Od ledna řešil ÚOOÚ přes sto porušení zabezpečení osobních údajů

Úřad pro ochranu osobních údajů obdržel v období od ledna do května letošního roku více než 100 ohlášených případů porušení zabezpečení osobních údajů, tzv. data breaches. Bezpečnostním incidentem postižené subjekty byly převážně z oblastí finančnictví a bankovnictví, školství, zdravotnictví a veřejné správy, z velké části obce.

Vážným a častým důvodem ohlášení byl phishingový útok do počítačového systému. Taková událost se týkala také zdravotnických zařízení (viz nedávné případy nemocnic ve Středočeském a Jihomoravském kraji). 

Mezi méně závažné incidenty patřilo například hlášení o nabourání se do systému studentem střední školy, který získal a zneužil přístupové údaje svého učitele a následně si upravil některé údaje v docházce a prospěchu.  

Významný počet případů porušení zabezpečení je způsoben nedostatečným poučením a proškolením jednotlivců, následkem jejichž pochybení, např. neuvážlivou manipulací s elektronickou poštou, pak dojde ke zpřístupnění údajů nebo umožnění narušení systému (phishingový útok).

Z ohlášení je patrné, že správci osobních údajů mnohdy nepracují s bezpečností a ochranou osobních údajů systematicky, a ne vždy dbají na vhodnou politiku hesel. Velmi nepravidelně také hodnotí úroveň zabezpečení přístupu do interních systémů. Dostačující přitom není jen dodržování základních zásad ochrany osobních údajů. Samostatně by měla být vyhodnocena také bezpečnost internetové komunikace (řada správců stále nedoceňuje, že v souladu s čl. 24 GDPR je za standardní ochranu považovaný https protokol, nikoli pouhé spojení http).

Pozitivním trendem je skutečnost, že ohlašovatelé incidentu téměř ve všech důvodných případech učinili kroky k nápravě a zamezení nežádoucích účinků. Úřad upozorňuje, že mezi nápravu nepatří jen odstranění závadného stavu, ale také nastavení budoucích účinnějších opatření a případného provedení potřebného školení zaměstnanců v zabezpečení osobních údajů.

K dodatečným žádostem správců o posouzení, zda je namístě i případné disciplinární řízení se zaměstnancem, který měl vliv na porušení ochrany osobních údajů, Úřad upozorňuje, že toto nespadá do jeho působnosti. Za řádné zpracování osobních údajů v souladu s právními předpisy odpovídá vždy správce jako celek, nikoli jeho jednotliví zaměstnanci.

Ve většině případů vyhodnotil Úřad charakter a způsob řešení incidentů a přijatá opatření na základě zaslaných ohlášení (případně Úřadem vyžádaných doplnění podkladů) za dostačující bez nutnosti uplatnění dozorových pravomocí.

  • Základní formulář k ohlášení porušení zabezpečení naleznete ZDE.
  • Informace k případům porušení zabezpečení v oblasti zdravotnictví naleznete ZDE.
  • Základní pravidla pro práci z domova ve vztahu k zabezpečení naleznete ZDE.
  • Více informací k ohlašování bezpečnostních incidentů týkajících se zpracovávaných osobních údajů je k dispozici ZDE.

Téma: Evidence zpracování, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Dozorový úřad, Pokuty, Povinnosti správce, Subjekt údajů
10.06.2020 (autor Redakce)





Související

Zpracování osobních údajů v rámci opatření proti šíření koronaviru

V současné mimořádné situaci vyvstávají otázky týkající se zpracování osobních údajů o zdravotním stavu...

 aktualizováno 17.09.2020 
Téma: Evidence zpracování

Informační systém dodaný externím dodavatelem nezbavuje správce odpovědnosti za správné zpracování osobních údajů

Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za...

 vydáno 12.08.2020 
Téma: GDPR a IT systémy

Nejčastější nedorozumění v oblasti zpracování biometrických údajů

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách vlastní neoficiální překlad materiálu...

 vydáno 12.08.2020 
Téma: GDPR a procesy



Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...

Odpovídá Mgr. Martin Leskovjan
Článek 83 Obecného nařízení upravuje obecné podmínky pro ukládání správních pokut. Dle tohoto ustanovení by správní pokuty měly být především...

Odpovídá Mgr. Nikola Dohnalová
Ne není. Čl. 38 odst. 3 Obecného nařízení stanoví, že pověřenec pro ochranu osobních údajů v souvislosti s plněním svých úkolů není správcem či...



www.helpgdpr.cz
© Copyright 2000 - 2020, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz