Najčastejšie sa opakujúce prípady bezpečnostných incidentov („Data breach“)

Úvod

Úniky osobných údajov v dnešnej dobe predstavujú fenomén, s ktorým sa stretávame tak v súkromnom, ako aj pracovnom živote. Každý, kto spracúva osobné údaje, sa musí vyvarovať situáciám, kedy môže dôjsť k strate alebo odcudzeniu osobných údajov a musí prijať také opatrenia, ktoré znížia riziko vzniku bezpečnostného incidentu.

Žijeme v dobe, ktorá sa vyznačuje svojou elektronizáciou. Svoj život si vieme ťažko predstaviť bez smartfónov, notebookov, prípadne inej výpočtovej techniky. Tá zohráva významnú rolu najmä v našom pracovnom živote. S rozmáhajúcou sa elektronizáciou však prichádzajú nielen možnosti, ako si „uľahčiť“ život, ale tiež hrozby, ktoré predstavujú hackerské útoky (najčastejšie vo forme tzv. phishingových e-mailov).

 

Čo je bezpečnostný incident

K narušeniu, resp. úniku osobných údajov (z angl. „data breach“) dochádza, keď útočník (hacker) podvodným spôsobom získa prístup k databáze údajov, ktorá obsahuje súkromné a väčšinou veľmi citlivé informácie o dotknutých osobách (fyzické osoby, ktorých osobné údaje sa spracúvajú). Takéto úniky osobných údajov sa nazývajú tiež bezpečnostné incidenty. Predmetom úniku osobných údajov môžu byť bežné osobné údaje, napríklad používateľské meno a heslo, bydlisko, kontaktné údaje, ale tiež veľmi citlivé osobné údaje, ako napríklad číslo sociálneho poistenia, v podmienkach Slovenskej republiky rodné číslo alebo údaje z platobnej karty. Takto získané údaje následne útočník predáva rôznym kriminálnym skupinám alebo ich sám využije vo svoj prospech.

Okrem úmyselne spôsobených únikov osobných údajov sa v praxi stretávame s prípadmi, kedy k úniku osobných údajov dôjde neúmyselne, najčastejšie v dôsledku ľudského pochybenia. Stačí malá nepozornosť a váš zamestnanec odošle e-mail s osobnými údajmi, ktorý mal byť adresovaný konkrétnej osobe, úplne inému adresátovi. Takýto bezpečnostný incident ste ako prevádzkovateľ (subjekt, ktorý spracúva osobné údaje dotknutých osôb) povinný hlásiť Úradu na ochranu osobných údajov Slovenskej republiky ako dozornému orgánu pre oblasť ochrany osobných údajov, a to do 72 hodín, odkedy ste sa o ňom dozvedeli.

Úniky údajov sa týkajú tak orgánov verejnej správy, ako aj súkromných spoločností. Ako bezpečnostné incidenty vznikajú, prečo sú nebezpečné, aké pokuty zo strany dozorného orgánu za ich spôsobenie hrozia a ako sa pred nimi chrániť? Spoločne sa pozrieme na najčastejšie sa opakujúce  bezpečnostné incidenty, s ktorými sa v praxi stretávame a detailnejšie si ich rozoberieme.

V úvode sme spomenuli, že bezpečnostné incidenty môžu vzniknúť aj v prostredí verejného sektora. Sem nepochybne patria aj obce a mestá, ktoré spracúvajú osobné údaje o svojich obyvateľoch. Väčšina obcí a miest bojuje s nedostatočne kvalifikovaným pracovným personálom a nedostatkom financií. Aj od toho sa odzrkadľuje pomerne častý výskyt neúmyselne spôsobených bezpečnostných incidentov.

 

Bezpečnostné incidenty v prostredí verejného sektora

Najviac prípadov úniku osobných údajov v podmienkach verejného sektora vzniká v súvislosti s nesprávnym anonymizovaním povinne zverejňovaných dokumentov v zmysle zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií), prípadne nesprávnym zverejnením uznesení zo zasadnutia obecného zastupiteľstva alebo rozhodnutí, ktoré sú výsledkom správneho konania (napríklad stavebné konanie). Vo všetkých týchto prípadoch spravidla ide o individuálne pochybenie na strane zamestnanca.

 

Zverejnenie mena, priezviska a titulu fyzickej osoby

Obec ako prevádzkovateľ na svojom webovom sídle zverejnila v zápisnici zo zasadnutia obecného zastupiteľstva meno, priezvisko a titul fyzickej osoby (navrhovateľa), pričom tieto údaje mali byť anonymizované. Dozorný orgán sa o tejto skutočnosti dozvedel priamo od dotknutej osoby – navrhovateľa. Úrad na ochranu osobných údajov Slovenskej republiky v tejto veci konštatoval porušenie zásady zákonnosti podľa čl. 5 ods. 1 písm. a) NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), známeho tiež ako „nariadenie GDPR“. Porušenie zásady zákonnosti dozorný orgán konštatuje v prípade, ak prevádzkovateľ spracúva osobné údaje dotknutých osôb bez právneho základu. V tomto prípade by obec musela na takéto zverejnenie údajov disponovať súhlasom dotknutých osôb. Ak týmto súhlasom nedisponuje, musí pred zverejnením osobné údaje dotknutých osôb anonymizovať tak, aby neboli identifikovateľné. Dozorný orgán v tomto konkrétnom prípade upustil od uloženia pokuty a obci uložil nápravné opatrenie, v zmysle ktorého bola obec povinná zabezpečiť, aby pri zverejňovaní zápisníc zo zasadnutia obecného zastupiteľstva na webovom sídle obce nedochádzalo k zverejňovaniu osobných údajov bez právneho základu a o týchto opatreniach informovať osoby, ktoré zverejňovanie zabezpečujú. Prevádzkovateľ ako opatrenie prijal systém dvojitej kontroly – všetky dokumenty, ktoré majú byť zverejnené, najprv jeden zamestnanec anonymizuje a následne druhý zamestnanec vykoná kontrolu správnej anonymizácie. Zamestnancov, ktorí majú na starosti zverejňovanie dokumentov na webovom sídle obce, zároveň opätovne preškolil v oblasti ochrany osobných údajov.

 

Autor: JUDr. Samuel Matejovič