Biznispokročilý

Čo je Únik dát (Data Breach)?

Únik dát (data breach) je bezpečnostný incident, pri ktorom dôjde k neoprávnenému prístupu, zverejneniu, zmene alebo zničeniu osobných údajov. Podľa GDPR musí prevádzkovateľ nahlásiť závažný únik dozornému orgánu do 72 hodín.

Definícia Únik dát

Čo je únik dát

Únik dát (anglicky data breach) je bezpečnostný incident, pri ktorom sú osobné údaje neoprávnene sprístupnené, zmenené, zničené alebo stratené. Môže ísť o hackerský útok, stratu zariadenia s údajmi, omylom odoslaný e-mail s osobnými údajmi alebo nesprávne nastavené prístupové práva.

Typy únikov dát

  • Únik dôvernosti — neoprávnená osoba získa prístup k údajom (napr. hacker)
  • Únik integrity — údaje sú neoprávnene zmenené (napr. manipulácia so záznamami)
  • Únik dostupnosti — údaje nie sú dostupné, keď sú potrebné (napr. ransomware útok)

Oznamovacia povinnosť podľa GDPR

Článok 33 GDPR vyžaduje, aby prevádzkovateľ nahlásil únik osobných údajov dozornému orgánu bez zbytočného odkladu, najneskôr do 72 hodín od zistenia. Ak únik pravdepodobne povedie k vysokému riziku pre práva dotknutých osôb, musí prevádzkovateľ informovať aj samotné dotknuté osoby (článok 34).

Prevencia únikov

Medzi kľúčové preventívne opatrenia patrí: šifrovanie údajov, pravidelné bezpečnostné audity, školenie zamestnancov, implementácia princípu minimálnych oprávnení (least privilege), zálohovanie dát a plán reakcie na incidenty. Organizácie by mali mať vopred pripravený postup pre prípad úniku.

Praktický príklad

Príklad: Zamestnanec omylom odošle tabuľku s menami, adresami a rodnými číslami zákazníkov na nesprávnu e-mailovú adresu.

Ide o únik dát. Musíte: (1) okamžite požiadať príjemcu o vymazanie e-mailu, (2) posúdiť riziko pre dotknuté osoby, (3) ak je riziko vysoké, nahlásiť únik Úradu na ochranu osobných údajov do 72 hodín a (4) informovať dotknutých zákazníkov o incidente a odporučených ochranných opatreniach.

Často kladené otázky

Čo robiť pri úniku dát?

Okamžite zastaviť únik, posúdiť rozsah a riziko, nahlásiť dozornému orgánu do 72 hodín (ak je to potrebné), informovať dotknuté osoby pri vysokom riziku a zdokumentovať celý incident.

Musím nahlásiť každý únik dát?

Nie každý. Hlásenie dozornému orgánu je povinné, ak únik pravdepodobne povedie k riziku pre práva dotknutých osôb. Aj nenahlásené úniky musíte zdokumentovať v internom registri.

Aká je pokuta za nenahlásenie úniku dát?

Za nesplnenie oznamovacej povinnosti hrozia pokuty až do 10 miliónov EUR alebo 2 % celosvetového ročného obratu. Nenahlásenie úniku je navyše priťažujúcou okolnosťou pri ďalšom vyšetrovaní.

Súvisiace pojmy

GDPR

GDPR (General Data Protection Regulation) je nariadenie Európskej únie o ochrane osobných údajov platné od mája 2018. Stanovuje pravidlá pre zber, spracovanie a uchovávanie osobných údajov občanov EÚ a za porušenie hrozia pokuty až do 20 miliónov EUR.

Správca údajov (Data Controller)

Správca údajov (prevádzkovateľ) je fyzická alebo právnická osoba, ktorá určuje účel a prostriedky spracúvania osobných údajov. Podľa GDPR nesie hlavnú zodpovednosť za dodržiavanie pravidiel ochrany údajov a za ochranu práv dotknutých osôb.

DPO (Data Protection Officer)

DPO (Data Protection Officer) je zodpovedná osoba za ochranu údajov v organizácii. Dohliada na dodržiavanie GDPR, radí vedeniu v otázkach ochrany súkromia a slúži ako kontaktný bod pre dozorný orgán aj dotknuté osoby.

NDA

NDA (Non-Disclosure Agreement) je zmluva o mlčanlivosti, ktorá zaväzuje zmluvné strany chrániť dôverné informácie a nezverejňovať ich tretím stranám. V IT sa bežne používa pri spolupráci s freelancermi, dodávateľmi a partnermi.

Zásady ochrany súkromia (Privacy Policy)

Zásady ochrany súkromia (privacy policy) sú právny dokument na webe, ktorý informuje návštevníkov o tom, aké osobné údaje sa zbierajú, ako sa spracúvajú, na aký účel a aké práva majú dotknuté osoby. Je to povinný dokument podľa GDPR.

Späť na slovník

Potrebujete pomôcť s webom?

Napíšte mi a poradím vám s vaším projektom. Prvá konzultácia je zadarmo a nezáväzná.

Napíšte miPozrite moju prácu