Ako sa zachovať v prípade úniku dát?

V prvom rade neprepadajte panike a vždy sa uistite, že máte so sebou uterák.

Nakoniec sa to stalo. Vo vašom systéme sa vyskytla chyba a niekto ju využil na vykonanie toho, čo sa v žargóne nazýva a Údaje porušenie. Porušenie ochrany osobných údajov. Nebojte sa, nejde o nezvyčajný jav. Tí najšťastnejší sa s touto možnosťou stretávajú menej ako raz za rok, no vo svete, ktorý sa vyvíja tak rýchlo ako internet, sa môže stať, že táto možnosť bude oveľa častejšia. Aj keď sa snažíte neprepadať panike, odporúčame vám dodržiavať základné pravidlo: ak chcete zvládnuť porušenie, musíte postupujte podľa pokynov európskeho nariadenia 16/679 (GDPR), ktorý ponúka návod, čo robiť, ak dôjde k porušeniu ochrany údajov.

Čo je porušenie ochrany údajov?

Porušenia osobných údajov sú z 6 typov a každý z nich môže byť dobrovoľný alebo náhodný podľa toho, prečo sa to stalo:

• Nepovolený prístup. Niekto nemohol mať prístup k určitým informáciám, no mal. V prípade, že to bola chyba, možno ste poslali dôležitý dokument jednej osobe namiesto druhej. Bola to nehoda, ale stále ide o porušenie ochrany údajov. Avšak v prípade, že ste neoprávnene pristupovali k niečím údajom, táto udalosť sa môže stať špionáž.
• Neautorizovaná kópia. Niekto zobral nejaké údaje, ktoré mu nepatrili a skopíroval si ich pre seba. Mohlo by dôjsť k nehode, ak by sa spolupracovník rozhodol vytlačiť dokument, ktorý by nemal mať, aby mohol lepšie zostaviť pracovný dokument. V prípade dobrovoľného kopírovania na menej jasné ciele by to tak mohlo byť krádež.
• Neočakávané odhalenie. Niekto náhodou unikne dátam, ktoré by z akéhokoľvek dôvodu nemali byť online. Na facebookovom profile firmy je napríklad zverejnená fotografia dôležitého zákazníka. V prípade podvodu je táto operácia tzv nátierka.
• Neoprávnená úprava. Niekto zmenil niektoré údaje, aj keď to nedokázal. Ak sa to stalo omylom, je to tak. Inak by to mohlo byť falšovanie hackerom alebo útočníkom.
• Strata prístupu. Niekto stratí informácie a tie už nie sú dostupné. Zabudnutie hesla počítača je porušením pravidiel, vedeli ste to? A v prípade, že to bolo urobené zámerne, stane sa šifrovanie.
• Vymazanie údajov. Niekto vymaže citlivé údaje. Ak sa tak stalo omylom, ide o porušenie. Ale v prípade, že je zrušenie dobrovoľné, vzniká mu zničenie údajov.

Porušenie osobných údajov: ako sa správať?

Pozrite si články 33 a 34 GDPR. Tieto dva články odkazujú na európske nariadenie, ktorého cieľom je naznačiť postupy, ktoré sa majú dodržiavať v prípade porušenia ochrany údajov. Článok 33 sa týka vnútorného riadenia spoločnosti a vzťahov s Garantom, zatiaľ čo článok 34 sa týka riadenia so zainteresovanými stranami, prípadne osobami, ktorých osobné údaje máme.

Je nevyhnutné to špecifikovať porušenie ochrany údajov musí byť vždy zaznamenané e, v prípade oznámené Garantovi ako je uvedené v článku 33. V ňom sa tiež hovorí, že v prípade porušenia musí prevádzkovateľ informovať dozorné orgány do 72 hodín od chvíle, keď sa o ňom dozvedel, najmä ak to predstavuje riziko pre práva a slobody fyzických osôb. Spracovatelia údajov (mzdová spoločnosť, účtovník, systémoví analytici...) musia informovať správcu údajov.

Ak sa rozhodnete oznámiť to ručiteľovi, potrebuje informácie: povaha porušenia, počet osôb, ktorých sa to týka, zmluvné údaje úradníka pre ochranu údajov, možné dôsledky porušenia a akékoľvek prijaté alebo prijaté opatrenia.

Spoločnosť má však povinnosť komunikovať všetko, čo sa deje, bez ohľadu na to, či sú porušenia neúmyselné alebo úmyselné, a prevziať zodpovednosť (zodpovednosť).

Zodpovednosť?

Spoločnosť musí byť zodpovedný, kompetentný a vedieť, čo sa deje vo svojich prostrediach a systémoch. Spoločnosť musí preukázať svoju schopnosť proaktívne vyriešiť problém a preukázať, že má nástroje na zastavenie následkov porušenia ochrany údajov. A to tak, že poskytnete dôkazy a údaje – a ponúkneme vám, aby ste garantovi poskytli istotu, že to, čo sa stalo, sa už nikdy nezopakuje. V prípade nedostatočnej „zodpovednosti“ hrozí pokuta.

Aké porušenia je potrebné oznámiť ručiteľovi?

Ručiteľovi sa oznamujú iba dobrovoľné a nie náhodné porušenia. Správca údajov sa musí v zmysle logiky zodpovednosti rozhodnúť, či oznámi alebo neoznámi, ak porušenie ochrany údajov môže spôsobiť poškodenie práv a slobôd jednotlivcov. L'ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) vytvorila a metodika výpočtu rizika o slobode osôb pri porušení. Túto metodiku je možné aplikovať aj vo firme.

Ako viete, či došlo k porušeniu?

Porušenie musí byť chápané ako skutočne zistené. Je to uskutočniteľné, ak v spoločnosti existuje primerané školenie na odhadnutie rizika a pochopenie akýchkoľvek škôd. Stručne povedané, nepotrebujete inžiniera, ktorý vstúpi na scénu na dva mesiace v snahe odhadnúť možné škody na stratenom flash disku: potrebujete školiaci kurz, ktorý pomôže dostupnému personálu pochopiť rozsah škôd bez pridávania k nákladom už dôležitý manažment. Jednoducho povedané, zamestnanci musia byť vyškolení v tom, čo znamená porušenie, a vo včasnom informovaní dotknutých osôb o postupe.

Článok 34 nám hovorí, že prevádzkovateľ údajov nesmie dotknutej osobe oznámiť porušenie kedy:

• Sú zavedené primerané technické a organizačné opatrenia, avšak s oznámením ručiteľovi a preukázaním zodpovednosti.
• Prijala opatrenia, aby zabránila vysokému riziku narušenia údajov.
• Zverejnenie možno vynechať, ak si to vyžaduje neprimerané úsilie – v tomto prípade to musí byť verejne vyhlásené!

Dochádza k porušovaniu údajov. Ale ako to podľa vás zvládnete?