Porušenie ochrany osobných údajov, ktoré predstavuje riziko pre práva ľudí, treba nahlásiť Úradu na ochranu osobných údajov Slovenskej republiky bez zbytočného odkladu, najneskôr do 72 hodín od chvíle, keď sa o ňom dozviete (čl. 33 GDPR). Ak únik pravdepodobne predstavuje vysoké riziko pre dotknuté osoby, musíte informovať aj ich (čl. 34). Únik, ktorý pravdepodobne nepredstavuje žiadne riziko, sa úradu nehlási, ale musíte ho zaevidovať.

Obsah

Zamestnanec pošle e-mail s prílohou plnou osobných údajov nesprávnemu adresátovi. Alebo sa stratí notebook s databázou klientov. Alebo prevádzku zasiahne ransomvér. A zrazu stojíte pred otázkami, na ktoré treba odpovedať rýchlo: je toto vôbec únik, ktorý sa hlási? komu? a dokedy?

Práve tu sa ukáže, či ste sa pripravili, alebo nie. Únik údajov totiž nie je otázka „či“, ale „kedy“, a rozhoduje pripravenosť. Lehota 72 hodín začína bežať od chvíle, keď sa o úniku dozviete, nie od chvíle, keď na to budete mať čas. To sú necelé tri dni na to, aby ste posúdili, čo sa stalo, aké to má následky a či a komu to nahlásiť. S pripraveným postupom je to zvládnuteľné. Bez neho je to panika.

Čo je porušenie ochrany osobných údajov?

Prvé nedorozumenie je, že „únik“ znamená hackera. GDPR to chápe oveľa širšie. Porušením ochrany údajov (čl. 4 bod 12) je akékoľvek narušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo neoprávnenému poskytnutiu či sprístupneniu osobných údajov.

Prakticky to zahŕňa oveľa viac situácií, než by človek čakal. Nielen kybernetický útok, ale aj stratený alebo ukradnutý notebook a telefón, e-mail poslaný nesprávnemu adresátovi, omylom zverejnený zoznam, zamestnanca, ktorý si odnesie databázu, alebo aj obyčajné zmazanie, po ktorom sa údaje nedajú obnoviť. Väčšina reálnych únikov, ktoré vidím, nevznikla prelomením zabezpečenia, ale ľudskou chybou. To je dobrá aj zlá správa: dobrá, lebo sa im dá do veľkej miery predchádzať poriadkom a školením, zlá, lebo sa stávajú aj vo firmách, ktoré si myslia, že „im sa to stať nemôže“.

Kedy a komu sa únik hlási?

Adresátom hlásenia je dozorný orgán, na Slovensku Úrad na ochranu osobných údajov. Hlásite bez zbytočného odkladu, najneskôr do 72 hodín od momentu, keď ste sa o úniku dozvedeli. Ak to stihnete neskôr, musíte k hláseniu priložiť dôvod omeškania.

Výnimka existuje: ak únik pravdepodobne nepredstavuje riziko pre práva a slobody dotknutých osôb, úradu ho hlásiť nemusíte. Toto posúdenie je ale na vás a musí byť obhájiteľné, takže „radšej to nenahlásime“ nie je stratégia. Hlásenie má obsahovať aspoň povahu porušenia, kategórie a približný počet dotknutých osôb a záznamov, kontakt na zodpovednú osobu, pravdepodobné následky a opatrenia, ktoré ste prijali alebo navrhujete. Ak v prvej chvíli nemáte všetko, môžete informácie doplniť postupne, dôležité je začať včas.

Kedy treba informovať aj dotknuté osoby?

Hlásenie úradu je jedna vec, informovanie ľudí druhá. Ak únik pravdepodobne predstavuje vysoké riziko pre práva a slobody dotknutých osôb, musíte bez zbytočného odkladu informovať aj ich samotných, a to zrozumiteľne, nie právnickým žargónom. Cieľom je, aby sa mohli chrániť, napríklad zmeniť heslo alebo sledovať účet.

GDPR pozná aj situácie, keď informovať ľudí nemusíte: ak boli údaje účinne šifrované alebo inak nečitateľné pre útočníka, ak ste po úniku prijali opatrenia, vďaka ktorým už vysoké riziko nehrozí, alebo ak by individuálne informovanie vyžadovalo neprimerané úsilie, vtedy postačuje verejné oznámenie. Práve šifrovanie je dôvod, prečo je dobrým bezpečnostným opatrením, ktorému sme sa venovali v článku o bezpečnosti spracúvania: dobre zašifrovaný stratený disk nemusí byť únik s povinnosťou informovať ľudí.

