Jak postupovat při úniku osobních údajů (data breach) z e-shopu?

Provozujete e-shop? Dnes je možné takové řešení získat na pár kliků. V e-shopu je možné nastavit si další doplňky, které vám pomohou s fakturací, statistikami nebo přidají jiná zajímavá rozšíření. Často při výběru doplňku souhlasíte také s obchodními podmínkami a dalšími pravidly, která, přiznejme si, nikdo moc nečte.

Vše funguje dobře, jenže najednou zjistíte, že platforma, na které je e-shop provozován, měla zásadní únik dat. Nebo vám od této platformy přijde zpráva, že došlo k úniku.

Co dál dělat?

Krok za krokem, jak postupovat při úniku dat z e-shopu

  1. Získejte maximum informací

Nejprve je potřeba získat maximum informací. Ve velmi krátkém čase. Pokud totiž došlo k porušení zabezpečení osobních údajů, máte na ohlášení Úřadu pro ochranu osobních údajů 72 hodin od chvíle, kdy se o incidentu dozvíte.

Jaké informace byste ideálně měli získat:

  • Kdy k incidentu došlo: tato informace by měla být co nejvíc konkrétní, ideálně je dobré vědět přesný čas

 

  • Kdy jste se o incidentu dozvěděli vy: jak jsme uvedli výše, incident může být způsoben například u provozovatele doplňků, nebo u platformy, kde provozujete e-shop. Může tedy existovat časový rozdíl mezi tím, kdy k incidentu dojde, a kdy se o něm dozvíte.
    • Dobrá zpráva: Hlášení Úřadu pro ochranu osobních údajů musíte provést do 72 hodin od chvíle, kdy se o incidentu dozvíte, ne od chvíle, kdy k němu došlo.

 

  • Zda incident stále trvá: jde o rozsáhlý hackerský útok? Jednalo se o jednorázové zpřístupnění databáze? Byla již hrozba odstraněna? To jsou otázky, na které byste si měli odpovědět, případně požádat o odpovědi vašeho provozovatele platformy nebo doplňku, kterého se únik týká.

 

  • Co se v rámci incidentu stalo: zde vás bude zajímat zejména to, jestli se data mohla dostat do nesprávných rukou, stala se nedostupná, mohou být zneužita, byla smazána atp.
    • V rámci hlášení a odstraňování rizik totiž budete muset popsat, co bylo příčinou bezpečnostního incidentu a jaké měl následky.

 

  • Jakých osobních údajů se to týká: jsou dotčena jména, příjmení, data narození, rodná čísla, finanční údaje, lokační údaje? Nebo je to mnohem závažnější a je problém i s údaji o zdravotním stavu, o sexuální orientaci, politických názorech apod.?

 

  • Kdo se za osobními údaji skrývá (kategorie subjektů údajů): jde o vaše zákazníky? Dodavatele? Kdo jsou osoby, jejichž osobní údaje jsou v ohrožení?

 

  • Kolika lidí se incident dotkne: snažte se vyjádřit počet přesným číslem, nebo alespoň odhadněte.

 

  • Co lidem hrozí: přichází velmi složitá část, kde je potřeba si udělat přehled v tom, co se lidem z bezpečnostního incidentu může stát:
    • Hrozí, že data budou zneužita a může dojít třeba i k finančním škodám?
    • Může dojít ke krádeži identity?
    • Stanou se data pro subjekty nedostupná, což bude mít za následek nemožnost dodání zboží/služby apod.?
    • Může být spáchán podvod?
    • Může být ohrožena pověst subjektů údajů?

U posledního bodu je potřeba vyhodnotit rizika, která jsou s incidentem spojena. Zde však je vyhodnocení velmi individuální. Dá se ale obecně říct, že pokud jsou součástí incidentu citlivé údaje (zdravotní stav, sexuální orientace), je vysoké riziko pro subjekty údajů v podstatě jisté.

Proč je důležité zhodnotit riziko?

Od výše rizika se odvíjí další povinnosti. Pokud by riziko bylo vysoké, je potřeba oznámit incident také samotným lidem, kterých se týká. Dává to smysl, při vysokém riziku totiž hrozí zásadní škoda těmto lidem, tudíž musí mít možnost sami podniknout kroky, aby této škodě zabránili, nebo aby o ní alespoň věděli.

