Úřad pro ochranu osobních údajů obdržel v období od ledna do května letošního roku více než 100 ohlášených případů porušení zabezpečení osobních údajů, tzv. data breaches. Bezpečnostním incidentem postižené subjekty byly převážně z oblastí finančnictví a bankovnictví, školství, zdravotnictví a veřejné správy, z velké části obce.
Ilustrační foto
Vážným a častým důvodem ohlášení byl phishingový útok do počítačového systému. Taková událost se týkala také zdravotnických zařízení (viz nedávné případy nemocnic ve Středočeském a Jihomoravském kraji).
Mezi méně závažné incidenty patřilo například hlášení o nabourání se do systému studentem střední školy, který získal a zneužil přístupové údaje svého učitele a následně si upravil některé údaje v docházce a prospěchu.
Významný počet případů porušení zabezpečení je způsoben nedostatečným poučením a proškolením jednotlivců, následkem jejichž pochybení, např. neuvážlivou manipulací s elektronickou poštou, pak dojde ke zpřístupnění údajů nebo umožnění narušení systému (phishingový útok).
Z ohlášení je patrné, že správci osobních údajů mnohdy nepracují s bezpečností a ochranou osobních údajů systematicky, a ne vždy dbají na vhodnou politiku hesel. Velmi nepravidelně také hodnotí úroveň zabezpečení přístupu do interních systémů. Dostačující přitom není jen dodržování základních zásad ochrany osobních údajů. Samostatně by měla být vyhodnocena také bezpečnost internetové komunikace (řada správců stále nedoceňuje, že v souladu s čl. 24 GDPR je za standardní ochranu považovaný https protokol, nikoli pouhé spojení http).
Pozitivním trendem je skutečnost, že ohlašovatelé incidentu téměř ve všech důvodných případech učinili kroky k nápravě a zamezení nežádoucích účinků. Úřad upozorňuje, že mezi nápravu nepatří jen odstranění závadného stavu, ale také nastavení budoucích účinnějších opatření a případného provedení potřebného školení zaměstnanců v zabezpečení osobních údajů.
K dodatečným žádostem správců o posouzení, zda je namístě i případné disciplinární řízení se zaměstnancem, který měl vliv na porušení ochrany osobních údajů, Úřad upozorňuje, že toto nespadá do jeho působnosti. Za řádné zpracování osobních údajů v souladu s právními předpisy odpovídá vždy správce jako celek, nikoli jeho jednotliví zaměstnanci.
Ve většině případů vyhodnotil Úřad charakter a způsob řešení incidentů a přijatá opatření na základě zaslaných ohlášení (případně Úřadem vyžádaných doplnění podkladů) za dostačující bez nutnosti uplatnění dozorových pravomocí.