Pokyny

 

Pokyny týkající se zpracování a ochrany osobních údajů

Pro účely agendy ochrany osobních údajů je určena kontaktní osoba - Petr Veselý, oddělení výpočetní techniky

Primární kontaktní email: This email address is being protected from spambots. You need JavaScript enabled to view it.

 English translation is available here


Pokyn č. 5 - Doporučení pro ochranu osobních údajů a minimalizaci hrozeb a rizik při práci s výpočetní technikou, v mobilní komunikaci či na sítích při práci (nejen) z domova

(21.4.2020)

Pozor na podvodné e-maily

Podvodný e-mail může vypadat velice důvěryhodně. Cílem těchto útoků je obvykle nekalé získání finančních prostředků či přístupu do informačního systému např. za účelem umístění tzv. ransomware. Účelem takového útoku ale může být i paralyzace celé počítačové sítě instituce (šifrování či poškození dat ve sdílených složkách na serverech, krádeže soukromých dat, krádeže hesel, získání vyšších práv k systémům apod.)

V současné době je možné zaznamenat zvýšenou aktivitu hackerů. Mezi často využívané prostředky patří rozesílání podvodných e-mailů, které obsahují přílohy či odkazy, které působí jako důležité informace o novém koronaviru.

Dnes již neplatí, že lze podvodný e-mail poznat podle nedokonalé češtiny. Též se nenechte ukolébat zdáním, že e-mail zasílá osoba, kterou znáte.

Pokud se Vám zdá být v jakémkoli případě příloha nedůvěryhodná či žádný e-mail s takovou přílohou neočekáváte, neotevírejte ji. Škodlivý kód se navíc nemusí projevit ihned po spuštění. V případě pochybností se vždy obraťte na IT oddělení.

Neotevírejte podezřelé odkazy v e-mailech

Tzv. phishingový e-mail zpravidla skrývá, kam odkazy vedou. Skrytá cílová cesta odkazu je pro podvodné e-maily typickým znakem.

Jak zjistit, kam odkaz z e-mailu odkazuje? Klikněte pravým (NIKOLI LEVÝM) tlačítkem myši na odkaz a z menu vyberte „kopírovat adresu odkazu“. Tu následně zkopírujte např. do poznámkového bloku a uvidíte, kam vede skutečný odkaz. Pozor dejte také na zkrácené odkazy, které maskují ten skutečný.

Nezaměňujte pracovní počítač za soukromý

Pracovní počítač využívejte pouze k pracovním účelům a nikdy jej nezpřístupňujte třetím osobám ani rodinným příslušníkům.

Konzultujte možnosti použití a instalace software třetích stran s IT oddělením.

Pokud používáte notebook nebo jiné zařízení zaměstnavatele, nikdy se nepokoušejte spouštět či instalovat žádný nelicencovaný software.

Vědomí, že připojení k internetu při práci z domova neprobíhá zpravidla prostřednictvím připojení poskytovaného zaměstnavatelem, může svést ke zmenšené obezřetnosti při používání internetu na služebním zařízení. Uživatel se může dostat i na stránky, které se typicky vyznačují zvýšeným výskytem různých škodlivých programů a na které by v rámci internetové sítě zaměstnavatele nikdy nepřistupoval.
To může vést k zanesení škodlivého programu do „čistého“ zařízení, což následně může být velké riziko jak pro samotné zařízení a informace na něm uložené, tak i pro informační systémy a soubory v interní síti po opětovném připojení takového zařízení do sítě instituce.
Stejně je nutná zvýšená obezřetnost v případě, kdy je soukromý počítač využíván pro vzdálený přístup do informačního systému zaměstnavatele.

Vyhněte se veřejným Wi-Fi sítím

Přes Wi-Fi sítě na veřejných místech nelze bez dalších zvláštních opatření přenášet osobní údaje a další citlivé informace.
Silně doporučujeme veřejné Wi-Fi sítě nepoužívat a preferovat bezpečnější přenos prostřednictvím mobilních dat, případně použití nějaké formy VPN připojení.

