Jak se zachovat při porušení zabezpečení osobních údajů?
Čas od času se firma může setkat s bezpečnostním incidentem týkajícím se osobních údajů. Data klientů, zaměstnanců, partnerů a dalších osob mohou být v ohrožení. Co je potřeba v takových situacích učinit za kroky? Je nutné nahlásit incident dozorovému úřadu? Nebo snad oznámit dotčeným zaměstnancům, klientům a dalším osobám?
Univerzální postup vhodný pro všechny rozličné formy bezpečnostních incidentů pochopitelně neexistuje. Postupy se mohou lišit v závislosti na druhu bezpečnostního incidentu a vnitřních pravidlech dotčené společnosti. V tomto článku se budeme věnovat výhradně bezpečnostnímu incidentu týkajícímu se osobních údajů (tzv. porušení zabezpečení osobních údajů) a pokusíme se nastínit, jaká opatření by na základě obecného nařízení o ochraně osobních údajů (GDPR) provedena být měla, a jaká ne. (Pro zjednodušení dále budeme používat zkratku bezpečnostní incident ve výše uvedeném úzkém významu.)
Vedle správného nastavení postupu při řešení konkrétního incidentu je zásadní seznámit s postupem zaměstnance a pravidelně je školit. Všichni zaměstnanci by měli být schopni rozpoznat bezpečnostní incidenty a vědět, jak si v takových situacích počínat. Je přínosné seznámit je s důležitými pojmy nebo testovat jejich správné reakce na krizové situace.
Co dělat při bezpečnostním incidentu?
- Sestavit tým/určit oddělení a jednotlivé osoby odpovědné za vyřízení incidentu: Optimální je stanovit přímo v interních směrnicích odpovědný personál, aby nedocházelo k nedorozuměním. Na nápravě incidentu se může podílet i více oddělení.
- Evidovat všechny poznatky o skutečnostech týkajících se porušení: Poznatky se mohou v průběhu incidentu měnit. Incident se může zdát závažným, ale vyústit v zanedbatelný problém a naopak. Důležité je mít k dispozici podstatné informace a shromažďovat relevantní podklady (vyjádření odpovědných zaměstnanců, logy ze systémů apod.). Pokud máte například pojištění proti kybernetickým a jiným podobným rizikům nebo je ve hře podání trestního oznámení apod., je třeba podklady a informace sbírat i s ohledem na tyto záležitosti.
- Provést kroky, které povedou k předcházení bezpečnostním incidentům nebo k omezení jejich negativních důsledků a budou v nejlepším zájmu dotčených osob: Na bezpečnostní incidenty je nutné reagovat co nejdříve, a pokud je to možné, zamezit vzniku negativních důsledků pro dotčené osoby (např. resetovat přístupová oprávnění, izolovat zasažený systém). Některé kroky mohou být pro firmu na první pohled bolestivé, nicméně řešením v žádném případě není snažit se celou záležitost tajit nebo zlehčovat. Ne vždy řešení incidentu vyžaduje hlášení dozorovým úřadům nebo dotčeným osobám.
- Oznámit incident příslušným úřadům: Oznámení dozorovému úřadu (v ČR je to Úřad pro ochranu osobních údajů) musí nastat při každém porušení zabezpečení osobních údajů, ledaže je nízká pravděpodobnost, že takové porušení bude rizikové pro práva a svobody dotčených osob. Lhůta pro nahlášení je 72 hodin od okamžiku, kdy se o porušení správce dozvěděl. Do lhůty se nezapočítává doba nezbytná pro ověření, že s dostatečnou mírou jistoty skutečně došlo k porušení zabezpečení. Šetření ale musí proběhnout neprodleně a nelze o tuto dobu nedůvodně prodlužovat nahlášení.
- Oznámit incident dotčeným osobám: Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
- Zajistit kvalitní právní poradenství: Právní spory nezřídka následují hned po vyřešení bezpečnostního incidentu. Zkušené a schopné právní oddělení nejen řídí samotné vyšetřování incidentu z pohledu právních předpisů, ale rovněž už myslí dopředu na jeho budoucí právní i mimoprávní následky (včetně uplatnění nároků z pojištění apod.). Podstatným faktorem při výběru způsobu zajištění právního poradenství může být i povinnost mlčenlivosti advokátů ve vztahu ke skutečnostem, které se dozvěděli v rámci činnosti pro klienty.
- Zvážit využití externích poradců: To může být aktuální zvláště u závažných incidentů. Zejména se jedná o poskytovatele právních služeb a forenzní vyšetřovatele. Ti budou mít zpravidla větší autoritu, co se týče nezávislosti a důvěryhodnosti, než interní zaměstnanci. Zároveň může být nutné využít vysoce profesionalizovaných služeb, které firma sama nedokáže pokrýt.
- Zaznamenat a poučit se: O jakémkoli porušení zabezpečení osobních údajů je třeba vést záznamy s podstatnými informacemi. Zároveň byste se z každého incidentu měli poučit a přijmout taková opatření, aby k podobným incidentům již nedocházelo.
Co nedělat?
- Neunáhlovat se s oznamováním bezpečnostního incidentu: Předně je nutné zjistit podstatné skutečnosti o incidentu a provést základní opatření a až posléze zvážit hlášení incidentu na příslušná místa. Informace o incidentu lze úřadům doplňovat i postupně v závislosti na jejich postupném odhalování.
- Nezapomenout na smluvní povinnost oznámit porušení: Oznamovací povinnost nemusíte mít jenom přímo podle právních předpisů, ale i na základě smlouvy s obchodními partnery nebo dodavateli. Specifická pravidla mohou platit i v některých sektorech (platební instituce apod.).
- Nebýt v rozporu s lokálními pravidly a předpisy při vyšetřování incidentu: Je třeba mít na paměti, že národní předpisy a další závazná pravidla mohou omezovat řešení problému (např. při předání údajů mateřské společnosti nebo dalším subjektům). Jedná se o státem utajované skutečnosti, bankovní tajemství nebo třeba profesní mlčenlivost. Stejně tak musíte dávat pozor na to, abyste sami při vyšetřování neporušili pravidla ochrany osobních údajů a soukromí (např. při prohledávání zaměstnaneckých e-mailů apod.).
- Neprovádět technické úkony bez odborného schválení: Nedoporučujeme provádět kroky neschválené odborníky na informační bezpečnost, např. připojovat se nebo přistupovat do zasažených systémů, vypínat zasažené počítače, pouštět na nich software (vč. antivirových programů), kopírovat z nich data nebo k nim připojovat datová úložiště.
Pro rychlé seznámení se základním postupem při odhalování a řešení bezpečnostních incidentů můžete využít naši infografiku.