Máte pro tyto situace připravený plán?
Mít pro případ úniku osobních údajů plán je důležité hlavně u větších společností, kde s nimi přichází do kontaktu více zaměstnanců, oddělení a dodavatelů.
Všichni zaměstnanci musí být o nakládání s osobními údaji a svých povinnostech dobře proškoleni a měli byste mít zpracovanou vnitřní směrnici nebo manuál k práci s osobními údaji podle GDPR.
Kromě toho, že tím dostojíte svým zákonným povinnostem a úřady pak bývají při posuzování případných sankcí shovívavější, si tím také značně usnadníte život poté, co k úniku dat dojde.
Manuál a školení zaměstnanců v oblasti GDPR doporučujeme nepodceňovat hlavně v době, kdy máte část nebo celou firmu na home office. Při práci z domova bývá riziko úniku osobních údajů či jiných dat obecně vyšší.
Přečtěte si článek Petra Letáka Jak na home office předejít kyberútoku a úniku osobních údajů.
Jak při úniku dat postupovat
Vy co máte pro tento případ plán, tak samozřejmě podle něj. Pro vás ostatní tady máme SOS návod.
1. Rychle zastavte nebo zmírněte dopady
Jakmile zjistíte, že došlo k bezpečnostnímu incidentu, udělejte v první řadě všechno pro to, abyste zastavili jeho pokračování a zmírnili jeho následky hlavně v technické rovině.
2. Vyhodnoťte závažnost a rizika
Správce osobních údajů musí neprodleně vyhodnotit, jaká rizika z porušení zabezpečení vyplývají pro ty, jejichž osobní údaje unikly nebo byly jinak narušeny. Typicky to bývají zákazníci, zaměstnanci, uživatelé aplikací apod. To je důležité především kvůli dalším krokům, které budete muset kvůli incidentu udělat.
3. Zpracujte o úniku dat záznam
Tohle je vaše povinnost u každého bezpečnostního incidentu. V záznamu stručně popište bezpečnostní incident, jeho příčiny a důsledky. Pokud jsou zásadnější rizika či dopady pro ty, o jejichž osobní údaje se jedná, vaše povinnosti končí založením záznamu k vaší GDPR dokumentaci.
Jde například o situace, kdy došlo k úniku pseudonymizované databáze, která bude komukoliv bez znalosti klíče k ničemu, nebo k uveřejnění osobních údajů, které už veřejné byly.
Často ale bývají důsledky závažnější, v takovém případě čtěte dál.
4. Oznamte bezpečnostní incident úřadům
Pokud únik osobních údajů představuje riziko pro subjekty údajů, je potřeba ho nahlásit na Úřad pro ochranu osobních údajů. Pro oznámení platí velmi krátká lhůta 72 hodin, bez ohledu na pracovní dny či dobu. Naštěstí se tato lhůta vztahuje k okamžiku zjištění bezpečnostního incidentu, ne k momentu, kdy se odehrál. Máte tak určitý čas na to vůbec situaci vyhodnotit nebo ji předat kompetentní osobě, než stopky začnou běžet.
Jak má toto oznámení vypadat?
- Popište porušení zabezpečení, kategorii a přibližný počet osobních údajů a osob, které jsou tím dotčeny.
- Uveďte kontaktní údaje na osobu, který může k incidentu poskytnout víc informací
- Popište pravděpodobné důsledky incidentu.
- Shrňte přijatá opatření, kterými řešíte porušení zabezpečení a snižujete následky incidentu.
Co se bude dít dál?
ÚOOÚ oznámení posoudí a mnohdy se tím celá záležitost uzavře. Samotné oznámení na ÚOOÚ tedy nemusí být důvodem pro zahájení kontroly nebo uložení pokuty.
GDPR počítá s tím, že každé zpracování osobních údajů s sebou přináší určité riziko, které nelze nikdy odstranit. Zásadní je, abyste jako správce osobních údajů udělali dostatečná preventivní opatření. Pokud se tedy Úřad rozhodne událost více řešit, bude ho zajímat zejména vaše dokumentace a co jste udělali proto, aby k incidentu nedošlo. Pokud vyjde na jevo, že jste přípravu podcenili, pokutě se nejspíš nevyhnete.
Pokud svou povinnost informovat ÚOOÚ o úniku osobních údajů nesplníte a průšvih vyjde najevo, bude úřad k této záležitosti přistupovat daleko přísněji.
5. Informujte také ty, jejichž osobní údaje unikly
Tuto povinnost máte v případě, že pro ně únik osobních údajů představuje veliké riziko. Rozsah takového oznámení je podobný jako u oznámení pro ÚOOÚ, formulujte jej ale tak, aby bylo srozumitelné i pro běžné smrtelníky. Forma takového sdělení bude záležet na situaci, využitím e‑mailových kontaktních adres ale nic nezkazíte.
Lidé pak mohou zvážit, zda se budou domáhat náhrady za vzniklou újmu (třeba při úniku bankovních nebo zdravotnických záznamů).
Výjimku z této povinnosti představují situace, kdy by obeslání všech dotčených osob bylo nepřiměřeně komplikované nebo pokud správce dokázal následky porušení zabezpečení natolik zmírnit, že riziko už pominulo.
6. Poučte se pro příště
Opět se tak dostáváme k nutnosti mít pro tyto situace plán a dobře proškolené zaměstnance. Obojí firmy velmi často podceňují a začínají řešit až když při úniku dat zjistí, jak moc by jim pomohlo, kdyby to bývaly řešily včas.
Koho se vlastně tyto povinnosti týkají?
Tyto povinnosti se na vás vztahují, pokud jste v roli správce osobních údajů, a to i v případě, že k chybě došlo například u vašeho dodavatele, který je v roli zpracovatele osobních údajů.
V takovém případě se navíc situace komplikuje ještě o prodlení, ke kterému může dojít při předání všech informací. Dobrá smlouva o zpracování osobních údajů by tak měla zpracovatele zavázat k ohlašování incidentů ve velmi krátké lhůtě, aby mohl správce splnit zákonné požadavky.
Pokud jste naopak v roli zpracovatele, pohlídejte si, abyste případné porušení zabezpečení správci oznámili včas a vyhnuli se smluvním pokutám a jiným sankcím.
Co dělat, když si nejste něčím jistí?
V případě nejistoty je vždycky lepší postupovat v přísnější variantě, než nad něčím mávnout rukou. Pokud nevíte kudy kam, nebo se jen chcete ujistit, že děláte vše správně, konzultujte svůj postup s odborníky na GDPR.
Konzultaci s námi si můžete jednoduše zarezervovat na napistenam@elegal.cz. Pokud je situace opravdu naléhavá, zavolejte nám na 255 785 595.
2. 11. 2020
Sdílet
Tweet
LinkedIn