Heslo pro EDUROAM mějte minimálně 10 znaků dlouhé s vysokou komplexitou.

Přistupujte zodpovědně k volbě hesel

Nikdy nenechávejte prohlížeč či počítač zapamatovat hesla (s výjimkou zapamatování hesla v důvěryhodném emailovém klientovi, které však mějte vždy jiné, než je heslo do sítě).

Nepoužívejte stejná hesla doma a v práci. Nepoužívejte stejná hesla do různých nepropojených systémů.

Toto doporučení platí dvojnásob v případě údajů, pomocí kterých se přihlašujete do práce vzdáleně. V případě úspěšného útoku na domácí počítač je většinou snadné z prohlížečů a e-mailových klientů získat uložené přihlašovací údaje. Útočník by neměl být schopen přihlásit se pomocí hesla soukromého e-mailu také k tomu pracovnímu, případně někam dále.

Nepovolujte makra v běžných dokumentech

Nové verze kancelářských programů umějí pracovat i se staršími verzemi dokumentů a není třeba nic instalovat ani povolovat.

Většina kryptovirů používá v rámci svého šíření podvodné e-maily s dokumentem v příloze. Ten obsahuje výzvu k povolení aktivního obsahu a maker. Samotná příloha pak může vypadat např. jako sdělení, že dokument je napsán ve starší verzi textového editoru a bez povolení maker není možné skutečný obsah souboru zobrazit. Takovému požadavku nikdy nevyhovujte, následovalo by stažení a instalace škodlivého kódu.

Nepodceňujte fyzickou bezpečnost počítačů

I Váš soukromý počítač by měl po zapnutí vyžadovat ověření např. pomocí zadání hesla nebo biometrické autentizace.
Následky případné krádeže můžete výrazně zmírnit zapnutím šifrování pevného disku. U většiny zařízení lze funkci šifrování zdarma zapnout či doinstalovat, dopad na výkon je zanedbatelný. Šifrování výrazně snižuje riziko při ztrátě zařízení.

Dodržujte další praktická bezpečnostní opatření

Opatření mají být přiměřená míře rizika. Mezi důležitá opatření patří i adekvátní zamezení přístupu k zařízení (jeho obsahu) dalším členům rodiny. Zejména to platí pro děti, které mohou být i nevědomou příčinou vzniku některých rizik v tomto dokumentu.

Kdy zejména kontaktovat Vaše IT oddělení?

  • Na disku jsou místo Vašich běžných dokumentů soubory s neznámými příponami.
  • Na disku jsou nové soubory, obsahující informace o zpřístupnění souborů po zaplacení výkupného. Většinou obsahují v názvu a obsahu souboru slova jako decrypt, recover, ransom atd.
  • Došlo ke změně tapety na ploše nebo zobrazení oznámení přímo na obrazovce.
  • V dalších případech, pokud pojmete podezření na nestandardní chování zařízení.
  • Preventivně - pokud byste rádi předešli vzniku výše popsaných problémů, můžete konzultovat vhodná preventivní opatření a nechat si poradit v otázce zabezpečení a postupů.

Kdy hlásit bezpečnostní incident?

Upozorňujeme na povinnost nahlásit kontaktní osobě (pověřenci) pro ochranu osobních údajů každý možný bezpečnostní incident. Jeho nahlášení je povinností každého pracovníka, nebo jeho nadřízeného, který zjistí některou z následujících skutečností:

  • bylo ztraceno nebo zcizeno zařízení nebo dokument, které obsahovalo soubor osobních údajů;
  • byl neoprávněné osobě umožněn přístup k osobním údajům v zařízení nebo v dokumentu;
  • osobní údaje v jakékoli formě byly umístěny bez přiměřené ochrany přístupu na místě, kde se k nim mohl neoprávněně někdo dostat;
  • osobní údaje byly poškozeny nebo ztraceny;
  • osobní údaje mohly být změny nebo upraveny, ale není možné ověřit, zda se tak stalo.

