údaje, je povinen používat internet pouze k účelům nezbytným pro výkon funkcí, které mu správce svěřil. Je kategoricky zakázáno navštěvovat během práce internetové stránky pro soukromé účely.
2. Při používání internetu jsou zpracovatelé údajů povinni dodržovat právní předpisy, zejména respektovat průmyslové vlastnictví a autorská práva.
3. Zpracovatelům údajů je kategoricky zakázáno používat internet k prohlížení obsahu, který svou povahou nesouvisí s jejich funkcí, prací, a zejména obsahu, který je urážlivý, nemorální nebo neodpovídá obecně platným pravidlům chování, jakož i k hraní počítačových her na internetu nebo v počítačovém systému, sledování filmů nebo jiné široké zábavě.
4. Správce údajů si v rozsahu povoleném zákonem vyhrazuje právo kontrolovat a řídit používání internetu zpracovateli údajů z hlediska výše uvedených zásad.
8. Používání elektronické pošty
1. Elektronická pošta je určena a smí být používána pouze k plnění povinností vyplývajících ze zastávané funkce, jakékoli jiné použití není povoleno a může být důvodem k odpovědnosti.
2. Při používání elektronické pošty jsou zpracovatelé údajů povinni dodržovat zákon o průmyslovém vlastnictví a autorském právu.
3. Zpracovatelé údajů by měli věnovat zvláštní pozornost tomu, aby neúmyslně nezasílali zprávy obsahující informace definované jako důvěrné neoprávněným osobám, např. týkající se správce údajů, jeho zaměstnanců, zákazníků, dodavatelů nebo smluvních partnerů, prostřednictvím internetu, včetně použití soukromé elektronické schránky.
4. Zpracovatelé údajů by měli dbát zvýšené opatrnosti a neotevírat e-maily od neznámých odesílatelů, pokud z názvu nevyplývá souvislost s povinnostmi vyplývajícími z jejich funkce, měli by takové zprávy nahlásit správci a vymazat je ze své e-mailové schránky.
5. Pokud jsou soubory obsahující osobní údaje zasílány elektronicky externím subjektům, které jsou k tomu oprávněny, je zpracovatel údajů povinen je zabalit a zaheslovat. Heslo musí být zasláno odděleným komunikačním prostředkem, aby v případě chybného přenosu nebo neoprávněného zachycení nehrozilo otevření datového souboru.
9. Elektronické nosiče dat
1. Mezi elektronické nosiče dat patří např. výměnné pevné disky, pen-disky, CD, DVD, flash disky.
2. Zpracovatelé údajů nesmějí vynášet vyměnitelné elektronické nosiče dat, soukromé i sdílené, mimo oblast zpracování, pokud na ně byly přeneseny informace s osobními údaji bez souhlasu správce údajů a v každém případě bez jeho vědomí.
3. V případě poškození, opotřebení nebo ukončení používání daného média obsahujícího osobní údaje musí být fyzicky zničeno spálením nebo skartací tak, aby informace na něm obsažené nebylo možné znovu přečíst nebo použít.
10. Pokyny pro případ nouze
-
V případě zjištěného nebo předpokládaného porušení zabezpečení osobních údajů je zpracovatel povinen informovat správce.
-
Správce informačních systémů je povinen po zjištění narušení informačního systému, zajistit stopy umožňující identifikaci příčin narušení informačního systému, analyzovat a identifikovat následky narušení informačního systému, identifikovat faktory, které způsobily narušení informačního systému, provést nezbytné opravy v informačním systému spočívající v zabezpečení systému proti jeho opakování. Správce přijme obdobná opatření, pokud zjistí, že:
(a) stopy na dveřích, oknech a skříních naznačují pokus o vloupání,
(b) datové soubory jsou ničeny bez použití skartovačky nebo nejsou ničeny vůbec,
(c) dveře do místností, skříní, kde jsou uloženy osobní údaje, jsou ponechány otevřené,
d) nejsou nastaveny monitory, které by zabránily neoprávněnému přístupu,
e) dochází k neoprávněnému kopírování a vynášení osobních údajů, ať už v papírové a/nebo elektronické podobě, mimo oblast zpracování bez souhlasu a bez informování správce,
f) dochází k telefonickým pokusům o phishing s cílem získat osobní údaje nebo přístupová hesla,
g) dojde ke krádeži počítačů nebo elektronických nosičů dat,
h) dojde k ohrožení, na které upozorní antivirový program,
-
hesla k systémům nejsou řádně chráněna nebo jsou uložena v blízkosti počítače.
11. Disciplinární opatření
1. Jakékoli neodůvodněné nedodržení pokynů pro ochranu údajů podle těchto podmínek může být považováno za závažné porušení základních pracovních povinností nebo smluvních závazků, které dotyčné osobě ukládají povinnost chovat se určitým způsobem. Osoba, která v případě porušení bezpečnosti informačního systému nebo důvodného podezření na takové porušení nepřijala opatření podle těchto pravidel, zejména neinformovala příslušnou osobu v souladu se stanovenými pravidly, může být disciplinárně potrestána, což nevylučuje odpovědnost podle příslušných právních předpisů za způsobenou škodu nebo riziko vzniku škody.
2. Disciplinární trest při uplatnění vůči osobě, která se vyhýbá informování správce o riziku, nevylučuje její dodatečnou trestní odpovědnost v souladu se zákonem ze dne 10. května 2018 o ochraně osobních údajů (Sbírka zákonů z roku 2018, částka 1000, 1669, z roku 2019, částka 730.) a nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 a možnost podat proti ní občanskoprávní žalobu na náhradu vzniklé škody.