Zaujímavý a pre nás, čo pracujeme s osobnými údajmi aj veľmi poučný prípad riešil Úrad na ochranu osobných údajov u našich severných susedov, v Poľsku.
Porušenie v ochrane osobných údajov
Starosta jednej z obcí oznámil úradu porušenie ochrany osobných údajov. Oznámenie vykonal v súlade s čl. 33 všeobecného nariadenia o ochrane údajov. K porušeniu došlo tak, že počas vlámania do bytu jedného zo zamestnancov obce došlo k odcudzeniu notebooku, ktorého súčasťou boli aj osobné údaje obce. Narušená tak bola dôvernosť spracúvaných osobných údajov (meno, priezvisko, adresa a pod.), keďže tieto údaje v notebooku mohli byť sprístupnené neoprávnenému subjektu.
Priebeh vyšetrovania úradom
1.Dozorný orgán začal šetrenie porušenia. Od prevádzkovateľa žiadal zodpovedanie aj týchto otázok:
- Či bol odcudzený počítač súkromný, alebo pracovný. Ak bol súkromný, či postupy prevádzkovateľa umožňovali používanie súkromných notebookov pre pracovné účely a aké opatrenia prevádzkovateľ prijal pre ochranu osobných údajov.
- Či prevádzkovateľ zaviedol postup poučení oprávnených osôb o používaní, transporte a uchovávaní prenosných počítačov, prostredníctvom ktorých sú osobné údaje spracúvané.
- Či prevádzkovateľ vykonal analýzu rizík, súčasťou ktorej je aj hrozba krádeže počítačov.
2. Prevádzkovateľ (obec) vo svojej odpovedi uviedol:
- že ukradnutý notebook bol obecný, teda nie súkromný, ale pracovný,
- že má vypracované pravidlá a predpisy pre používanie prenosných počítačov,
- že pravidelne aktualizuje analýzu rizík a jej súčasťou je aj hrozba straty údajov, krádež a strata zariadení a dátových nosičov mimo organizácie.
Zároveň prevádzkovateľ poskytol písomné vyhlásenie, že všetky služobné notebooky sú zabezpečené kryptografickým opatrením, a to šifrovaním pevných diskov.
3. Kontrolný úrad si následne vyžiadal od prevádzkovateľa tieto doplňujúce informácie:
- Aby prevádzkovateľ uviedol metodiku na tvorbu hesiel, ako prostriedku pre zabezpečenie spracúvaných osobných údajov v počítačoch (napríklad dĺžka hesla, použité znaky a pod.).
- Či prevádzkovateľ disponuje zálohou osobných údajov, ku ktorým krádežou stratil prístup.
- Akou funkciou/softvérom bol počítačový disk ukradnutého notebooku šifrovaný.
4. Prevádzkovateľ vo svojej odpovedi uviedol:
- Definované pravidlá na vynútenie zmeny hesla a zložitosti hesla.
- Že disponuje kópiou osobných údajov, ktoré boli v ukradnutom notebooku.
- Ale že pevný disk ukradnutého notebooku šifrovaný nebol.
Záverom kontroly bolo, že prevádzkovateľ neprijal dostatočné bezpečnostné opatrenia pre ochranu spracúvaných osobných údajov na prenosných počítačoch, a to napriek tomu, že o riziku krádeže vedel. Prevádzkovateľ definoval postupy ochrany – potrebu šifrovania pevných diskov, čo však nebolo zavedené do praxe.
Z toho dôvodu bola prevádzkovateľovi uložená sankcia.
Čo urobiť, aby ste sa neocitli v podobnej situácii
Aby ste u vás účinne predchádzali podobným bezpečnostným incidentom – porušeniam v ochrane osobných údajov, skontrolujte si:
- Či máte zavedený postup pre používanie súkromných prostriedkov pre spracúvanie osobných údajov?
- Či sú vaše oprávnené osoby náležite poučené o tom, ako bezpečne manipulovať s prideleným aktívom (počítačom, notebookom, mobilným telefónom a pod.).
- Či ste prijali dostatočné opatrenia pre ochranu dôvernosti, dostupnosti a integrity spracúvaných osobných údajov na prenosných zariadeniach.
- Či ste vykonali analýzu rizík a či v prípade, ak podobne aj vy používate prenosné aktíva, či sú jej súčasťou hrozby ako napríklad krádež a strata.
- Či disponujete metodikou na tvorbu bezpečnostných hesiel (ako napríklad minimálna požadovaná dĺžka hesla, potreba kombinácia čísel, písmen a pod.
- Či disponujete funkčnou zálohou spracúvaných osobných údajov, ktorú by ste v prípade incidentu mohli hneď použiť.
- Či sú osobné údaje spracúvané na prenosných počítačoch chránené funkciou šifrovania diskov.
Už teraz si z GDPR Academy môžete prevziať samostatné bezpečnostné smernice, ktorých obsahovou náplňou je aj ochrana dát na prenosných zariadeniach a poučenia oprávnených osôb (napríklad ako bezpečnostná smernica pre riadenie aktív a bezpečnostná smernica pre manipuláciu s osobnými údajmi).
To, že každé porušenie ochrany osobných údajov je potrebné dôkladne vyhodnotiť a následne zvážiť povinnosť oznámenia dozorujúcemu orgánu je jednou z častí kurzu “GDPR a porušenia ochrany údajov”. Vedeli ste napríklad, že máte len 72 hodín pre vykonanie oznámenia? Kurz si môžete pozrieť už teraz. Bez prihlásenia celú prvú lekciu.