Ako nám je všetkým známe, GDPR sa od minulého roku týka nás všetkých. V rámci informačnej bezpečnosti ponúkame aj implementáciu GDPR. Túto službu využil aj náš klient z oblasti autodealerov. Po dôkladnej analýze sme v spoločnosti implementovali GDPR. Okrem toho spoločnosti vykonávame aj službu zodpovednej osoby (DPO), takže vykonávame priebežnú kontrolu súladu s požiadavkami usmernenia a sme k dispozícii spoločnosti v prípade výskytu bezpečnostného incidentu.

Vyskytol sa prípad bezpečnostného incidentu

Niekoľko mesiacov po implementácii sa nám klient podľa pokynov ozval, že sa uňho stal bezpečnostný incident. Zákazník spoločnosti prostredníctvom SMS zaslal svoju e-mailovú adresu, na ktorú mu mali byť poslané dokumenty obsahujúce jeho osobné údaje. Avšak, zákazník sa pomýlil a svoju e-mailovú adresu do SMS neuviedol správne. Zamestnanec autodealera si získanú e-mailovú adresu neoveril a dokumenty s osobnými údajmi odoslal. Keďže e-mailová adresa bola funkčná, ale nepatrila zákazníkovi, jeho osobné údaje boli doručené neznámej tretej osobe.

Urobili sme si svoju prácu

V rámci vykonávania zodpovednej osoby (DPO) spoločnosti nás tak čakalo niekoľko úloh:

• posúdiť, či je tento bezpečnostný incident natoľko závažný, aby musel byť oznámený Úradu na ochranu osobných údajov SR,
• posúdiť oznámenie incidentu dotknutej osobe,
• zdokumentovať incident,
• podniknúť potrebné kroky a opatrenia k zvýšeniu bezpečnosti ochrany osobných údajov.

Vzhľadom na to, že išlo len o jednu dotknutú osobu, ktorej sa bezpečnostný incident týkal, nebolo potrebné oznamovať udalosť Úradu pre ochranu osobných údajov. Aby sme však minimalizovali riziko, informovali sme dotknutú osobu o úniku jej osobných údajov. Ďalej nás čakala práca v podobe zdokumentovania daného incidentu, spísania ako k nemu prišlo. Po týchto formalitách sme začali riešiť, aké bezpečnostné opatrenie by boli vhodné, aby k takémuto úniku osobných údajov už nedochádzalo.

Zabezpečili sme riešenie

Zaviedli sme opatrenia, o ktorých sme aj poučili oprávnené osoby. Ide najmä o overovanie e-mailových adries v prípade, keď cez ne so zákazníkmi ešte nekomunikovali a predpokladá sa aj odoslanie osobných údajov v e-maile. V praxi to znamená, že ak zamestnanec dostane e-mailovú adresu cez SMS alebo mu je nadiktovaná cez telefón a podobne, pošle zákazníkovi najprv testovací e-mail na overenie, či ide o osobu, ktorá mala záujem o nejaký produkt alebo službu.

Zamestnanci, ktorí prichádzajú do styku s osobnými údajmi klientov, boli opätovne upozornení a poučení o význame implementovaných bezpečnostných opatrení súvisiacich s požiadavkami na ochranu osobných údajov v súlade s GDPR. Išlo najmä o povinnosť zaheslovať dôverné dokumenty pri ich odosielaní e-mailom. Heslo sa následne posiela inou cestou, napríklad prostredníctvom SMS. Týmto sa zabezpečí, že ak aj náhodou bude odoslaný dokument na nesprávny e-mail, dotyčná osoba prílohu neotvorí.

Jeden príklad za všetky

Takýto prípad sa môže vyskytnúť v rôznych oblastiach podnikania a pri rôznych dokumentoch obsahujúcich osobné údaje, ktoré sú posielané e-mailom. Je preto dobré sa z bezpečnostného incidentu poučiť a využiť napr. aj vyššie uvedené opatrenia na predchádzanie podobným incidentom.