Porušenie ochrany osobných údajov – tzv. bezpečnostný incident

Cieľom tohto článku je poskytnúť informácie o tom, čo sa považuje za porušenie ochrany osobných údajov, a popísať, ako má spoločnosť/prevádzkovateľ postupovať po zistení porušenia. Ide o postup podľa čl. 33 a 34  nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“ alebo „Nariadenie“).

 

Čo sa rozumie porušením ochrany osobných údajov/bezpečnostným incidentom/data breach?

„Porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.

 

Príklady porušenia ochrany osobných údajov:

• neoprávnený prístup k osobným údajom prostredníctvom zariadenia na ich spracúvanie, uchovávanie, rozmnožovanie, prenášanie;
• neoprávnená modifikácia/zmena osobných údajov v zariadeniach na ich spracúvanie, uchovávanie, rozmnožovanie, prenášanie;
• strata zariadenia, prípadne iných nosičov, ktoré obsahujú osobné údaje;
• krádež zariadenia, prípadne iných nosičov, ktoré obsahujú osobné údaje;
• zničenie zariadenia, prípadne iných nosičov, ktoré obsahujú osobné údaje;
• neoprávnené vymazanie osobných údajov nachádzajúcich sa na zariadení určenom na ich spracúvanie;
• nedostupnosť osobných údajov z dôvodu trvalej straty osobných údajov (bez možnosti obnovy);
• dočasná nedostupnosť osobných údajov (existujú zálohy – možná obnova osobných údajov);
• strata dokumentov, prípadne iných nosičov obsahujúcich osobné údaje;
• krádež dokumentov, prípadne iných nosičov obsahujúcich osobné údaje;
• zničenie dokumentov, prípadne iných nosičov obsahujúcich osobné údaje;
• neoprávnená modifikácia dokumentov obsahujúcich osobné údaje;
• neoprávnené oboznámenie sa s osobnými údajmi neoprávnenou osobou;
• neoprávnené zverejnenie osobných údajov;
• poskytnutie osobných údajov neoprávnenej osobe (úmyselné, neúmyselné, napr. osobné údaje boli odovzdané, zaslané nesprávnemu príjemcovi);
• strata kontroly nad osobnými údajmi.

 

Čo musí prevádzkovateľ v prípade porušenia vedieť?

...

Ako postupovať v prípade, ak príde k porušeniu ochrany osobných údajov?

...

Aké opatrenia je potrebné prijať, aby sa predchádzalo porušeniam ochrany osobných údajov?

Prevádzkovateľ je povinný podľa čl. 32 Nariadenia prijať primerané organizačné a technické opatrenia. Cieľom je zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

1. pseudonymizáciu a šifrovanie osobných údajov;
2. schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
3. schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
4. proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

 

Konkrétne opatrenia môžu byť napríklad:

• Aktualizácia operačného systému a aplikačného softvéru na serveroch, klientskych počítačoch, aktívnych sieťových komponentoch a akýchkoľvek iných počítačoch v rovnakej sieti LAN (vrátane zariadení Wi-Fi). Zabezpečiť, aby boli zavedené vhodné bezpečnostné opatrenia IT, zabezpečiť ich účinnosť a pravidelne ich aktualizovať, keď sa spracovanie alebo okolnosti zmenia alebo vyvinú. To zahŕňa vedenie podrobných záznamov o tom, ktoré záplaty sú aplikované v ktorej časovej pečiatke.
• Navrhovanie a organizovanie systémov spracovania a infraštruktúry na segmentovanie alebo izoláciu dátových systémov a sietí, aby sa zabránilo šíreniu malvéru v rámci organizácie a do externých systémov.
• Existencia aktuálneho, bezpečného a testovaného postupu zálohovania. Médiá na strednodobé a dlhodobé zálohovanie by sa mali uchovávať oddelene od prevádzkových dátových úložísk a mimo dosahu tretích strán aj v prípade úspešného útoku (napríklad denné prírastkové zálohovanie a týždenné úplné zálohovanie).
• ...

Článok je krátený redakciou.

Viac informácií sa dozviete v celom znení článku.

 

Autor: JUDr. Marcela Macová, PhD.