Od ledna řešil ÚOOÚ přes sto porušení zabezpečení osobních údajů

09.06.2020 19:12 | Zprávy

Úřad pro ochranu osobních údajů obdržel v období od ledna do května letošního roku více než 100 ohlášených případů porušení zabezpečení osobních údajů, tzv. data breaches. Bezpečnostním incidentem postižené subjekty byly převážně z oblastí finančnictví a bankovnictví, školství, zdravotnictví a veřejné správy, z velké části obce.

Od ledna řešil ÚOOÚ přes sto porušení zabezpečení osobních údajů
Foto: ČT
Popisek: ÚOOÚ

Vážným a častým důvodem ohlášení byl phishingový útok do počítačového systému. Taková událost se týkala také zdravotnických zařízení (viz nedávné případy nemocnic ve Středočeském a Jihomoravském kraji). 

Mezi méně závažné incidenty patřilo například hlášení o nabourání se do systému studentem střední školy, který získal a zneužil přístupové údaje svého učitele a následně si upravil některé údaje v docházce a prospěchu.  

Významný počet případů porušení zabezpečení je způsoben nedostatečným poučením a proškolením jednotlivců, následkem jejichž pochybení, např. neuvážlivou manipulací s elektronickou poštou, pak dojde ke zpřístupnění údajů nebo umožnění narušení systému (phishingový útok).

Z ohlášení je patrné, že správci osobních údajů mnohdy nepracují s bezpečností a ochranou osobních údajů systematicky, a ne vždy dbají na vhodnou politiku hesel. Velmi nepravidelně také hodnotí úroveň zabezpečení přístupu do interních systémů. Dostačující přitom není jen dodržování základních zásad ochrany osobních údajů. Samostatně by měla být vyhodnocena také bezpečnost internetové komunikace (řada správců stále nedoceňuje, že v souladu s čl. 24 GDPR je za standardní ochranu považovaný https protokol, nikoli pouhé spojení http).

Pozitivním trendem je skutečnost, že ohlašovatelé incidentu téměř ve všech důvodných případech učinili kroky k nápravě a zamezení nežádoucích účinků. Úřad upozorňuje, že mezi nápravu nepatří jen odstranění závadného stavu, ale také nastavení budoucích účinnějších opatření a případného provedení potřebného školení zaměstnanců v zabezpečení osobních údajů.

K dodatečným žádostem správců o posouzení, zda je namístě i případné disciplinární řízení se zaměstnancem, který měl vliv na porušení ochrany osobních údajů, Úřad upozorňuje, že toto nespadá do jeho působnosti. Za řádné zpracování osobních údajů v souladu s právními předpisy odpovídá vždy správce jako celek, nikoli jeho jednotliví zaměstnanci.

Ve většině případů vyhodnotil Úřad charakter a způsob řešení incidentů a přijatá opatření na základě zaslaných ohlášení (případně Úřadem vyžádaných doplnění podkladů) za dostačující bez nutnosti uplatnění dozorových pravomocí.

  • Základní formulář k ohlášení porušení zabezpečení naleznete ZDE.
  • Informace k případům porušení zabezpečení v oblasti zdravotnictví naleznete ZDE.
  • Základní pravidla pro práci z domova ve vztahu k zabezpečení naleznete ZDE.
  • Více informací k ohlašování bezpečnostních incidentů týkajících se zpracovávaných osobních údajů je k dispozici ZDE.

Tento článek je uzamčen

Po kliknutí na tlačítko "odemknout" Vám zobrazíme odpovídající možnosti pro odemčení a případnému sdílení článku.

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Tisková zpráva

MUDr. Ivo Trešl byl položen dotaz

očkování

Vážený pane doktore, ráda bych využila možnosti se vás zde zeptat na jednu věc. Když se nechám očkovat proti černému kašli, znamená to, že ho nemůžu dostat nebo je to jak s vakcínou proti covidu? A ještě na jak dlouho mě případně očkování proti nákaze ochrání? A když už jsem nakousla téma covid, pro...

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

Správa železnic: Podobu terminálu VRT mezi Kořenicemi a Bečváry určí architektonická soutěž

10:34 Správa železnic: Podobu terminálu VRT mezi Kořenicemi a Bečváry určí architektonická soutěž

Správa železnic vyhlásila architektonicko-urbanistickou soutěž na nový terminál Kořenice-Bečváry VRT…