Kdy je třeba ohlásit porušení ochrany osobních údajů

Hackeři, počítačové viry, neopatrnost… Rizik, která ohrožují firemní data, je bezpočet. Není otázkou zda, ale kdy se někdo pokusí odcizit nebo poškodit i ta vaše. Nezvaní hosté velmi často poruší i zabezpečení osobních údajů. Víte, jak se zachovat?

V digitalizovaném světě plném virtuálních úložišť, vzdálených přístupů a složitých IT struktur by bylo naivní myslet si, že se vaší firmy porušení zabezpečení spravovaných údajů netýká. Opak je pravdou a rizika neoprávněného přístupu do vaší sítě, ztráty dat nebo jejich poškození jsou značná. Na tyto případy se můžete ale dobře připravit, a minimalizovat tak škodlivé dopady. Jak, to vám přiblížíme i s využitím vodítek WP29, která se této problematice věnovala.

Kdy lze mluvit o porušení dle GDPR 
Dobrá zpráva na úvod. Ne každý bezpečnostní incident ve vaší firmě bude automaticky porušením zabezpečení osobních údajů dle GDPR. Tím se rozumí jakýkoliv incident, který vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí či zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Stát se tak může po cíleném útoku hackera, ale i v případě zaměstnance, který zapomene notebook se vzdáleným přístupem do vaší databáze ve vlaku. Nelze se omezovat pouze na digitální sféru, a porušení zabezpečení se tak může objevit pochopitelně i v případě zcizení fyzických záznamů obsahujících údaje například o vašich zaměstnancích. Za porušení zabezpečení je dále třeba považovat účinky škodlivého softwaru působícího na osobní údaje v systému, pokud dojde k jejich pozměnění, zašifrování či k jiné úpravě, a to i v případě, že k údajům nezíská přístup žádná třetí strana.

Svou roli bude také hrát, jaké činnosti se jako společnost věnujete a za jakým účelem osobní údaje zpracováváte. Nakládáte-li s citlivými údaji, které jsou stěžejní pro vaši činnost a ta je současně z pohledu práv fyzických osob významnou (typicky nemocnice), může porušení zabezpečení představovat i výpadek elektřiny. A to například v situaci, kdy osobní údaje budou dočasně nepřístupné a některé pacienty nebude kvůli nedostupné diagnóze možné léčit. U jiné organizace ale taková událost nemusí z pohledu GDPR znamenat vůbec nic. Na co se tedy při rozlišování zaměřit?

Určitě se v takovém případě co nejdříve obraťte na svého pověřence, který vám může pomoci situaci vyhodnotit a správně řešit.

Jde o čas 
Každou situaci, kdy mohou být zasaženy zpracovávané osobní údaje, je nutné pečlivě vyhodnotit. Základní povinností každého správce je ohlášení takové události Úřadu pro ochranu osobních údajů bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o ní dozví.

Okamžikem, který je dle GDPR považován za rozhodující, je chvíle, kdy správce zjistí důvodný stupeň obavy, že daný bezpečnostní incident je zároveň porušením zabezpečení osobních údajů, které mohly být zkompromitovány. Toto se bude lišit případ od případu – propracovaný a skrytý hackerský útok bude podroben jinému měřítku než zmíněná ztráta notebooku, která je snadno zjistitelná a vyhodnotitelná prakticky okamžitě. Chcete-li v každém případě jednat správně, začněte se samotným vyšetřováním povahy incidentu co nejdříve, ať se jedná o jakoukoliv „podezřelou“ záležitost. Vyhnete se tak případnému prošetřování úřadem kvůli nedbalému postupu.

Stěžejní je komunikace! 
Poté, co incident vyhodnotíte jako potenciální porušení zabezpečení osobních údajů, začíná běžet 72hodinová lhůta pro posouzení jeho dopadů. Jak úspěšní v tomto ohledu budete, záleží na předchozím nastavení interních mechanismů i proškolení zaměstnanců. Pravděpodobně to budou oni, kdo se o incidentu dozví jako první, a je tak třeba, aby rozpoznali jeho škodlivý potenciál a dále ho reportovali osobě či celé komisi osob, která situaci zanalyzuje. Ubezpečte se proto, že každý ve firmě ví, komu má potenciální hrozbu ohlašovat a jaké okolnosti při tom zaznamenat. Pamatujte, že je lepší ohlašovat spíše více než méně.

Jak vyhodnotit míru rizika? 
Ohlašovací povinnost úřadům nemusí vzniknout, pokud incident vyhodnotíte jako porušení bez pravděpodobných rizik pro práva a svobody fyzických osob. Dostáváme se tak k druhé fázi vašeho interního vyšetřování, kdy musíte zjistit, v jaké míře a s jakými následky k postižení osobních údajů došlo.

