Úřad pro ochranu osobních údajů (ÚOOÚ) v říjnu 2019 na svých webových stránkách zveřejnil dosavadní poznatky z ohlašování porušení zabezpečení osobních údajů Úřad shrnul informace, o jaké útoky nejčastěji šlo a jak se proti takovým útokům nejlépe bránit. ÚOOÚ na svých stránkách rovněž zveřejnil formulář pro oznamování bezpečnostních incidentů, aby správcům usnadnil ohlašování bezpečnostních incidentů.
Velká část z ohlášených porušení zabezpečení osobních údajů se týkala napadení informačního systému, resp. získání přístupu k informačnímu systému prostřednictvím phishingového útoku. Značné množství úspěšných phishingových útoků vyústila v umístění škodlivého programu do informačního systému, který zašifroval informace a požadoval k jejich odblokování výkupné (tzv. ransomware).
Jednou z účinných obran proti této formě počítačové kriminality, co do vztahu k rizikovosti takového incidentu dle GDPR, je pravidelné zálohování informací. Zásadou je, aby potřebná data bylo možno po útoku ransomware obnovit a zároveň nedošlo ke ztrátě kontinuity fungování organizace, resp. jejímu nepříznivému narušení. Pokud došlo k úspěšné obnově osobních údajů bez dalších vážných přetrvávajících důsledků, taková událost nepředstavuje zpravidla riziko pro subjekty údajů a nevyžaduje ohlašování Úřadu.
Riziko porušení zabezpečení osobních údajů posuzuje vždy komplexně správce na základě informací, kterými disponuje. Mezi posuzovanými okolnostmi v případě napadení ransomwarem tak musí být
i okolnost, zdali se útočník nezmocnil osobních údajů v tom smyslu, že by jimi i zároveň disponoval.
V předcházení uvedeným formám počítačové kriminality je nezastupitelnou rolí zaměstnavatele také informovat zaměstnance o těchto rizicích v rámci školení počítačové bezpečnosti. Samozřejmostí je nastavení adekvátních pravidel ve vztahu k používaným informačním systémům a zpracovávaným kategoriím osobních údajů.
Nový formulář pro ohlašování porušení zabezpečení osobních údajů
Pro usnadnění ohlašování porušení zabezpečení osobních údajů, zejména správcům, kteří nedisponují odborníkem (pověřencem) pro ochranu osobních údajů ÚOOÚ připravil formulář, obsahující veškeré nezbytné náležitosti potřebné k posouzení ohlašovaného porušení zabezpečení osobních údajů. Náležitosti z tohoto formuláře mohou správci osobních údajů využít i pro základní posouzení, zda bezpečnostní incident představuje riziko pro subjekty údajů a zda je nutné ho ohlásit ÚOOÚ. Připomínáme, že správce má dle GDPR povinnost dokumentovat všechny bezpečnostní incidenty, a to i takové, které díky nízké míře rizika pro subjekty údajů není nutné ohlašovat ÚOOÚ. Vzor formuláře pro ohlášení bezpečnostního incidentu naleznete zde https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=38215
Advokátní kancelář Vítek Mrázek Kramný s.r.o.
Mgr. Barbora Prokůpková, advokátka