Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Masívny únik citlivých informácií o vyše 140 miliónoch Američanov z agentúry Equifax, ktorý sa prevalil začiatkom septembra v USA, sa zaradil popri Yahoo a MySpace medzi najväčšie v histórii. Agentúra zhromažďujúca dáta o platobnej disciplíne spotrebiteľov sa doteraz spamätáva z hackerského útoku, ktorý objavila koncom júla.

Ak by sa podobný únik osobných údajov udial v Európe, od mája budúceho roku by zaň hrozili firme likvidačné pokuty. Účinnosť totiž nadobudne rozsiahla regulácia GDPR, ktorá okrem iného upravuje aj presný postup informovania verejnosti o porušeniach ochrany.

Americké médiá aj národné spotrebiteľské organizácie od oznámenia úniku dát z firmy Equifax vydávajú návody pre poškodených ľudí, ako majú minimalizovať škody a polemizujú o správnosti riešenia situácie samotnou firmou. Eqifax medzitým odvolala svojich šéfov pre IT a bezpečnosť a spolupracuje s úradmi na riešení následkov. Zriadila samostatnú webstránku na pomoc spotrebiteľom.

„V tomto prípade je ešte stále veľmi veľa neznámych. Firma uviedla, že hackeri mali prístup k záznamom vo firme od mája do júla tohto roka. Okrem údajov o úverovej histórii desiatok miliónov Američanov získali prístup aj k dátam, ktoré poškodení neochránia ani dodatočnou zmenou hesla, či zrušením konta – mám na mysli najmä dátumy narodenia či čísla sociálneho poistenia. Následky tohto úniku sa môžu prejavovať ešte veľa rokov,“ uvažuje audítor TÜV SÜD Slovakia Igor Straka.

Ochrana osobných údajov po novom

Podobné prípady aktuálne zastrešujú v Európskej únii národné zákony krajín. Od 25. mája budúceho roka začne byť účinné celoeurópske nariadenie uplatniteľné vo všetkých členských štátoch. Regulácia GDPR (General Data Protection Regulation) zjednocuje a sprísňuje požiadavky na ochranu osobných údajov v EÚ.

Slovensko k európskemu nariadeniu pripravilo aj nový Zákon o ochrane osobných údajov, ktorý je momentálne v pripomienkovom konaní. Podľa odhadov predkladateľov sa dotkne vyše pol milióna subjektov na Slovensku a vyžiada si zmeny v procesoch a systémoch za vyše 40 miliónov eur. Nariadenie aj slovenský zákon okrem iného vymedzujú po novom povolené účely spracovávania osobných údajov, sprísňujú formu udeľovania súhlasov dotknutých osôb so spracovaním údajov, rozširujú právo na vymazanie, stanovujú podmienky bezpečnosti spracovania údajov napríklad formou šifrovania, zavádzajú povinnosť poskytovať informácie o spracúvaných údajoch dotknutým osobám, či popisujú postupy pri úniku osobných údajov. Pri porušení pravidiel GDPR hrozí firmám pokuta do výšky 20 miliónov eur alebo do výšky 4 % z jej celosvetového obratu.

Ako budú firmy priznávať únik osobných údajov podľa GDPR

Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom podľa GDPR informovať Úrad na ochranu osobných údajov do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dopadov. „Za opatrenia sa považuje najmä dostatočné šifrovanie údajov,“ opisuje Straka.

Ak únik údajov predstavuje podľa posúdenia prevádzkovateľa vysoké riziko pre poškodené osoby, musí prevádzkovateľ informovať aj tieto osoby. Oznámenie by mal naformulovať jednoducho. „Za vysoké riziko pre práva dotknutých osôb sa dá považovať únik takých údajov, ktoré môžu hackeri zneužiť na vlastné obohatenie sa, vydieranie, na páchanie inej trestnej činnosti a podobne. Sú nimi napríklad zdravotné záznamy, čísla občianskych preukazov, čísla kreditných kariet, prístupové heslá do rôznych aplikácií a podobne,“ myslí si Straka.

Ak sa únik údajov týka veľkého množstva ľudí, ako to bolo aj v prípade Equifaxu, môže prevádzkovateľ namiesto individuálneho informovania zvoliť informovanie verejnosti. Prevláda názor, že oznamovanie takýchto incidentov organizácie nebudú robiť dobrovoľne. Kto by sám priznával svoje zanedbanie povinností pri ochrane osobných údajov a dobrovoľne by únik nahlasoval? „Samozrejme, tento prístup je zohľadnený pri výpočte sankcií za porušenie,“ hovorí Straka. Najdôležitejšia je podľa neho proaktivita po incidente, nahlásenie a okamžité nápravné opatrenia. Druhou možnosťou je ticho čakať na vyšetrovanie úradu.

Ako sa pripraviť na GDPR 

Podľa Igora Straku väčšina spoločností na Slovensku neriadi informačnú bezpečnosť dostatočne a môže byť pre ne veľmi náročné splniť všetky nové pravidlá. Zavedenie GDPR bude vo firmách trvať 3 až 12 mesiacov. Lepšiu východiskovú pozíciu majú  podľa Straku tie organizácie, ktoré majú zavedené medzinárodné normy v oblasti riadenia procesov (ISO 9001) a v oblasti informačnej bezpečnosti (ISO 27001).

Prípravu na GDPR Straka rozdeľuje do troch etáp: strategickej, etapy implementácie a etapy neustáleho zlepšovania:

Stratégia

  1. Budovanie povedomia – oboznámenie sa s agendou GDPR, prínosmi a požiadavkami
  2. Stratégia GDPR – definovanie rolí a zodpovedností, definovanie projektu, zdrojov a termínov
  3. GAP analýza – vykonanie rozdielovej analýzy vzhľadom na GDPR

Implementácia GDPR

  1. Klasifikácia – klasifikácia Informačných systémov vzhľadom k GDPR
  2. Funkčné požiadavky – definovanie nových požiadaviek podľa GDPR (najmä práva dotknutých osôb, retenčné doby, reportovanie incidentov, atď.)
  3. Pracovné postupy – spracovanie postupov pre zamestnancov na prácu s osobnými údajmi podľa GDPR

Kontinuálne zlepšovanie GDPR

  1. Riadenie rizík – analýza vplyvu spracúvania osobných údajov prostredníctvom posúdenia hrozieb, zraniteľností, pravdepodobnosti a dopadu na spoločnosť
  2. Návrh opatrení – akčný plán implementácie opatrení na zníženie kritických hrozieb
  3. Tvorba dokumentácie – povinná dokumentácia (Evidenčné listy) plus všetky náležitosti v zmysle nariadenia
  4. Vytváranie záruk – preukázanie súladu s GDPR prostredníctvom auditu a certifikácie. Udelenie štatútu súladu s požiadavkami GDPR

Prevádzkovatelia musia preukázať súlad s požiadavkami GDPR, či už formou kódexov správania alebo certifikátom od akreditovaného orgánu. Na odborníkov z TÜV SÜD Slovakia sa môžu firmy obrátiť, ak potrebujú informácie o auditoch či o školeniach pre zamestnancov, manažment a DPO (Data Protection Officer – zodpovedná osoba).

Značky: