2025.9.5
Ochrana dat v elektronické podobě – archivace a skartace
Michal Škrabiš, Julie Vyskočilová, EKP.cz
V dnešním digitálním světě elektronická data, jako jsou např. účetní záznamy, zákaznické databáze, smlouvy atd., jsou klíčová pro správné fungování podniku a představují tak pro něj cenné aktivum. Tento článek je zaměřen na ochranu dat, která je nejen nezbytností z hlediska kybernetické bezpečnosti, ale také legislativní povinností, vyžadovanou předpisy GDPR, ISO 27001 a NIS2. Tyto předpisy ukládají organizacím přísná pravidla pro uchovávání, zpracování i skartaci elektronických informací. Cílem tohoto článku je poskytnout přehled principů archivace a skartace dat především z pohledu daňové a účetní legislativy a nastínit budoucí vývoj v této oblasti.
NahoruPrincipy ochrany dat
Dříve než se zaměříme na archivaci dat, měli bychom si připomenout základní principy ochrany dat dle ISO 27001. Základní prvky datové bezpečnosti se opírají o tzv. CIA triádu:
-
Confidentiality (důvěrnosti) – data by měla být šifrována a jen oprávněné osoby by měly mít přístup k citlivým datům, aby se zamezilo jejich zneužití neoprávněnou osobou.
-
Integrity (neporušenosti) – měla by být zajištěná správnost a úplnost informací, například skrze digitální podpisy v kombinaci s časovými razítky v souladu s evropskou směrnicí eIDAS, aby se zamezilo poškození dat, nežádoucím úpravám a manipulaci s daty.
-
Availability (dostupnosti) – data by měla být dostupná oprávněnému uživateli.
Aby nedošlo ke zneužití, nechtěné změně a ztrátě dat, je klíčové, aby byla dodržená CIA triáda a též by měly podniky provádět pravidelné audity kybernetické bezpečnosti.
NahoruArchivace dat
Správná archivace dat je klíčová pro uchovávání informací z právních, účetních a historických důvodů a přispívá k provozní kontinuitě podniku. Archivaci dat lze rozdělit dle času na krátkodobou (do 5 let) a dlouhodobou (5 a více let) a dle četnosti využívaní dat na aktivní a pasivní.
Pro archivaci elektronických dat mohou společnosti využívat různé technologie. Mezi nejčastější způsoby archivace patří níže uvedené technologie, přičemž každá má své výhody a nevýhody.
-
Cloudová uložiště umožňují ukládání dat na servery provozované poskytovatelem cloudových služeb. Mezi výhody této platformy patří snadný přístup k datům odkudkoliv prostřednictvím internetu, automatické zálohování, možnost flexibilního rozšiřování uložiště, dle potřeb konkrétní společnosti. Hlavní nevýhodou této služby je závislost na poskytovateli a uživatelé tak nemají plnou kontrolu nad infrastrukturou a dostupností dat, zvýšené bezpečnostní riziko a případné právní omezení z hlediska GDPR.
-
On-premise servery a NAS (Network-Attached Storage) často volí společnosti, které potřebují mít plnou kontrolu nad svými daty. Společnosti ukládají data v rámci interní IT infrastruktury a je tak minimalizována závislost na externích poskytovatelích. Hlavní výhody tohoto řešení lze spatřovat ve zvýšené bezpečnosti a možnosti použití vlastního šifrování dat, rychlost přístupu k datům, která není limitována kvalitou internetového připojení a plná kontrola nad daty. Hlavní nevýhodou jsou pak vyšší pořizovací náklady a zvýšené riziko selhání hardwaru.
Správná archivace dat není jen otázkou ukládání dat, ale také otázkou jejich ochrany před ztrátou, poškozením, neoprávněným přístupem a kybernetickým útokem. Mezi hlavní bezpečnostní opatření patří šifrování dat, zálohování a řízení přístupu.
NahoruSkartace elektronických dat
Otázka správné úschovy a zálohování dat je nejspíše aktivně řešena v každé společnosti, ale mezi klíčové prvky kybernetické bezpečnosti patří i správná skartace dat. Skartace dat znamená nevratné odstranění elektronických informací, tak aby nebylo možné data obnovit a zneužít.
Nesprávně skartovaná citlivá data (např. osobní údaje, finanční a účetní záznamy, smlouvy,…
