Pořizování auditních záznamů v informačních systémech

Pořizování auditních záznamů v informačních systémech

V souladu s § 13 odst. 4 písm. c) citovaného zákona jsou pak v oblasti automatizovaného zpracování osobních údajů správce nebo zpracovatel v rámci takovýchto přijímaných opatření povinni také pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.

Správce osobních údajů má tedy stanovenu povinnost zajistit, aby tyto auditní záznamy („logy“) v informačním systému umožňovaly určit a ověřit, z jakého důvodu bylo do elektronické dokumentace nahlíženo. Již v samotném elektronickém záznamu („logu“) tedy musí být obsažen důvod zaznamenání nebo jiného zpracování osobních údajů.  Povinnost dle § 13 odst. 4 písm. c) citovaného zákona je nutné plnit bez ohledu na to, jaká další opatření jsou správcem či zpracovatelem přijata. To platí i tehdy, pokud takováto jiná opatření umožňují s relativně vysokou mírou pravděpodobnosti zjistit totožné informace.  Tedy ani přijetí takového opatření, které by zajišťovalo, že by tento důvod byl zjistitelný následně, by ke splnění povinností citovaného ustanovení nepostačovalo. 

Nejvyšší správní soud ve svém rozsudku ze dne 30. 1. 2013, čj. 7 As 150/2012-35 uvádí, že tzv. logy jsou podle § 13 odst. 4 písm. c) zákona o ochraně osobních údajů „záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval“. Pouze takový záznam, který obsahuje informace nejen o tom, kdo a kdy osobní údaje zpracovával, ale i důvod tohoto zpracování, je dle NSS způsobilý naplnit smysl zákona o ochraně osobních údajů, neboť jen tehdy může být zpětně dohledatelné a ověřitelné „kdo, kdy, jak a proč“ osobní údaje v informačním systému zpracovával. 

NSS v citovaném rozhodnutí uvádí, že takový požadavek má vysoký preventivní účinek proti zneužití údajů z informačního systému, neboť každá osoba, která s ním pracuje, si musí být vědoma, že bude možné zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval, a zda se tak dělo oprávněně. NSS zdůrazňuje, že „každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, si musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno“.
Při posuzování přiměřenosti povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) je dle Nejvyššího správního soudu nezbytné uvážit její výslovné omezení pouze na případy automatizovaného zpracování osobních údajů. 

NSS k tomu konstatuje, že je tomu tak proto, že právě ze zpracování osobních údajů za použití výpočetní techniky, plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování nebo jiného zneužití. Výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat (zejm. jejich strukturované uspořádání a analýzu) i jejich snadné a bez zvláštních opatření následně jen obtížně zjistitelné kopírování. Informační systémy provozované pomocí výpočetní techniky jsou tak již svou podstatou potenciální objekt zneužití osobních údajů v masovém měřítku, a to způsobem, co do komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. 

Z toho NSS dovozuje, že právě toto vyšší riziko pak odůvodňuje zakotvení této specifické povinnosti. Dle NSS přitom nemůže činit problém implementovat do používaného systému na zpracování osobních údajů funkci zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah. Současně si lze stěží představit jiné adekvátní opatření, které by se srovnatelnou účinností zajišťovalo bezpečnost osobních údajů. Požadavek na zaznamenávání logů tak NSS považuje vždy za „legitimní, žádoucí a s ohledem na jeho omezení pouze na případy automatizovaného zpracování také přiměřený.“
 
JUDr. Pavlína Uhlířová, Ph.D., advokátka
tel.: + 420 731 037 288
www.pravnizastupce.cz​

 



GDPR osobní údaje právo bezpečnost bezpečnost dat zpracování osobních údajů