GDPR: Kedy máte oznámiť bezpečnostný incident na Úrad?

Úvod

Nariadenie GDPR neustanovuje len povinnosti súvisiace so spracúvaním osobných údajov a očakávania na ich zabezpečenie prostredníctvom rôznych bezpečnostných opatrení, ale počíta aj so skutočnosťou, že aj najlepšie zabezpečený systém môže zlyhať. Skôr ako sa však dostaneme k týmto následkom, pozrieme sa na možnosti technického zabezpečenia osobných údajov, ktoré spracúvate.

Súčasná doba nám ponúka nielen relatívne spoľahlivé prostriedky fyzickej ochrany, ale aj informačno-technickej povahy. V prvom rade ide o vašu povinnosť zohľadniť najnovšie poznatky, najmä z oblasti kyber bezpečnosti, informačnej bezpečnosti, vývoja technológií, bezpečnostných hrozieb a nových zraniteľností predstavujúcich riziká pre ochranu základných práv a slobôd dotknutých osôb. Súčasne bude potrebné pravidelne sledovať aj prax v oblasti výkladu ustanovení GDPR a vývoja aktuálnych trendov v oblasti bezpečnosti a bezpečnostných hrozieb a odporúčania poskytnuté dozornými orgánmi, Európskou komisiou a Európskym výborom pre ochranu údajov.

Bezpečnosť spracúvania osobných údajov by ste tak mali zabezpečiť najmä prostredníctvom pseudonymizácie, šifrovania, zálohovania a obmedzovania prístupu i doby spracúvania osobných údajov, ako aj prostredníctvom ďalších vhodných organizačných a technických bezpečnostných opatrení pozitívne pôsobiacich na bezpečnosť spracúvania osobných údajov.

Pri uvedenom by to však nemalo ostať. Pamätajte na to, že všetky pravidlá ochrany osobných údajov nesmú byť preverované len v čase ich prijatia. Je potrebné preverovať ich funkčnosť a implementáciu počas celej doby spracúvania osobných údajov a používania bezpečnostných pravidiel a prostriedkov ochrany osobných údajov.

Preto je potrebné pravidelne testovať, posudzovať a hodnotiť ich účinnosť s ohľadom na zaistenie bezpečnosti spracúvania osobných údajov, pričom bude vhodné využívať odborne spôsobilé osoby so znalosťou IT technológii, informačnej bezpečnosti a právnej úpravy v oblasti ochrany osobných údajov.

Ak používate tzv. sprostredkovateľa osobných údajov, teda napr. cloudové služby, dátové úložisko, externú firmu na mzdy a účtovníctvo, externú SBS s prístupom ku kamerovým záznamom a pod., ste povinný vyžadovať písomné záruky o tom, že ...