Čo ak únik nenahlásite?

Nenahlásený alebo zatajený únik je dvojnásobný problém. Jednak samotné porušenie povinnosti hlásiť môže viesť k pokute, jednak sa tým pripravujete o možnosť situáciu zvládnuť so cťou. Úrad aj verejnosť odpúšťajú firme, ktorá únik priznala a konala, oveľa viac než firme, ktorá ho tajila, kým to nevyšlo najavo.

Bez ohľadu na to, či konkrétny únik hlásite úradu, alebo nie, máte povinnosť evidovať všetky porušenia ochrany údajov vrátane ich následkov a prijatých opatrení (čl. 33 ods. 5). Táto interná evidencia je zároveň to, čo pri kontrole preukazuje, že svoje úniky posudzujete zodpovedne, nielen keď vás niekto pristihne.

Ako súvisí únik údajov s hlásením incidentu podľa NIS2 a ZoKB?

Toto je dôležité najmä pre firmy v regulovaných odvetviach. Jeden a ten istý incident, napríklad ransomvér, môže naraz spadať pod GDPR (ak zahŕňa osobné údaje) aj pod zákon o kybernetickej bezpečnosti (ak ste regulovaný subjekt). Ide o dva rôzne režimy s vlastnými adresátmi a vlastnými lehotami, ktoré bežia súbežne. Ako fungujú lehoty a povinnosti pri kyberbezpečnostnom incidente, rozoberáme v článku o riadení rizík podľa ISO 27001 a NIS2.

Dobrá správa je, že na úrovni Európskej únie sa pripravuje zjednodušenie, ktoré má tieto hlásenia zosúladiť cez jednotné miesto a zároveň predĺžiť lehotu a zvýšiť prah pri hlásení únikov. V čase písania je to návrh, ktorému sa venujeme v samostatnom článku o zjednodušení GDPR. Kým nie je prijatý, platí režim, ktorý je opísaný vyššie.

Ako sa pripraviť na únik

Kľúč nie je vedieť naspamäť články GDPR, ale mať jednoduchý postup pripravený skôr, než únik nastane. Spíšte si, kto vo firme únik prijme a komu ho nahlási, ako rýchlo posúdite jeho závažnosť, kde nájdete, koho sa týka (tu vám pomôže záznam o spracovateľských činnostiach), a kto rozhodne o nahlásení. Jedna strana papiera, ktorú majú ľudia po ruke, je v deň úniku cennejšia než hrubá smernica, ktorú nikto neotvorí.

Zvyčajne tu zaznie námietka: „nám nič neunikne, načo to riešiť“. Lenže únik nie je väčšinou dielo hackera, je to zle poslaný e-mail alebo stratený telefón, a to sa stane skôr či neskôr každému. Rozdiel medzi firmou, ktorá to zvládne za popoludnie, a firmou, ktorá spanikári a premešká lehotu, nie je v šťastí, ale v tom, či mala pripravený postup.

Ak si chcete nastaviť postup pri úniku, ktorý zvládnete aj pod tlakom 72 hodín, a nechcete to riešiť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.

Časté otázky

Čo sa považuje za porušenie ochrany osobných údajov?

Akékoľvek narušenie bezpečnosti, ktoré vedie k zničeniu, strate, zmene alebo neoprávnenému poskytnutiu či sprístupneniu osobných údajov (čl. 4 bod 12 GDPR). Patrí sem aj stratený notebook, e-mail nesprávnemu adresátovi či ransomvér, nielen hackerský útok.

Dokedy treba nahlásiť únik údajov?

Bez zbytočného odkladu, najneskôr do 72 hodín od chvíle, keď sa o úniku dozviete. Adresátom je Úrad na ochranu osobných údajov SR. Pri neskoršom hlásení treba uviesť dôvod omeškania.

Musím o úniku informovať aj dotknuté osoby?

Áno, ak únik pravdepodobne predstavuje vysoké riziko pre ich práva. Výnimkou je najmä situácia, keď boli údaje šifrované alebo keď ste prijali opatrenia, vďaka ktorým už vysoké riziko nehrozí.

Čo ak únik nepredstavuje riziko?

Vtedy sa úradu nehlási, ale musíte ho zaevidovať vo vnútornej evidencii porušení spolu s následkami a prijatými opatreniami (čl. 33 ods. 5).