GDPR Academy

Krádež obecného notebooku s osobnými údajmi

Zaujímavý a pre nás, čo pracujeme s osobnými údajmi aj veľmi poučný prípad riešil Úrad na ochranu osobných údajov u našich severných susedov, v Poľsku.

Porušenie v ochrane osobných údajov

Starosta jednej z obcí oznámil úradu porušenie ochrany osobných údajov. Oznámenie vykonal v súlade s čl. 33 všeobecného nariadenia o ochrane údajov. K porušeniu došlo tak, že počas vlámania do bytu jedného zo zamestnancov obce došlo k odcudzeniu notebooku, ktorého súčasťou boli aj osobné údaje obce. Narušená tak bola dôvernosť spracúvaných osobných údajov (meno, priezvisko, adresa a pod.), keďže tieto údaje v notebooku mohli byť sprístupnené neoprávnenému subjektu.

Priebeh vyšetrovania úradom

1.Dozorný orgán začal šetrenie porušenia. Od prevádzkovateľa žiadal zodpovedanie aj týchto otázok:

  • Či bol odcudzený počítač súkromný, alebo pracovný. Ak bol súkromný, či postupy prevádzkovateľa umožňovali používanie súkromných notebookov pre pracovné účely a aké opatrenia prevádzkovateľ prijal pre ochranu osobných údajov.
  • Či prevádzkovateľ zaviedol postup poučení oprávnených osôb o používaní, transporte a uchovávaní prenosných počítačov, prostredníctvom ktorých sú osobné údaje spracúvané.
  • Či prevádzkovateľ vykonal analýzu rizík, súčasťou ktorej je aj hrozba krádeže počítačov.

2. Prevádzkovateľ (obec) vo svojej odpovedi uviedol:

  • že ukradnutý notebook bol obecný, teda nie súkromný, ale pracovný,
  • že má vypracované pravidlá a predpisy pre používanie prenosných počítačov, 
  • že pravidelne aktualizuje analýzu rizík a jej súčasťou je aj hrozba straty údajov, krádež a strata zariadení a dátových nosičov mimo organizácie.

Zároveň prevádzkovateľ poskytol písomné vyhlásenie, že všetky služobné notebooky sú zabezpečené kryptografickým opatrením, a to šifrovaním pevných diskov.

3. Kontrolný úrad si následne vyžiadal od prevádzkovateľa tieto doplňujúce informácie:

  • Aby prevádzkovateľ uviedol metodiku na tvorbu hesiel, ako prostriedku pre zabezpečenie spracúvaných osobných údajov v počítačoch (napríklad dĺžka hesla, použité znaky a pod.).
  • Či prevádzkovateľ disponuje zálohou osobných údajov, ku ktorým krádežou stratil prístup.
  • Akou funkciou/softvérom bol počítačový disk ukradnutého notebooku šifrovaný.

4. Prevádzkovateľ vo svojej odpovedi uviedol:

  • Definované pravidlá na vynútenie zmeny hesla a zložitosti hesla.
  • Že disponuje kópiou osobných údajov, ktoré boli v ukradnutom notebooku.
  • Ale že pevný disk ukradnutého notebooku šifrovaný nebol.

Záverom kontroly bolo, že prevádzkovateľ neprijal dostatočné bezpečnostné opatrenia pre ochranu spracúvaných osobných údajov na prenosných počítačoch, a to napriek tomu, že o riziku krádeže vedel. Prevádzkovateľ definoval postupy ochrany – potrebu šifrovania pevných diskov, čo však nebolo zavedené do praxe.

Z toho dôvodu bola prevádzkovateľovi uložená sankcia.

Čo urobiť, aby ste sa neocitli v podobnej situácii

Aby ste u vás účinne predchádzali podobným bezpečnostným incidentom – porušeniam v ochrane osobných údajov, skontrolujte si:

  • Či máte zavedený postup pre používanie súkromných prostriedkov pre spracúvanie osobných údajov?
  • Či sú vaše oprávnené osoby náležite poučené o tom, ako bezpečne manipulovať s prideleným aktívom (počítačom, notebookom, mobilným telefónom a pod.).
  • Či ste prijali dostatočné opatrenia pre ochranu dôvernosti, dostupnosti a integrity spracúvaných osobných údajov na prenosných zariadeniach.
  • Či ste vykonali analýzu rizík a či v prípade, ak podobne aj vy používate prenosné aktíva, či sú jej súčasťou hrozby ako napríklad krádež a strata.
  • Či disponujete metodikou na tvorbu bezpečnostných hesiel (ako napríklad minimálna požadovaná dĺžka hesla, potreba kombinácia čísel, písmen a pod.
  • Či disponujete funkčnou zálohou spracúvaných osobných údajov, ktorú by ste v prípade incidentu mohli hneď použiť.
  • Či sú osobné údaje spracúvané na prenosných počítačoch chránené funkciou šifrovania diskov.

Už teraz si z GDPR Academy môžete prevziať samostatné bezpečnostné smernice, ktorých obsahovou náplňou je aj ochrana dát na prenosných zariadeniach a poučenia oprávnených osôb (napríklad ako bezpečnostná smernica pre riadenie aktív a bezpečnostná smernica pre manipuláciu s osobnými údajmi).

To, že každé porušenie ochrany osobných údajov je potrebné dôkladne vyhodnotiť a následne zvážiť povinnosť oznámenia dozorujúcemu orgánu je jednou z častí kurzu “GDPR a porušenia ochrany údajov”. Vedeli ste napríklad, že máte len 72 hodín pre vykonanie oznámenia? Kurz si môžete pozrieť už teraz. Bez prihlásenia celú prvú lekciu.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.