Únik dat z e-shopu: Jak vyplnit ohlášení Úřadu pro ochranu osobních údajů?

Máte e-shop a utekla vám data? Nebo se neoprávněně stáhla? Nemáte kontrolu, co se s nimi dále může stát? Pak se u vás stal bezpečnostní incident. V tomto článku naleznete návod, jak vyplnit hlášení porušení zabezpečení osobních údajů dle GPDR.

Pokud vás zajímá, jak postupovat při bezpečnostním incidentu, přečtěte si náš další článek ↗.

Formulář pro ohlášení bezpečnostního incidentu naleznete zde ↗.

Vyplnění identifikačních údajů

První strana hlášení

Bod 1. Identifikace správce

Nejprve je potřeba vyplnit základní identifikační údaje. V prvním bodě se uvádí správce. Tím je osoba, která určuje účely a prostředky zpracování.V případě e-shopu je správcem osobních údajů v drtivé většině právě samotný e-shop. Ten se rozhodl, jaké údaje bude zpracovávat o svých zákaznících, jaké k tomu vybere nástroje, naistaluje doplňky atp. Pokud tedy jste e-shop, kterého se týká únik, vyplníte zde své identifikační údaje.

Bod 2. Kontaktní osoba nebo DPO

Máte pověřence pro ochranu osobních údajů? Jedná se o specifickou funkci, kterou možná znáte pod označením DPO. Pokud jej nemáte, vyplňte kontaktní údaje osoby, která je u vás odpovědná za GDPR.

Bod 3. Další subjekty zapojené do zpracování

Do dalšího bodu je potřeba vyplnit další subjekty, kterých se bezpečnostní incident může týkat. Došlo k incidentu na straně poskytovatele platformy, kde provozujete e-shop? Vyplňte zde tohoto poskytovatele.

Bod 4. Průběh incidentu

Uvedení času incidentu. Důležité je zejména vyplnit, kdy jste se o porušení dozvěděli vy (jako správci), protože od této chvíle se počítá 72 hodin. Pokud jste lhůtu 72 hodin nestihli, musíte zde odůvodnit, co bylo důvodem, proč se to stalo.

K čemu při bezpečnostním incidentu došlo?

Druhá strana hlášení

Na další straně je potřeba popsat, v čem bezpečnostní incident spočíval, včetně důsledků, které to na osobní údaje mělo. Doporučujeme zde být maximálně konkrétní, aby bylo možné ve spolupráci s Úřadem pro ochranu osobních údajů řešit další kroky a správně vyhodnocovat rizika.

„Vůbec nevím, k čemu přesně došlo, pouze mi provozovatel platformy, kde mám e-shop řekl, že došlo k incidentu.“

Řekli jste si tuto větu? Obraťte se tedy na tohoto provozovatele. Měl by vám poskytnout další podrobnější informace. Provozovatel platformy, kde provozujete e-shop, je s největší pravděpodobností zpracovatelem osobních údajů. Ve zpracovatelské smlouvě ↗ by tedy následně mělo být uvedeno, do kdy vám musí poskytnout součinnost, co všechno vám musí sdělit atp.

Rozsah osobních údajů a kategorie subjektů údajů

Třetí strana hlášení

Formulář je poměrně intuitivní a je možné postupovat dle předpřipravených check-boxů. Základem je rozlišit, zda se incident týká zvláštních kategorií osobních údajů, nebo pouze „klasických“ údajů.

Za zvláštní kategorie osobních údajů se považuji ty, které jsou uvedeny v bodě 7 formuláře. Pozor, například fotografie automaticky neznamená zvláštní kategorii osobních údajů. Ač se z fotografie dají vyčíst např. biometrické informace o jednoznačné identifikaci osoby, musí k tomuto být fotografie z vaší strany opravdu zpracovávány. Běžně tedy jde o klasický osobní údaj.

U e-shopu v drtivé většině případů půjde při incidentu o klasické osobní údaje. Pokud se však jedná o specializovaný e-shop, který sbírá například informace o zdravotním stavu pro jednotlivé zboží, může být potřeba vyplnit také bod 7.1.

V bodě 8 se následně musí vybrat, koho se osobní údaje týkají, na další straně v hlášení je poté potřeba vyplnit počet osob a záznamů, kterých se porušení týká.

