Tato stránka je určena vedoucím bezpečnosti a compliance vedoucím u poskytovatelů HR a mzdových služeb v ČR, které zákon č. 181/2014 Sb. klasifikuje jako důležité subjekty. Naučíte se konkrétní povinnosti pro ochranu údajů zaměstnanců více klientů a způsob splnění termínu do roku 2026.
Jako důležitý subjekt se NIS2 povinnosti vztahují na poskytovatele HR a mzdových služeb v ČR, kteří zpracovávají osobní údaje zaměstnanců pro 10 a více právnických osob, nebo jejichž služby jsou kritické pro informační společnost více organizací. Patří sem poskytovatelé SaaS platforem pro mzdy, účast zaměstnanců, správu lidských zdrojů a personální agendy.
V podmínkách multi-tenantové SaaS platformy musíte zabezpečit přísnou logickou a fyzickou separaci dat každého klienta tak, aby zaměstnanecké údaje jedné organizace nemohly být přístupné dat jiné organizace. Implementujte granulární řízení přístupu na úrovni datových tabulek a databází, proveďte pravidelné penetrační testy zaměřené na tenant hopping a dokumentujte architekturu izolace v bezpečnostní dokumentaci.
Všichni správcové mzdových systémů a datových tabulek zaměstnanců musí používat hardware MFA (FIDO2 klíč nebo smartcard), ne pouze SMS či softwarový token. Zakažte vzdálený přístup k administračním rozhraním bez fyzické přítomnosti klíče a implementujte logování všech přístupu spolu s výstrahou v reálném čase.
Vytvořte dokumentovaný postup, který garantuje úplné smazání nebo anonymizaci všech osobních údajů klienta do 30 dnů od skončení smlouvy. Postup musí zahrnovat kontrolu všech záloh, archivů, testovacích prostředí a log souborů. Zajistěte, aby všichni zaměstnanci klienta měli zablokovaný přístup okamžitě a aby byla verifikace smazání provedena nezávislou stranou.
Máte-li podezření na porušení bezpečnosti, které ovlivňuje více klientů nebo jejich zaměstnance, musíte hlásit incident NÚKIB bez zbytečného odkladu, nejpozději 72 hodin od zjištění. Hlášení musí obsahovat seznam postižených klientů, počet zaměstnanců a povahu úniku (mzdy, osobní údaje, bankovní účty). Paralelně musíte informovat postižené klienty, aby mohli sami hlásit incidenty svým regulátorům dle GDPR.
Vypracujte seznam všech subdodavatelů, kteří zpracovávají údaje zaměstnanců (cloudové poskytovatele infrastruktury, zálohovací služby, emailové servery) a zajistěte, aby jejich smlouvy obsahovaly NIS2 bezpečnostní požadavky. Proveďte minimálně roční audit bezpečnosti těchto subdodavatelů a vyžadujte compliance report nebo certifikaci (ISO 27001, SOC 2).
Proveďte penetrační test zaměřený na tenant hopping — pokuste se z účtu tenanta A přistupovat k datům tenanta B skrze API, SQL, nebo aplikační rozhraní. Výsledky testu by měly být záporné. Dále si nechte posoudit architekturu databází nezávislým audítorem a zajistěte, aby každý tenant používal samostatný řádkový filtr (row-level security) nebo oddělené databáze.
Dle zákona č. 181/2014 Sb. § 37 hrozí pokuta až 5 milionů Kč za porušení povinnosti hlášení incidentů. Jako poskytovatel digitálních služeb se navíc expozujete právní odpovědnosti vůči klientům, kteří mohou požadovat kompenzaci za újmu vzniklou zpožděním hlášení a jejich neschopností informovat své zaměstnance či regulátory včas.
Implementujte FIDO2 nebo smartcard klíče jako povinné pro přístup do administračního panelu, ale umožněte administrátorům přihlášení se z kanceláře přes dedikovanou stanici s čtečkou klíčů. Pro výjezdy poskytněte bezpečný vzdálený přístup přes VPN a hardware klíč. Školte administrátory, aby si klíče nosili, a mají záložní klíč uložený v trezoru. Nepoužívejte SMS nebo softwarové tokeny jako náhradu.