Od ledna řešil ÚOOÚ přes sto porušení zabezpečení osobních údajů

09.06.2020 19:12 | Zprávy

Úřad pro ochranu osobních údajů obdržel v období od ledna do května letošního roku více než 100 ohlášených případů porušení zabezpečení osobních údajů, tzv. data breaches. Bezpečnostním incidentem postižené subjekty byly převážně z oblastí finančnictví a bankovnictví, školství, zdravotnictví a veřejné správy, z velké části obce.

Od ledna řešil ÚOOÚ přes sto porušení zabezpečení osobních údajů
Foto: ČT
Popisek: ÚOOÚ

Vážným a častým důvodem ohlášení byl phishingový útok do počítačového systému. Taková událost se týkala také zdravotnických zařízení (viz nedávné případy nemocnic ve Středočeském a Jihomoravském kraji). 

Mezi méně závažné incidenty patřilo například hlášení o nabourání se do systému studentem střední školy, který získal a zneužil přístupové údaje svého učitele a následně si upravil některé údaje v docházce a prospěchu.  

Významný počet případů porušení zabezpečení je způsoben nedostatečným poučením a proškolením jednotlivců, následkem jejichž pochybení, např. neuvážlivou manipulací s elektronickou poštou, pak dojde ke zpřístupnění údajů nebo umožnění narušení systému (phishingový útok).

Z ohlášení je patrné, že správci osobních údajů mnohdy nepracují s bezpečností a ochranou osobních údajů systematicky, a ne vždy dbají na vhodnou politiku hesel. Velmi nepravidelně také hodnotí úroveň zabezpečení přístupu do interních systémů. Dostačující přitom není jen dodržování základních zásad ochrany osobních údajů. Samostatně by měla být vyhodnocena také bezpečnost internetové komunikace (řada správců stále nedoceňuje, že v souladu s čl. 24 GDPR je za standardní ochranu považovaný https protokol, nikoli pouhé spojení http).

Pozitivním trendem je skutečnost, že ohlašovatelé incidentu téměř ve všech důvodných případech učinili kroky k nápravě a zamezení nežádoucích účinků. Úřad upozorňuje, že mezi nápravu nepatří jen odstranění závadného stavu, ale také nastavení budoucích účinnějších opatření a případného provedení potřebného školení zaměstnanců v zabezpečení osobních údajů.

K dodatečným žádostem správců o posouzení, zda je namístě i případné disciplinární řízení se zaměstnancem, který měl vliv na porušení ochrany osobních údajů, Úřad upozorňuje, že toto nespadá do jeho působnosti. Za řádné zpracování osobních údajů v souladu s právními předpisy odpovídá vždy správce jako celek, nikoli jeho jednotliví zaměstnanci.

Ve většině případů vyhodnotil Úřad charakter a způsob řešení incidentů a přijatá opatření na základě zaslaných ohlášení (případně Úřadem vyžádaných doplnění podkladů) za dostačující bez nutnosti uplatnění dozorových pravomocí.

  • Základní formulář k ohlášení porušení zabezpečení naleznete ZDE.
  • Informace k případům porušení zabezpečení v oblasti zdravotnictví naleznete ZDE.
  • Základní pravidla pro práci z domova ve vztahu k zabezpečení naleznete ZDE.
  • Více informací k ohlašování bezpečnostních incidentů týkajících se zpracovávaných osobních údajů je k dispozici ZDE.

Tento článek je uzamčen

Po kliknutí na tlačítko "odemknout" Vám zobrazíme odpovídající možnosti pro odemčení a případnému sdílení článku.

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Tisková zpráva

Martin Exner byl položen dotaz

Kdo přesně podle vás nebere válku na Ukrajině vážně?

A co máte na mysli tou podporou Ukrajiny všemi prostředky? Měli bysme tam nasadit i vlastní vojáky? Nebyl by ale tento krok začátek třetí světová? A máte dojem, že se Ukrajině pomáhá málo?

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

Poslanecká sněmovna: Sametový listopad 1989 - výstava fotografií

13:28 Poslanecká sněmovna: Sametový listopad 1989 - výstava fotografií

Výstava fotografií Karla Čtveráčka připomíná v Poslanecké sněmovně pětatřicáté výročí sametové revol…