Do znační míry záleží, které osobní údaje byly zasaženy a jaké kategorie subjektů se týkají. Například veškeré údaje o dětech budou požívat vyšší míry ochrany, jelikož ty jsou vůči hrozbám náchylnější. Nelze také srovnávat únik citlivých údajů o lidském zdraví s únikem databáze e-mailů určených k zasílání newsletterů. Stejně tak bude důležité, jakého množství osobních údajů konkrétního člověka se porušení týká a jak by se jejich celek dal vůči němu potenciálně zneužít.

Vžijte se do role poškozeného 
Vyšší riziko pracovní skupina WP29 dále spatřuje u údajů, na základě nichž je konkrétní osoba snadno identifikovatelná. Například při úniku zašifrovaných dat bude riziko nižší, pokud zároveň nedojde i k úniku dešifrovacího kódu. Na druhou stranu nelze automaticky říci, že postižení všech tzv. pseudonymizovaných dat, která nelze bez dalšího přiřadit ke konkrétní osobě, není rizikové. Bude záležet, jaké dodatečné údaje jsou třeba, aby tato identifikace byla možná, a jak snadno jsou tyto údaje dostupné, tzn. jsou-li například veřejně přístupné z rejstříku.

Jako obecný návod na toto posouzení doporučujeme představit si situaci z pohledu osoby, jejíž osobní údaje byly zasaženy. Představte si nejhorší, ale stále ještě přiměřeně reálný následek, který to pro ni může mít. Dojdete-li k závěru, že takové osobě může být způsobena nikoliv zcela zanedbatelná újma v podobě poškození reputace, společenského ponížení, krádeže identity či podvodu, poškození zabezpečení úřadu ohlaste.

Co přesně ohlásit? 
Obsah ohlášení úřadu bude tvořit především popis povahy porušení, přičemž správce musí uvést, jaké kategorie údajů byly zasaženy, a co nejpřesněji odhadnout počet postižených osob. Úřad dále vyžaduje informaci o kontaktním místě v rámci vaší organizace. Máte-li ve firmě pověřence pro ochranu osobních údajů, bude takovou kontaktní osobou právě on. Správce by měl úřad dále obeznámit s pravděpodobnými důsledky tohoto porušení a s popisem nápravných opatření, která za účelem jejich zmírnění přijal. 

Nařízení počítá s tím, že všechny požadované informace nemusí být správci dostupné během stanovené lhůty pro ohlášení, a proto umožňuje, aby informace byly poskytovány postupně. Doporučujeme být vůči úřadu maximálně transparentní a situaci mu náležitě vysvětlit.

Veškeré případy porušení (tedy i ty, které nepředstavují riziko pro práva a svobody osob, a nepodléhají tak ohlašovací povinnosti vůči úřadu) bude muset správce zdokumentovat spolu s jejich účinky a přijatými nápravnými opatřeními, aby se, pokud možno, neopakovaly.

Nespoléhejte na své zpracovatele 
V situaci, kdy pro vás osobní údaje zpracovává externí subjekt a dojde k porušení zabezpečení v jeho sféře činnosti, musí incident bez zbytečného odkladu ohlásit pouze vám jakožto správci. Ten přebírá dále veškerou zodpovědnost a musí povahu incidentu vyšetřit, zhodnotit a případně splnit ohlašovací povinnost vůči dozorovému úřadu.

Přímo z nařízení GDPR jsou tak povinnosti zpracovatelů v tomto ohledu užší než povinnosti správce. Doporučujeme proto, aby si správci smluvně dohodli intenzivnější zapojení zpracovatelů do celého procesu zjišťování a vyšetřování bezpečnostních incidentů. Povinností daných GDPR to správce sice nezprostí, ale vůči zpracovatelům získá alespoň jistou „páku“.

Ohlašování vůči subjektům 
Ohlášením incidentu úřadu vaše povinnosti vyplývající z porušení ochrany osobních údajů nekončí. V určitých případech budete muset kontaktovat přímo postižený subjekt údajů. Naštěstí pouze v situacích, kdy jejich právům a svobodám hrozí vysoké riziko. Tím se má předejít zahlcování jednotlivých osob hlášeními porušení, která pro ně nemají významné následky. Při komunikaci se subjektem doporučujeme použít obecnější a srozumitelnější jazyk ohlášení než vůči úřadu. A pozor, vždy se snažte kontaktovat přímo danou osobu (e-mailem, telefonicky), zveřejněním zprávy na webu povinnosti nesplníte.

Jak se připravit? 
Aby byly škodlivé následky porušení ochrany osobních údajů pro firmu co nejmenší, nenechte se zastihnout nepřipravení. Sebeúčinnější systém nakládání s osobními údaji, který ve firmě implementujete, nikdy případy narušení zabezpečení zcela nevyloučí. Proškolte své pracovníky, mějte přehled o vámi zpracovávaných údajích, o tom, kdo jsou vaši zpracovatelé a zda se na ně můžete spolehnout. Zjistěte si, jaké scénáře poškození jsou v rámci vaší činnosti nejpravděpodobnější, vytvořte si krizové plány reagující na takové události. Být připraven se vzhledem k šibeničním lhůtám a množství ohlašovaných údajů skutečně vyplatí.