Nevíte si rady, jak hodnotit rizika? Napište nám ↗ nebo si od nás nechte udělat kompletní GDPR zmapování ↗.
  1. Připravte si veškerou dokumentaci, kterou k GDPR máte

Zejména si připravte zpracovatelské smlouvy s poskytovateli, kteří byli do incidentu zapojeni (pokud se jedná o zpracovatele).

Došlo k úniku dat na straně provozovatele platformy, kde e-shop funguje? Je velmi pravděpodobné, že tento provozovatel bude v pozici zpracovatele osobních údajů (může zajišťovat uložení osobních údajů a další činnosti zpracování, které provádí pouze pro e-shop).

Nevíte, kde hledat případnou zpracovatelskou smlouvu? Koukněte do odsouhlasených podmínek, nebo vzneste dotaz na platformu.

Zároveň si připravte veškerou další dokumentaci, kterou k GDPR máte.

Dokumenty prozatím nikde nepředkládáte, ale v rámci dalšího řešení si je může Úřad pro ochranu osobních údajů vyžádat. Tento krok tak prozatím můžete přeskočit, ale je vhodné mít vše nachystáno. Zároveň se vám některé informace mohou hodit při vyplňování hlášení.

„Nemám vůbec nic, bojím se pokuty, proto radši nic neohlásím,“ říkáte si?

Nedělejte to. Pokud je incident rozsáhlejší, začne se šířit médii. Je velmi pravděpodobné, že se to nakonec Úřad pro ochranu osobních údajů dozví. No a není nic horšího, než nemít nic a zároveň neohlásit incident ve lhůtě.

„Prošvihl jsem lhůtu a teď se bojím incident nahlásit.“

Lepší pozdě, nežli později. Incident ohlaste i tak. Snažte se v hlášení vysvětlit, co způsobilo zpoždění.

  1. Nachystejte hlášení Úřadu pro ochranu osobních údajů

Teď přichází ta nepopulární část. Na ohlášení bezpečnostního incidentu slouží interaktivní formulář, který je dostupný na stránkách Úřadu pro ochranu osobních údajů.

Formulář dostupný zde ↗

Návod, jak vyplnit hlášení -->

Ten je potřeba vyplnit a zaslat Úřadu pro ochranu osobních údajů na e-mail: posta@uoou.cz nebo do datové schránky: qkbaa2n. Rovněž lze využít tlačítko odeslání, které je dostupné v samotném formuláři.

Při vyplňování hlášení byste měli vycházet z informací, které jste získali v kroku jedna. Formulář je poměrně intuitivní, ovšem pokud s tím máte problémy, napište nám ↗ a my vám s vyplněním pomůžeme.

  1. Dále monitorujte situaci a hlaste případné změny

Může se stát, že při vyplňování formuláře ještě nebudete znát všechny informace. Zároveň vás ale bude tlačit čas 72 hodin. Je možné některé části hlášení přeskočit, přičemž je můžete doplnit kdykoliv později.

GDPR uvádí: „Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.“ 

V samotném formuláři pro hlášení také můžete zakliknout, zda se jedná o prvotní, nebo dodatečné hlášení.

  1. Veďte si záznam bezpečnostního incidentu

Každý správce má povinnost dokumentovat případy porušení zabezpečení. Součástí takové dokumentace by mělo být:

  • O jaký bezpečnostní incident šlo
  • K čemu při incidentu došlo
  • Jaká opatření jste přijali, abyste incident odstranili

294 ohlášení v minulém roce

Žijeme v době, kdy roste riziko možných bezpečnostních incidentů. Pokud k němu došlo i u vás, určitě nejste první ani poslední, komu se to stalo. V minulém roce bylo Úřadu pro ochranu osobních údajů ohlášeno 294 bezpečnostních incidentů. To je skoro 1 bezpečnostní incident každý den. Jedná se ale pouze o ty ohlášené, přičemž skutečné číslo bude mnohem vyšší.

Chcete si zkontrolovat, že jste v souladu s GDPR, abyste se nemuseli bát cokoliv ohlásit?

Napište nám -->

Domluvit schůzku přes Calendly

Potřebujete pomoct s nastavením GDPR v oblasti e-commerce?

Napište nám →