Jak vzniká incident a kdy vzniká povinnost ho vyhodnocovat?


Dobrý den, nově vzniká povinnost hlásit únik údajů - incident. Co se dá považovat za incident? Jak ho vyhodnotit?
Děkuji za odpověd.
AB
Anna B.


Odpovídá


Dobrý den, za „incident“ lze podle GDPR považovat jakékoli porušení zabezpečení, pokud vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů. Zjednodušeně lze za incident považovat jakoukoli událost, která představuje odchylku od zavedeného systému zabezpečení osobních údajů.

Incident může z povahy věci vzniknout mnoha způsoby – v důsledku cíleného útoku, úmyslného či nedbalostního jednání ze strany zaměstnance (neoprávněné poskytnutí OÚ, ztráta USB-klíče, či jiného nosiče údajů, atd.), v důsledku pochybení třetí strany (zpracovatele), ale i při selhání techniky. Průzkumy nicméně ukazují, že ke většině incidentů dochází takzvaně zevnitř společností, tj. v důsledku jednání zaměstnanců, kteří se přitom na zpracování nemusejí ani přímo podílet.

Podle GDPR je téměř každé porušení nutné hlásit dozorovému orgánu. Výjimkou jsou případy, kdy je „nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob“. Pokud jde o vyhodnocování tohoto kritéria, detailnější vodítka zatím nebyly poskytnuty. Alespoň v prvních měsících účinnosti GDPR se tak správci zřejmě budou muset spolehnout na vlastní úsudek, který pro zajištění souladu doporučujeme odůvodnit a písemně zdokumentovat.


Štítky: Ohlašování bezpečnostních incidentů

Související dotazy
Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....

Odpovídá Mgr. Nikola Dohnalová
Obdobně, jako u jiných správců, doporučuji provést revizi interní dokumentace podle požadavků GDPR, nastavení interních procesů pro přístup k údajům...


www.helpgdpr.cz
© Copyright 2000 - 2019, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz