Hlášení bezpečnostních incidentů – co stanovuje zákon o kybernetické bezpečnosti a co GDPR?

05.09.2019

Autor: Mgr. Ing. Petra Lupieńská, advokátka

Stále častěji se v médiích objevují zprávy o kybernetických útocích, množství dat, která unikla, a také o pokutách udělených podnikatelům v souvislosti s incidentem. I přesto, že odpovědné společnosti implementují řadu bezpečnostních opatření a snaží se zajistit určitou míru ochrany svých informačních infrastruktur, těmto útokům není nikdy možné bezezbytku předejít. 

Je-li podnikatel povinnou osobou dle zákona o kybernetické bezpečnosti [1] (dále jen "ZoKB") nebo správcem osobních údajů dle GDPR, [2] měl by se seznámit mimo jiné s informační povinností, kterou mu legislativa v případě bezpečnostního incidentu nařizuje.  

Hlášení incidentů dle zákona o kybernetické bezpečnosti

Koordinaci reakcí na kybernetické bezpečnostní incidenty [3] má na starosti vládní, resp. národní CERT tým. Rozdíl mezi vládním CERT (GovCERT.CZ), který je součástí Národního centra kybernetické bezpečnosti, a národním CERT (CSIRT.CZ), který dle veřejnoprávní smlouvy a ZoKB provozuje sdružení CZ.NIC, definuje ZoKB. Zjednodušeně, vládní CERT slouží pro řešení bezpečnostních incidentů v počítačových sítích státní správy, kritické informační infrastruktury a významných informačních systémů dle ZoKB, národní CERT koordinuje řešení ostatních bezpečnostních incidentů v počítačových sítích provozovaných v České republice.

Aby reakce na bezpečnostní incidenty byla co nejvíce efektivní, ukládá ZoKB vybraným skupinám povinných osob povinnost nejen detekovat výskyt kybernetické bezpečnostní události, tedy události, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací, [4] ale také předat informace o nastalých kybernetických bezpečnostních incidentech vládnímu, resp. národnímu CERT.

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů jsou upraveny ve vyhlášce č. 82/2018 Sb., o kybernetické bezpečnosti. Hlášení kybernetického bezpečnostního incidentu se podává na předepsaném formuláři. [5] Hlášení kybernetického bezpečnostního incidentu obsahuje pouze základní informace, a to:

  • (a) identifikace odesílatele,
  • (b) identifikace informačního a komunikačního systému,
  • (c) datum a čas zjištění incidentu a
  • (d) popis incidentu.

Incident lze nahlásit e-mailem, datovou schránkou nebo prostřednictvím datového rozhraní, příp. v listinné podobě, avšak pouze v případech, kdy nelze využít žádný z výše uvedených způsobů. Součástí hlášení nejsou obsahové informace o datech či citlivé informace. Po nahlášení jsou odborníci CERT připraveni pomoci jak po technické stránce, tak po stránce koordinační v případě, že útok cílí na více subjektů.

Hlášení porušení zabezpečení osobních údajů dle GDPR

GDPR stanovuje správci osobních údajů povinnost ohlašovat porušení zabezpečení osobních údajů,[6] které může mít za následek riziko pro práva a svobody fyzických osob, dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů. "Může jít například o útok proti počítači, ve kterém jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Může jít také např. o ztrátu listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace)."[7] Ohlašovat není třeba případy, u nichž je nepravděpodobné, že by porušení mělo za následek riziko pro dotčené osoby. "Může jít např. o momentální nemožnost dohledat listinný dokument, který byl nebo měl být součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byl vytištěn z počítače, ve kterém je taková evidence vedena, přičemž je nepravděpodobné, že se dostal do nepovolaných rukou, ale jde spíše o jeho momentální chybné založení." [8]

Ohlášení je správce osobních údajů povinen provést bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl. Pokud není ohlášení dozorovému úřadu učiněno v uvedené lhůtě, musí být současně s ním uvedeny důvody tohoto zpoždění. Ohlášení musí obsahovat:

  • (a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
  • (b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
  • (c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů a
  • (d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. Pokud by bylo pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, povinností správce je oznámit toto porušení bez zbytečného odkladu i samotným subjektům údajů. "Může jít např. o případ porušení zabezpečení osobních údajů v bankovním systému, v jehož důsledku by mohlo dojít k majetkové újmě klientů banky."[9] Správce zasílá Úřadu pro ochranu osobních údajů ohlášení e-mailem nebo do datové schránky.

Povinnost ohlašovat porušení zabezpečení dozorovému úřadu se nevztahuje na zpracovatele osobních údajů. Nicméně, jakmile určité porušení zpracovatelé zjistí, jsou povinni oznámit tuto skutečnost bez zbytečného odkladu správci osobních údajů. GDPR nestanovuje obsahové náležitosti tohoto ohlášení. Z uvedeného důvodu lze doporučit, aby správce a zpracovatel ve zpracovatelské smlouvě vymezili minimální rozsah informací, které musí zpracovatel správci sdělit v případě porušení zabezpečení osobních údajů, včetně způsobu poskytnutí této informace.

Závěr

Jelikož v současné době neexistuje v České republice jednotné kontaktní místo, kam může povinná osoba hlášení podat, v případě výskytu kybernetického bezpečnostního incidentu, u kterého zároveň dojde k porušení zabezpečení osobních údajů, bude muset povinný subjekt incident hlásit rozdílným orgánům v rozdílném rozsahu a různými způsoby. Z uvedeného důvodu je nezbytné, aby se povinné subjekty se svými povinnostmi seznámily dostatečně dopředu a v případě takového útoku byly připraveny okamžitě reagovat a plnit své zákonné povinnosti. Včasným hlášením se mohou vyhnout sankcím, které by jim v případě opomenutí mohly hrozit. Jak uvádí např. vládní CERT na svých stránkách: "Včasné nahlášení incidentu primárně nevede k vyslání kontroly do Vaší organizace ani udělení sankce, ale pouze k jeho zaevidování, analýze a případné nabídce naší pomoci." [10]

Tento článek byl publikován dne 5. 9. 2019 na portálu pravniprostor.cz   


Zdroje:

[1] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů.

[2] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen "GDPR"),

[3] Dle § 7 odst. 2 ZoKB je kybernetickým bezpečnostním incidentem "narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události".

[4] § 7 odst. 1 ZoKB,

[5] Formulář hlášení kybernetického bezpečnostního incidentu je dostupný zde: https://www.govcert.cz/download/kii-vis/container-nodeid-649/incidentreportnckb.pdfpříp. zde: https://www.csirt.cz/stateincidentreport/

[6] Dle čl. 4 bod 12) GDPR je porušením zabezpečení osobních údajů "porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů".

[7] Úřad pro ochranu osobních údajů. Porušení zabezpečení. cit. 19. 8. 2019, dostupný zde: https://www.uoou.cz/poruseni-zabezpeceni/ds-5020/p1=5020

[8] Tamtéž.

[9] Tamtéž.

[10] Národní centrum kybernetické bezpečnosti. Hlášení incidentů. cit. 19. 8. 2019, dostupný zde: https://www.govcert.cz/cs/vladni-cert/hlaseni-incidentu/