Jaký dopad má incident na subjekty údajů?

Čtvrtá strana hlášení

O bezpečnostním incidentu je potřeba mít dostatek informací. Bez nich by totiž nebylo možné určit, jaký dopad bude mít incident na subjekty údajů.

Opět platí pravidlo, že by vám tuto informaci měl poskytnout provozovatel platformy, nebo ten, u koho k incidentu došlo. V případě neoprávněného stažení osobních údajů je nejčastějším dopadem právě ztráta kontroly nad osobními údaji. Zároveň ale může být rozsah úniku natolik velký, že může dojít k finančním ztrátám, krádeži identity apod.

Pokud do bezpečnostního incidentu nebyl zapojen nikdo externí, musíte tuto informaci mít vy jako e-shop.

Nevíte si rady, jak určit důsledky? Napište nám ↗.

Přijatá opatření před incidentem

Pátá strana hlášení

Teď přichází ta složitější část. Zde se totiž často setkáváme s tím, že vlastně není vůbec interně zmapováno, jak jsou data zabezpečena a všechno se dělá tak nějak na oko.

Určitě nedoporučujeme uvádět nepravdivé informace. Může se to později vymstít. Často se dá vycházet minimálně ze zpracovatelské smlouvy (pokud se incident vztahuje například k provozovateli platformy, kde běží e-shop, nebo k doplňku), která obsahuje i informace o zabezpečení osobních údajů.

Dále je možné zde vycházet z interních směrnic o ochraně osobních údajů a z dalších interních předpisů. Opět vám po technické stránce může pomoci provozovatel, který by měl mít přehled o tom, jak je e-shop zabezpečen.

Interní dokumentaci pro vás můžeme připravit ↗.

Přijatá opatření po incidentu a další hlášení

Šestá strana hlášení

V případě, že byl bezpečnostní incident spojen s třetí stranou (například s propojenou službou na e-shopu, provozovatelem e-shopu), měla by vám tato strana poskytnout podrobnější informace.

Pokud je zatím nemáte a tlačí vás lhůta 72 hodin, můžete ponechat prozatím prázdné, nebo dopsat, že tyto informace doplníte později. To se týká také bodu 11.3., který nemusíte rozhodnout hned. Oznámení dotčeným fyzickým osobám je potřeba udělat ve chvíli, kdy hrozí vysoké riziko z bezpečnostního incidentu. To však nevyhodnotíte bez dostatku informací.

Chcete se poradit, zda musíte ohlásit dotčeným fyzickým osobám? Napište nám ↗.

Pokud je zpracování přeshraniční

Sedmá strana

Tento bod je potřeba vyplňovat ve chvíli, kdy se zpracování týká také dalších států. Typicky, když je e-shop provozován ve více zemích, nebo když jsou zpracovávány informace o lidech z více zemí. Důvodem, proč je potřeba tuto část vyplnit je, aby se určil vedoucí dozorový úřad, neboť GDPR je postaveno na tzv. principu one-stop-shop.

Pokud jste e-shop s primární provozovnou v ČR, bude hlášení Úřadu pro ochranu osobních údajů prováděno jako ohlášení vedoucímu dozorovému úřadu.

Když do toho vstupuje třetí země

Osmá strana

Na závěr hlášení je potřeba vyplnit, zda je do incidentu zapojen například zpracovatel z třetí země (mimo EU). Důvod je ten, že u takového zpracování hrozí další rizika a musí existovat další doplňující dokumentace (například standardní smluvní doložky).

Jedná se už ale o natolik specifický případ, že pokud k němu dojde, určitě doporučujeme konzultaci s odborníky, aby se správně identifikovalo, zda je předávání mimo EU v pořádku.

Závěrem

Formulář pro ohlášení bezpečnostního incidentu je poměrně intuitivní. Pokud s jeho vyplněním máte jakékoliv problémy, neváhejte nám napsat.

Zároveň, pokud se obáváte, že nemáte všechny procesy v pořádku, určitě nám také napište. Vše zkontrolujeme a nastavíme ↗.

Domluvit schůzku přes Calendly

Potřebujete pomoct s nastavením GDPR v oblasti e-commerce?

Napište nám →