Popis problému, ktorý vznikol
Taliansky dozorný úrad ochranu osobných údajov (Garante per la protezione dei dati personali) uložil pokutu 10000 eur za neprijatie dostatočných bezpečnostných opatrení, ktoré viedli k porušeniu ochrany osobných údajov. Súčasťou boli údaje týkajúce sa zdravotného stavu dotknutých osôb.
Prevádzkovateľ, ktorého sa bezpečnostný incident týkal oznámil dozornému úradu vznik bezpečnostného incidentu, a to v zmysle čl. 33 všeobecného nariadenia o ochrane údajov. Aj napriek bezpečnostným opatreniam, ktoré prevádzkovateľ prijal došlo k hackerskému útoku a úniku osobných údajov (meno, priezvisko, dátum narodenia a vykonané rádiodiagnostické vyšetrenie). Údaje, čiastočne anonymizované boli útočníkom zverejnené na Twitteri.
Po vzniku incidentu prevádzkovateľ zabezpečil informovanie dotknutých osôb, a to ich telefonickým kontaktovaním. V rámci tohto im vysvetlil povahu porušenia, poskytol ďalšie informácie, ktoré sa týkajú zabráneniu ďalšieho porušenia a zároveň dotknutým osobám odporučil, aby boli maximálne opatrní v prípade, ak by ich kontaktovali tretie strany.
Celý dokument si môžete prečítať na adrese: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9739609#
Čo urobiť, aby ste sa aj vy neocitli v rovnakej situácii?
Každý prevádzkovateľ, ktorý spracúva osobné údaje, je povinný prijať primerané bezpečnostné opatrenia, aby zabezpečil ochranu osobných údajov, ktoré spracúva. Ide o rôzne technické a organizačné kroky. Čím sú spracúvané osobné údaje citlivejšie (napríklad ako v tomto incidente, keď šlo o informácie týkajúce sa zdravotného stavu), tým by mali byť opatrenia dôraznejšie. Jedným z odporúčaných opatrení je napríklad šifrovanie údajov. Toto opatrenie pomáha chrániť údaje aj v prípade hakerského útoku. Samozrejme, dôležité je aj to, či počas útoku nedošlo ku kompromitácii dešifrovacieho kľúča. V týchto prípadoch hovoríme o zachovaní atribútu dôvernosti.
V prípade, keď u vás dôjde bezpečnostnému incidentu, je dôležité preskúmať, či ta týka porušenia ochrany údajov podľa čl. 33 všeobecného nariadenia. Ak áno, treba zvážiť, či incidentom vznikajú riziká pre práva a slobody dotknutých osôb. Následne oznámiť porušenie ochrany údajov Úradu na ochranu osobných údajov, prípadne aj dotknutým osobám. Bez ohľadu na riziko, každé jedno porušenie je potrebné zdokumentovať.
Kde v GDRP Academy nájdete jednoduché vysvetlenie, ako to urobiť?
Čo je to bezpečnostný incident a kedy je incident porušením ochrany údajov nájdete v 9 lekcii online kurzu GDPR pre firmy a organizácie. V kurze sa dozviete aj to, ako a prečo sa posudzuje dôvernosť, dostupnosť a integrita, že incident je potrebné úradu ohlásiť do 72 hodín a ako oznámenie vykonať.
V GDPR Academy taktiež nájdete samostatnú bezpečnostnú smernicu, ktorá je zameraná priamo na riadenie bezpečnostných incidentov. Môžete si ju prevziať a začať u vás vo firme používať.
Praktické otázky a ich riešenia, ktoré sa týkajú bezpečnostných incidentov nájdete v databáze znalostí GDPR Academy. Stačí si vyhľadať napríklad slovíčko “incident”.