Poznatky ÚOOÚ z ohlašování porušení zabezpečení osobních údajů

Úřad pro ochranu osobních údajů zveřejnil své poznatky z ohlašování porušení zabezpečení osobních údajů. Kromě statistických údajů se jedná také o rady a doporučení, jak těmto nepříjemnostem předejít. Pro efektivnější způsob jejich ohlašování navíc představuje nový formulář, který je již k dispozici na jeho webových stránkách. 

 
Účinností GDPR vznikla správcům povinnost ohlašovat Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů vyvolávající riziko pro práva a svobody fyzických osob. Ode dne účinnosti obdržel Úřad celkem 600 ohlášení o porušení zabezpečení osobních údajů.

Velká část z ohlášených porušení zabezpečení osobních údajů se týkala napadení informačního systému, resp. získání přístupu k informačnímu systému prostřednictvím úspěšného phishingového útoku. Zaměstnanci správce či zpracovatele, velmi často na základě zaslaného zavádějícího či podvrženého e-mailu, v tomto případě zpřístupnili přístupové údaje, které následně útočník zneužil. Šlo především o krádež informací, ale i o odeslání dalších phishingových e-mailů zaměstnancům nebo na kontakty, se kterými uživatel e-mailové schránky komunikoval.

Velká část úspěšných phishingových útoků vyústila v umístění škodlivého programu do informačního systému, který zašifroval informace a požadoval k jejich odblokování výkupné (tzv. ransomware).

Jednou z účinných obran proti této formě počítačové kriminality (ransomware), co do vztahu k rizikovosti takového incidentu dle GDPR, je pravidelné zálohování informací. Zásadou je, aby potřebná data bylo možno po útoku ransomware obnovit a zároveň nedošlo ke ztrátě kontinuity fungování organizace, resp. jejímu nepříznivému narušení.

Pokud došlo k úspěšné obnově osobních údajů bez dalších vážných přetrvávajících důsledků, taková událost nepředstavuje zpravidla riziko pro subjekty údajů a nevyžaduje ohlašování Úřadu.

Riziko porušení zabezpečení osobních údajů posuzuje vždy komplexně správce na základě informací, kterými disponuje. Mezi posuzovanými okolnostmi v případě napadení ransomwarem tak musí být i okolnost, zdali se útočník nezmocnil osobních údajů v tom smyslu, že by jimi i zároveň disponoval.

V předcházení uvedeným formám počítačové kriminality je nezastupitelnou rolí zaměstnavatele také informovat zaměstnance o těchto rizicích v rámci školení počítačové bezpečnosti. Samozřejmostí je nastavení adekvátních pravidel ve vztahu k používaným informačním systémům a zpracovávaným kategoriím osobních údajů.

Nový formulář pro ohlašování porušení zabezpečení osobních údajů

Pro usnadnění ohlašování porušení zabezpečení osobních údajů, zejména správcům, kteří nedisponují odborníkem (pověřencem) pro ochranu osobních údajů, je na stránkách ÚOOÚ dostupný formulář. Ten obsahuje veškeré nezbytné náležitosti potřebné k posouzení ohlašovaného porušení zabezpečení osobních údajů, čímž zároveň napomáhá správcům tuto povinnost řádně splnit.

Další informace k povinnosti ohlašovat porušení zabezpečení osobních údajů naleznete v rubrice GDPR (obecné nařízení).
 


03.10.2019 (autor Redakce)





Související

Porušení zabezpečení osobních údajů

Jakým způsobem má správce oznámit subjektu porušení zabezpečení osobních údajů dle čl. 34 odst. 1 GDPR?...

 vydáno 12.11.2019 
Téma: GDPR a procesy

Obecné nařízení o ochraně osobních údajů pro orgány EU: Vaše práva v digitálním věku

Obecné nařízení o ochraně osobních údajů (GDPR) se vztahuje na všechny podniky a organizace, které působí v...

 vydáno 09.09.2019 
Téma: Vzdělávání

Praxe s nadbytečným vyžadováním souhlasů ve školství přetrvává

V úvodu školního roku Úřad pro ochranu osobních údajů upozorňuje na přetrvávající nesprávné chápání souhlasu...

 vydáno 03.09.2019 
Téma: Dokumentace GDPR



Související dotazy
Odpovídá Mgr. Martin Leskovjan
Ano, pokud se v rámci bytového domu vede oficiální evidence těchto stížností a průběhu jejich řešení, může jít o zpracování citlivých údajů, resp....

Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....

Odpovídá Mgr. Nikola Dohnalová
Tato povinnost není dána všem organizacím. Obecné nařízení pojednává o povinnosti vést záznamy o činnostech zpracování v čl. 30 přičemž je z odst....



www.helpgdpr.cz
© Copyright 2000 - 2019, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz