CQK - Consult

 

Zabezpečení zpracování osobních údajů není povinnosti novou. Již v dosavadní legislativě byla tato povinnost uložena článkem 17 směrnice 95/46/ES (resp. § 13 zákona o ochraně osobních údajů). Obecné nařízení (Nařízení EU č. 2016/679 – „GDPR“) je však v požadavcích na zajištění bezpečnosti zpracování ještě přísnější. Správce a zpracovatel musí přijmout vhodná technická a organizační opatření s ohledem na rizika, která při zpracování osobních údajů mohou vzniknout a způsobit tak újmu na právech a svobodách fyzických osob (subjektů údajů). Při posuzování rizik musí správce a zpracovatel zohlednit stav techniky, náklady na provedení opatření, povahu, rozsah, kontext a účel zpracování, případně k dalším okolnostem zpracování údajů (čl. 32 GDPR). Při posuzování bezpečnosti zpracování je tedy nutno posoudit celou řadu možných rizik, která doposud byla přehlížena nebo posuzována nedostatečně. Jedním z takových rizik je riziko vznikající při používání připojených technických zařízení v počítačové síti, mj. také tiskáren. Síťové a multifunkční tiskárny jsou velmi často přehlíženy při stanovení bezpečnostních opatření a posuzování rizik při zpracování osobních údajů. Dnešní tiskárny jsou inteligentní zařízení, která se podílejí na zpracování údajů a jsou tedy z hlediska bezpečnosti zranitelná jako jakékoliv jiné zařízení připojené k síti. Kromě tisku a kopírování, umějí multifunkční tiskárny také zachycovat, sledovat a uchovávat informace, mohou tedy být jak vstupním bodem do firemní sítě, tak úložištěm informací, včetně osobních údajů. Jsou to zařízení, která mohou být zapojována jako Internet věcí a jejich nedostatečná ochrana tak může být „otevřenými dveřmi“ do celkové sítě organizace.  Mnoho institucí má praktické zkušenosti, že porušení zabezpečení údajů/informací bylo způsobeno prostřednictvím nezabezpečené multifunkční tiskárny. Zabezpečení tiskáren zapojených do firemní sítě, musí být součástí celkové bezpečnostní strategie ochrany informací v organizaci. Možnost zranitelnosti tiskáren by mělo být součástí vyhodnocení rizik při vytváření bezpečnostní politiky a stanovení organizačních a technických opatření pro zabezpečení informací v organizaci (dle článku 32 GDPR) a také součástí širšího posouzení vlivu operací zpracování na ochranu osobních údajů (DPIA, článek 35 GDPR).  Bezpečnost tiskových operací musí být součástí celkového posouzení souladu zpracování osobních údajů s GDPR.

 Link:   http://quocirca.com/content/print-security-imperative-iot-era                                                                                     19. 7. 2017

                                                                                                                      

 

Oslovte nás

Poznámka: položky označené * jsou povinné.