Zabezpečení zpracování osobních údajů není povinnosti novou. Již v dosavadní legislativě byla tato povinnost uložena článkem 17 směrnice 95/46/ES (resp. § 13 zákona o ochraně osobních údajů). Obecné nařízení (Nařízení EU č. 2016/679 – „GDPR“) je však v požadavcích na zajištění bezpečnosti zpracování ještě přísnější. Správce a zpracovatel musí přijmout vhodná technická a organizační opatření s ohledem na rizika, která při zpracování osobních údajů mohou vzniknout a způsobit tak újmu na právech a svobodách fyzických osob (subjektů údajů). Při posuzování rizik musí správce a zpracovatel zohlednit stav techniky, náklady na provedení opatření, povahu, rozsah, kontext a účel zpracování, případně k dalším okolnostem zpracování údajů (čl. 32 GDPR).
Při posuzování bezpečnosti zpracování je tedy nutno posoudit celou řadu možných rizik, která doposud byla přehlížena nebo posuzována nedostatečně. Jedním z takových rizik je riziko vznikající při používání připojených technických zařízení v počítačové síti, mj. také tiskáren. Síťové a multifunkční tiskárny jsou velmi často přehlíženy při stanovení bezpečnostních opatření a posuzování rizik při zpracování osobních údajů. Dnešní tiskárny jsou inteligentní zařízení, která se podílejí na zpracování údajů a jsou tedy z hlediska bezpečnosti zranitelná jako jakékoliv jiné zařízení připojené k síti. Kromě tisku a kopírování, umějí multifunkční tiskárny také zachycovat, sledovat a uchovávat informace, mohou tedy být jak vstupním bodem do firemní sítě, tak úložištěm informací, včetně osobních údajů. Jsou to zařízení, která mohou být zapojována jako Internet věcí a jejich nedostatečná ochrana tak může být „otevřenými dveřmi“ do celkové sítě organizace. Mnoho institucí má praktické zkušenosti, že porušení zabezpečení údajů/informací bylo způsobeno prostřednictvím nezabezpečené multifunkční tiskárny.
Zabezpečení tiskáren zapojených do firemní sítě, musí být součástí celkové bezpečnostní strategie ochrany informací v organizaci. Možnost zranitelnosti tiskáren by mělo být součástí vyhodnocení rizik při vytváření bezpečnostní politiky a stanovení organizačních a technických opatření pro zabezpečení informací v organizaci (dle článku 32 GDPR) a také součástí širšího posouzení vlivu operací zpracování na ochranu osobních údajů (DPIA, článek 35 GDPR). Bezpečnost tiskových operací musí být součástí celkového posouzení souladu zpracování osobních údajů s GDPR.
Link: http://quocirca.com/content/print-security-imperative-iot-era