Peter prevádzkuje e-shop, v ktorom ponúka svojim zákazníkom výživové doplnky. Zákazníci majú u neho v e-shope registrovaný účet, kde si môžu uložiť aj údaje zo svojej platobnej karty. Peter jedného dňa zistí, že niektoré účty jeho zákazníkov mohli byť napadnuté útočníkom.
Ihneď zareaguje, zresetuje heslá do účtov a zákazníkom pošle e-mailom link s výzvou, aby si zmenili heslo. Vydýchne si s povestným „to bolo o chlp“.
Peter ale nevie, že už v tejto chvíli mu hrozí pokuta. Jej horná hranica siaha až do výšky 10 miliónov eur. Čo Peter neurobil správne?
Čo je to bezpečnostný incident?
Akékoľvek narušenie bezpečnosti osobných údajov alebo neoprávnený prístup k nim je podľa GDPR bezpečnostným incidentom. Počíta sa nielen hackerský útok na váš web, ale aj uhádnutie prístupových údajov do účtu vášho zákazníka, či poslanie e-mailu s vybavením reklamácie s osobnými údajmi zákazníka omylom inému adresátovi (napr. pri rovnakých priezviskách).
Príkladov by ste určite sami našli veľké množstvo.
Čo robiť pri bezpečnostnom incidente?
Na prvom mieste je jeho zistenie. GDPR od vás očakáva, že sa incidentu budete bezodkladne venovať a všetko okolo neho zdokumentujete.
Ak zistíte, že incident sa stal a hrozí z neho riziko pre vašich zákazníkov, musíte incident nahlásiť Úradu na ochranu osobných údajov. A to čo najskôr, ale maximálne do 72 hodín, odkedy sa o incidente dozviete.
Porušenie ochrany osobných údajov teda musí niesť so sebou riziko pre práva dotknutých osôb. Takéto riziko môže zahŕňať možnosť krádeže identity, straty dobrého mena, zneužitia údajov z platobnej karty, krádeže ich finančných prostriedkov atď.
Na ohlásenie incidentu slúži tento online formulár.
Ak do uplynutia 72 hodín od zistenia incidentu nezistíte všetky okolnosti, ktoré Úrad vo formulári vyžaduje, musíte nahlásiť to, čo viete. Ostatné informácie dodáte postupne, hneď, ako budete môcť.
Ak incident nahlásite po uplynutí 72 hodín, už musíte pri hlásení zdôvodňovať, prečo meškáte.
Pozor: Do 72 hodín sa nezapočítava čas, ktorý potrebujete na zistenie a overenie, že sa incident stal a že z neho hrozí riziko dotknutým osobám. Akonáhle však získate o týchto 2 veciach „primeranú istotu“, 72 hodín začína tikať.
PRO TIP: Majte vo firme smernicu, ktorá popíše postup zamestnancov pri podozrení na bezpečnostný incident – kto, čo, kedy má urobiť, komu vo firme to hlásiť a kto za čo zodpovedá. Smernica pomôže mať riadne vymedzené povinnosti a môže znížiť výšku prípadnej pokuty.
Existuje výnimka?
Áno. A tá ukazuje, aká je dôležitá prevencia.
Ak totiž máte prijaté také bezpečnostné opatrenia, ktoré útočníkom znemožnia dostať sa k akýmkoľvek osobným údajom (napr. všetky údaje sú šifrované), útok nebude znamenať riziko pre vašich zákazníkov. Taký incident nemusíte hlásiť.
Ak ale máte o vzniku rizika pochybnosti, radšej incident nahláste. Skôr, ako to urobí dotknutá osoba.
Čo sa stane po ohlásení incidentu?
Nič.
Alebo si Úrad môže vyžiadať ďalšie vysvetlenie a podklady. Ak budú dostatočné, vec je uzavretá. Ak nájde nedostatky, môže u vás začať kontrolu.
PRO TIP: Dnes sa už nevyžaduje bezpečnostný projekt ako v minulosti, stále ste však povinní prijaté opatrenia preukázať – najjednoduchším spôsobom je ich písomné zdokumentovanie, ktoré môžete Úradu predložiť.
Ak máte hosting u nás, niektoré z GDPR opatrení pre vás zabezpečujeme my.
Zhrňme si postup
- Každé podozrenie na akýkoľvek bezpečnostný incident ihneď preverujte
- Pri preverovaní zistite, či hrozí dotknutým osobám riziko
- Ak ste si primerane istí, že sa incident stal a riziko hrozí, nahláste to najneskôr do 72 hodín
- Ak nemáte všetky údaje, nahláste to aj tak, údaje potom doplníte
- Ak nestihnete lehotu 72 hodín, vysvetlite prečo
- Ak máte pochybnosti o riziku, radšej to pre istotu nahláste (kým vás nepredbehne dotknutá osoba)
- Čo najskôr po incidente prijmite všetky ďalšie opatrenia, ktorých prijatie ste avizovali Úradu v ohlásení
- Celý postup preverenia a všetky zistenia dokumentujte
Riziko verzus vysoké riziko
Ak dotknutým osobám hrozí z incidentu vysoké riziko, máte ďalšie povinnosti. O postupe v takomto prípade, a čo to vlastne vysoké riziko znamená, sa dozviete v našom ďalšom článku.
Pozn.: Článok obsahuje všeobecné informácie a jeho cieľom nie je právne poradenstvo. V prípade potreby konzultujte svoju situáciu a postup so svojím právnikom.
Vypočujte si podcast o tom, ako premýšľajú kybernetickí špióni: