Fyzická bezpečnost je významnou oblastí zabezpečení osobních údajů. Zahrnuje opatření, která chrání data před neoprávněným přístupem, ztrátou, poškozením nebo zničením v rámci fyzického prostředí. GDPR v článku 32 ukládá správcům a zpracovatelům povinnost přijmout „vhodná technická a organizační opatření“, což zahrnuje i fyzickou bezpečnost. Cílem je zajistit úroveň zabezpečení odpovídající riziku.
Fyzická bezpečnost, kromě GDPR, má také svou úlohu v celé řadě dalších regulovaných oblastí, kde právní normy ukládají povinnosti fyzického zabezpečení aktiv z různého pohledu jejich ochrany. Je v něčem rozdíl? Je možné úroveň a rozsah opatření fyzického zabezpečení, např. podle zákona o ochraně utajovaných informací, nového zákona o kybernetické bezpečnosti, nebo podle DORA (Digital Operational Resilience Act) považovat za optimální i pro GDPR? Splňuje moje firma, nebo společnost povinnosti určené GDPR, když mám implementovaná opatření fyzické bezpečnosti pro některou z těchto oblastí?
Rozdíl lze spatřovat v aktivech, která fyzická bezpečnost v uvedených oblastech chrání před specifickými hrozbami, ale GDPR se od právních norem, které upravují tyto oblasti výrazně liší také v přístupu k fyzické bezpečnosti. Fyzická bezpečnost je v této oblasti především definována flexibilním přístupem, kdy si správce nebo zpracovatel zvolí pro ochranu osobních údajů opatření podle rizik, rozsahu a povahy zpracování osobních údajů. Neexistuje tedy taxativní výčet opatření, pouze doporučení (např. kontrola přístupu, uzamykatelné skříně, kamerové systémy).
V rámci ochrany utajovaných informací jsou přísně definována opatření fyzické bezpečnosti (ostraha, režimová opatření, technické prostředky) a certifikace použitých technických prostředků. Je používáno bodové hodnocení fyzické bezpečnosti podle stupně utajení (Vyhrazené, Důvěrné, Tajné, Přísně tajné). Je povinné zpracování projektu fyzické bezpečnosti pro některé subjekty.
Nový zákon o kybernetické bezpečnosti pohlíží na fyzickou bezpečnost jako na součást bezpečnostních opatření kybernetické bezpečnosti a vyhlášky NÚKIB specifikují požadavky pro regulované subjekty. Jsou vyžadovány konkrétní fyzická bezpečnostní opatření pro regulované subjekty, zejména v režimu vyšších povinností, která mají chránit ICT aktiva, přístupové body i prostorovou integritu systémů.
Nařízení DORA (EU 2022/2554) se v souvislosti s fyzickou bezpečností zaměřuje na ICT infrastrukturu ve finančním sektoru. Fyzická bezpečnost je součástí řízení ICT rizik. (např. fyzická odolnost datových center, přístupové systémy).
Bezpečnostní opatření fyzické bezpečnosti těchto systémů mohou být v určitých případech využitelná i pro dodržení požadavků GDPR, ale je důležité zohlednit rozdíly v cílech každé právní úpravy.
Využitelnost pro GDPR lze spatřit například v těchto oblastech:
Nový zákon o kybernetické bezpečnosti: Fyzické zabezpečení serveroven, zabezpečení perimetru, kontrola vstupu, kamerové systémy – vhodné pro ochranu osobních údajů před neoprávněným přístupem.
DORA: Zajištění fyzické integrity ICT infrastruktury – pomáhá chránit data v systémech, které zpracovávají osobní údaje.
Zákon o utajovaných skutečnostech: Opatření jako přístupová pravidla, trezory, kontrolované prostory – lze aplikovat při ochraně citlivých osobních údajů (např. zdravotní dokumentace).
Krizové řízení: Zajištění dostupnosti dat a provozu i během havárií (dostupnost a integrita dat).
Jak postupovat a na co si dát pozor
Zásadním rozdílem v implementaci bezpečnostních opatření fyzické bezpečnosti je „přístup“ při posuzování vhodné úrovně zabezpečení. V této souvislosti je třeba zohlednit rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. Při tom je třeba zhodnotit, zda jsou již implementovaná, nebo navrhovaná opatření fyzické bezpečnosti vhodná pro zabezpečení osobních údajů podle GDPR:
Přiměřenost opatření: Opatření musí odpovídat rizikům spojeným s daným typem zpracování, ne vždy jsou nejtvrdší opatření nutná.
Účelové omezení: Opatření z jiných regulovaných oblastí bývají navržena pro specifické typy aktiv nebo krizových scénářů – je třeba přizpůsobit je kontextu ochrany osobních údajů.
Legalita zpracování: Opatření musí být doplněna zákonným důvodem pro zpracování osobních údajů.
Dokumentace a auditovatelnost: Opatření musí být dokumentována, pravidelně hodnocena a také zpětně ověřitelná.
Fyzická bezpečnost podle GDPR především zahrnuje:
Kontrola přístupu: Omezení vstupu do prostor, kde se osobní údaje zpracovávají (např. serverovny, archivy).
Zabezpečení zařízení: Uzamykatelné skříně, trezory, alarmy, kamerové systémy apod.
Ochrana dokumentace: Fyzické dokumenty s osobními údaji musí být chráněny před neoprávněným přístupem.
Zabezpečení při přepravě: Opatření při přenosu datových nosičů nebo listinných dokumentů.
Likvidace dat: Bezpečné zničení dokumentů nebo datových nosičů (např. skartace, demagnetizace).
GDPR klade důraz na rizika pro práva a svobody fyzických osob, kdy rizika jsou posuzována z hlediska dopadu na jednotlivce a organizaci. V současné době robustních regulací ze strany EU i ČR lze považovat fyzickou bezpečnost za velmi významnou pro každou firmu nebo společnost. Přestože další regulace (např. DORA, zákon o utajovaných informacích, zákon o kybernetické bezpečnosti) upravují fyzickou bezpečnost odlišně, jejich opatření mohou být vzájemně využita. K řešení fyzické bezpečnosti je zároveň třeba přistupovat komplexně a projektovat opatření fyzické bezpečnosti subjektu tak, aby splňovala nejen požadavky GDPR, ale i legislativní nároky v dalších oblastech ale také, aby byla efektivní, smysluplná a účelně chránila aktiva společnosti.
