22. 9. 2020
Slovenská IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť aplikácie vyvinutej v súvislosti s COVID-19 – „Moje eZdravie“. Ukázala, že dáta vyše 100-tisíc testovaných pacientov neboli v aplikácii zabezpečené. Čo na tento bezpečnostný incident SR štát, ktorý je prevádzkovateľom?
Osobné údaje, ktoré bolo možné z aplikácie „ukradnúť“ a priradiť ich ku konkrétnym osobám:
IT spoločnosť v článku informovala o tejto hrozbe uvádza, že: „Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme.“ Z tohto tvrdenia môžeme usúdiť, že prišlo k porušeniu noriem informačnej bezpečnosti, ako aj nedostatočnému zabezpečeniu osobných údajov dotknutých osôb.
GDPR vyžaduje prijatie bezpečnostných opatrení – štandardných, ako aj osobitných – vzhľadom na účely, rozsah, povahu a kontext spracúvania. Ako bezpečnostné opatrenia by v tomto prípade prichádzali viaceré bezpečnostné opatrenia – napríklad šifrovanie. V praxi sa často aplikácie a ich odolnosť testujú formou etického hackingu. Štátna aplikácia však bezpečnostné opatrenia nemala.
Napríklad šifrovanie dát je podľa GDPR jedným z bezpečnostných opatrení, ktorými je možné predchádzať úniku dát a zabrániť tak bezpečnostným incidentom a porušeniam. Prečo teda neboli osobné údaje dotknutých osôb šifrované? Jednou z možností je, že prevádzkovateľ aplikácie nevenoval dostatočnú pozornosť analýze rizík pri danom rozsahu spracúvania a uchovávania osobných údajov. Tým sa dopustil podľa nášho názoru závažného porušenia ochrany osobných údajov, aké v našich podmienkach nemá štandardne obdobu. Štátu hrozí za bezpečnostný incident SR exemplárna pokuta.
GDPR štandardizuje výšku pokút v čl. 83 a nasl. Nariadenia. V ustanovení sú obsiahnuté všeobecné podmienky ukladania správnych pokút. Vieme, že výška pokuty môže byť až do výšky 20.000.000,- Eur alebo 4 % z celkového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. Zaujímavosťou je, že niektoré členské štáty zverejnili orientačné modely výpočtu pokút.
Pre ilustráciu možnej výšky GDPR pokuty z nemeckej „kalkulačky“ vychádzame z dát dostupných pre Národné centrum zdravotníckych informácií a ako „obrat“ použijeme výnos za predchádzajúci rok. Výpočet je založený na predpoklade, že prišlo k strate veľmi citlivých údajov. Nemecký dozorný orgán, resp. jeho dostupná aplikácia vyčíslila predpokladanú pokutu na 1.166.644,- Eur1, resp. na 583.332,- Eur.2
Pri výpočte pokuty cez Holandský model je odhadovaná pokuta v III. kategórii (ako príklad porušenia je uvedené neoznámenie porušenia) vo výške 300.000,- Eur až 750.000,- Eur. IV. kategória vyčísluje pokutu na 450.000,- Eur až 1.000.000,- Eur (ako príklad uvádza „kalkulačka“ závažné porušenie ako nezákonné spracúvanie osobných údajov).
Samozrejme, pre každú situáciu sa výpočet líši a zohľadňujú sa v ňom individuálne osobitosti porušenia. Výpočty sú orientačné a dostupné „kalkulačky“ si môžete vyskúšať tu.
V prípade, že by bezpečnostný incident SR bol reálny a došlo by k zneužitiu osobných údajov, ktoré získala IT spoločnosť mohlo ísť o exemplárnu pokutu vo výške stoviek tisíc eur.
V tomto prípade sa jedná tak o kybernetický bezpečnostný incident, ako aj porušenie ochrany osobných údajov. Z pohľadu kybernetickej bezpečnosti sa na štátne orgány a orgány verejnej správy vzťahujú aj osobitné predpisy – zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a pod. Štátne orgány a orgány verejnej správy však často bezpečnosť opomínajú. Dôvody sú rôzne. Nedostatočná vedomosť o zabezpečení a o tom, čo má daný orgán alebo inštitúcia pre bezpečnosť robiť, absencia financií na bezpečnosť, nedostatok kvalifikovaných konzultantov…
To však v dnešnej dobe nie je „výhovorkou“. Osobné údaje sú čoraz väčšou hodnotou a bezpečnostné štandardy, ktoré nastavuje GDPR a ostatné právne predpisy, ako aj bezpečnostné normy (napríklad ISO) slúžia práve pre ich ochranu.
Ako sme spomínali v našom článku zameranom na zneužitie osobných údajov, porušenie osobných údajov pre štát znamená ďalšie tzv. „notifikačné“ povinnosti: oznámenie porušenia dozornému orgánu a / alebo oznámenie porušenia dotknutým osobám, ak boli splnené podmienky v zmysle čl. 33 nariadenia GDPR. Samozrejme, jednou z povinností je odstrániť „vadný“ stav, o čom informovali dotknuté subjekty a prevádzkovateľ aplikácie ihneď. Aplikácia Moje eZdravie bola podľa zverejnených informácií dodatočne zabezpečená.
Informácie budeme aktualizovať.
Pri klasifikácii porušenia v zmysle čl. 83 ods. 5 alebo 6 Nariadenia GDPR. ↩
Pri klasifikácii porušenia v zmysle čl. 83 ods. 4 Nariadenia GDPR. ↩
Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacWe will be happy to answer all your questions by e-mail, phone or in person.
Vytvorené digitálnou agentúrou UPVISION
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.