Ztrátu je třeba hlásit na adresu This email address is being protected from spambots. You need JavaScript enabled to view it.

 


Pokyn č. 4 - Rozesílání hromadných e-mailů

(11.7.2018)

V případě rozesílání hromadných e-mailů z pracovního e-mailu (více viz Pokyn č. 3) více osobám (subjektům údajů) na jejich soukromé e-mailové adresy je doporučeno použít výhradně funkce tzv. skryté kopie. Zveřejnění soukromé e-mailové adresy prostřednictvím jejího uvedení do pole adresát ("Komu") nebo prosté kopie ("Kopie") a rozposlání dalším adresátům e-mailu není z hlediska GDPR přípustné.

Příklad: Při komunikaci vyučujícího se studenty semináře jsou obvykle pro zasílání sdělení prostřednictvím e-mailu používány soukromé e-mailové adresy studentů. Je třeba dbát, aby při hromadném rozeslání jednoho e-mailu na více e-mailových adres nenastala situace, při které by student zjistil e-mailové adresy ostatních studentů. Podobným příkladem může být hromadné oslovení účastníků přihlášených na konferenci atd.

Pokyn se nevztahuje na pracovní komunikaci, při které je hromadně rozesílán e-mail na další pracovní e-mailové adresy nebo je zasílán v rámci spolupracující skupiny, kde se účastníci vzájemně znají a mezi sebou e-maily obvykle komunikují.

Příklady, kdy je použití seznamu v kopii oprávněné:

  • Vedoucí pracoviště z pracovní e-mailové adresy zasílá sdělení všem svým zaměstnancům na jejich pracovní e-mail.
  • Jakákoli pracovní komunikaci při použití pracovních e-mailů.
  • Při komunikaci vyučujícího se skupinou studentů v rámci projektu, společné činnosti nebo jiné situaci, kdy jde o skupinu lidí, kteří o sobě vzájemně vědí.

Zdůvodnění:

 

Soukromá e-mailová adresa je osobním údajem. Její zveřejnění prostřednictvím e-mailu je proto v rozporu s GDPR.


Pokyn č. 3 - Používání soukromých e-mailových adres

(4.7.2018)

Pro zasílání pracovních e-mailů uvnitř NHÚ i ze strany NHÚ vůči třetím stranám slouží všem zaměstnancům výhradně pracovní e-mailové účty pod interní doménou "cerge-ei.cz" případně "ei.cas.cz". Z hlediska GDPR není přípustné při zasílání pracovních e-mailů, komunikaci se studenty, řešení agendy úředně-správního charakteru apod. použití soukromých e-mailových účtů nebo účtů jiné organizace.

Komunikace z e-mailových účtů jiných pracovišť ohledně činností souvisejících s agendou NHÚ je možná pouze v případě pracovněprávního vztahu dané osoby k jinému pracovišti, a to výhradně prostřednictvím účtů vedených pod doménou Univerzity Karlovy, Akademie věd ČR (včetně společných pracovišť UK a AVČR), některé z fakultních nemocnic, CESNET nebo pod oficiální doménou některé z veřejných vysokých škol či veřejných výzkumných institucí.

Přeposílání e-mailů na další pracoviště zaměstnance, tzn. možnost automatického přeposílání z e-mailového účtu pod doménou cerge-ei.cz na jiný e-mailový účet zaměstnance, je možné realizovat pouze v případě, že organizace, u které je cílový e-mailový účet veden, je některou z organizací uváděných v předchozím odstavci. Přesměrování na účty vedené pod jinými doménami není z hlediska GDPR přípustné.

Pokyn nijak neomezuje umístění a typ e-mailových schránek subjektů, se kterými komunikace probíhá. Např. pokud student uvede ke komunikaci s ním e-mailovou adresu zřizovanou u externího poskytovatele, je samozřejmě možné mu i nadále zasílat e-maily na tuto adresu.

Nadále platí, že do e-mailu je možné uvést pouze ty osobní údaje, jejichž zveřejnění nemůže mít na danou osobu žádný vliv, nebo takové, o kterých subjekt údajů sám e-mailem komunikuje (tj. komunikaci sám zahájil).

Zdůvodnění:

V případě zaslání e-mailu mimo interní doménu jsou potenciální osobní údaje obsažené v e-mailu předávány třetím subjektům (t. j. organizaci, která provozuje takovou emailovou doménu). Pro toto předání nemá NHÚ souhlas a jedná se tedy o porušení pravidel GDPR. Komunikace z cizího (soukromého) e-mailu přímo se subjekty údajů navíc toto porušení zveřejňuje a tím dává velmi snadnou možnost podat proti postupu NHÚ stížnost.

V neposlední řadě je používání e-mailových účtů vedených mimo interní doménu (případně mimo doménu spolupracujících institucí) problematické také z hlediska kybernetické bezpečnosti


Pokyn č. 2 - Zveřejnění seznamu studentů/absolventů

Zveřejnění seznamu studentů či absolventů v tištěné podobě (např. ve výroční zprávě, publikaci k promoci) nebo na webových stránkách není přípustné bez souhlasu studentů.

V případě souhlasu je zveřejnění přípustné pouze v rozsahu, k jakému dal student souhlas (tedy např. ke zveřejnění výsledkové listiny účastníků soutěže, kde účastníci byli o zveřejnění informování v rámci přihlášky na soutěž a potvrzením přihlášky do soutěže tak vyjádřili souhlas).

Zdůvodnění

Zákony ČR včetně zákona o vysokých školách neukládají žádnou povinnost zveřejnit v tištěné podobě či na veřejně přístupné webové stránce seznam studentů či absolventů. Pro zveřejnění seznamu studentů či absolventů tak neexistuje zákonný důvod. Zveřejnění osobních údajů studenta či absolventa ve výroční zprávě, publikaci k promoci či na veřejně přístupné webové stránce je možné výhradně se souhlasem tohoto subjektu údajů.


Pokyn č. 1 - Hlášení ztráty zařízení

Je povinnost nahlásit kontaktní osobě každou ztrátu či odcizení každého zařízení nebo datového nosiče, které mohou umožnit přístup k osobním nebo citlivým údajům, za které NHÚ odpovídá.

Ztrátu co nejdříve oznámí pracovník, který ji zjistil, nebo jeho nadřízený, a to na adresu This email address is being protected from spambots. You need JavaScript enabled to view it.

Bude provedena analýza rizik, která ztrátou vznikají, a bude posouzeno, jak je třeba dále postupovat.

Tento pokyn se týká každého zařízení, ze kterého lze data získat např. prolomením ochrany (hesla) nebo vyndáním disku a získáním údajů samotných nebo hesel pro přístup do systémů univerzity. Typicky jde o notebook, tablet, počítač z kanceláře nebo i mobilní telefon s přístupovými údaji.

Datové nosiče jsou typicky externí disky, nešifrované flash karty, záložní disky apod., které obsahují osobní údaje nebo přístupová hesla.

Připomínáme, že osobními údaji jsou např. i seminární práce studentů, přehledy jejich účasti na seminářích nebo udělené hodnocení.

Zdůvodnění

NHÚ má povinnost dokumentovat a vyhodnocovat všechny bezpečnostní incidenty – události, které způsobily nebo mohou způsobit poškození, ztrátu nebo neoprávněné zpřístupnění osobních údajů. Je o tom povinné informovat ÚOOÚ a v některých případech i subjekty, kterých se ztráta týká.