Bezpečnostný incident v štátnej aplikácii SR: citlivé údaje 130-tisíc ľudí neboli zabezpečné

Slovenská IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť aplikácie vyvinutej v súvislosti s COVID-19 – „Moje eZdravie“. Ukázala, že dáta vyše 100-tisíc testovaných pacientov neboli v aplikácii zabezpečené. Čo na tento bezpečnostný incident SR štát, ktorý je prevádzkovateľom?

Osobné údaje, ktoré bolo možné z aplikácie „ukradnúť“ a priradiť ich ku konkrétnym osobám:

  • mená a priezviská,
  • rodné čísla – osobitne chránený osobný údaj,
  • informácie o výsledku COVID-19 testu – osobitná kategória osobných údajov (údaje o zdraví).

bezpecnostny-incident-gdpr-v-statnej-aplikacii-securion

Nedostatočné zabezpečenie dát v štátnej aplikácii

IT spoločnosť v článku informovala o tejto hrozbe uvádza, že: „Všetky dáta boli v nešifrovanej, teda úplne nezabezpečenej forme.“ Z tohto tvrdenia môžeme usúdiť, že prišlo k porušeniu noriem informačnej bezpečnosti, ako aj nedostatočnému zabezpečeniu osobných údajov dotknutých osôb.

GDPR vyžaduje prijatie bezpečnostných opatrení – štandardných, ako aj osobitných – vzhľadom na účely, rozsah, povahu a kontext spracúvania. Ako bezpečnostné opatrenia by v tomto prípade prichádzali viaceré bezpečnostné opatrenia – napríklad šifrovanie. V praxi sa často aplikácie a ich odolnosť testujú formou etického hackingu. Štátna aplikácia však bezpečnostné opatrenia nemala.

Napríklad šifrovanie dát je podľa GDPR jedným z bezpečnostných opatrení, ktorými je možné predchádzať úniku dát a zabrániť tak bezpečnostným incidentom a porušeniam. Prečo teda neboli osobné údaje dotknutých osôb šifrované? Jednou z možností je, že prevádzkovateľ aplikácie nevenoval dostatočnú pozornosť analýze rizík pri danom rozsahu spracúvania a uchovávania osobných údajov. Tým sa dopustil podľa nášho názoru závažného porušenia ochrany osobných údajov, aké v našich podmienkach nemá štandardne obdobu. Štátu hrozí za bezpečnostný incident SR exemplárna pokuta.

Pokuta – ako sa počíta?

GDPR štandardizuje výšku pokút v čl. 83 a nasl. Nariadenia. V ustanovení sú obsiahnuté všeobecné podmienky ukladania správnych pokút.  Vieme, že výška pokuty môže byť až do výšky 20.000.000,- Eur alebo 4 % z celkového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. Zaujímavosťou je, že niektoré členské štáty zverejnili orientačné modely výpočtu pokút.

Pre ilustráciu možnej výšky GDPR pokuty z nemeckej „kalkulačky“ vychádzame z dát dostupných pre Národné centrum zdravotníckych informácií a ako „obrat“ použijeme výnos za predchádzajúci rok. Výpočet je založený na predpoklade, že prišlo k strate veľmi citlivých údajov. Nemecký dozorný orgán, resp. jeho dostupná aplikácia vyčíslila predpokladanú pokutu na 1.166.644,- Eur1, resp. na 583.332,- Eur.2

Pri výpočte pokuty cez Holandský model je odhadovaná pokuta v III. kategórii (ako príklad porušenia je uvedené neoznámenie porušenia) vo výške 300.000,- Eur až 750.000,- Eur. IV. kategória vyčísluje pokutu na 450.000,- Eur až 1.000.000,- Eur (ako príklad uvádza „kalkulačka“ závažné porušenie ako nezákonné spracúvanie osobných údajov).

Samozrejme, pre každú situáciu sa výpočet líši a zohľadňujú sa v ňom individuálne osobitosti porušenia. Výpočty sú orientačné a dostupné „kalkulačky“ si môžete vyskúšať tu.

V prípade, že by bezpečnostný incident SR bol reálny a došlo by k zneužitiu osobných údajov, ktoré získala IT spoločnosť mohlo ísť o exemplárnu pokutu vo výške stoviek tisíc eur.

bezpecnostny-incident-kyberneticka-bezpecnost-gdpr-securion

Kybernetická bezpečnosť vs. GDPR

V tomto prípade sa jedná tak o kybernetický bezpečnostný incident, ako aj porušenie ochrany osobných údajov. Z pohľadu kybernetickej bezpečnosti sa na štátne orgány a orgány verejnej správy vzťahujú aj osobitné predpisy – zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a pod. Štátne orgány a orgány verejnej správy však často bezpečnosť opomínajú. Dôvody sú rôzne. Nedostatočná vedomosť o zabezpečení a o tom, čo má daný orgán alebo inštitúcia pre bezpečnosť robiť, absencia financií na bezpečnosť, nedostatok kvalifikovaných konzultantov…

To však v dnešnej dobe nie je „výhovorkou“. Osobné údaje sú čoraz väčšou hodnotou a bezpečnostné štandardy, ktoré nastavuje GDPR a ostatné právne predpisy, ako aj bezpečnostné normy (napríklad ISO) slúžia práve pre ich ochranu.

Čo robiť v prípade porušenia ochrany osobných údajov?

Ako sme spomínali v našom článku zameranom na zneužitie osobných údajov, porušenie osobných údajov pre štát znamená ďalšie tzv. „notifikačné“ povinnosti: oznámenie porušenia dozornému orgánu a / alebo oznámenie porušenia dotknutým osobám, ak boli splnené podmienky v zmysle čl. 33 nariadenia GDPR. Samozrejme, jednou z povinností je odstrániť „vadný“ stav, o čom informovali dotknuté subjekty a prevádzkovateľ aplikácie ihneď. Aplikácia Moje eZdravie bola podľa zverejnených informácií dodatočne zabezpečená.

Informácie budeme aktualizovať. 


  1. Pri klasifikácii porušenia v zmysle čl. 83 ods. 5 alebo 6 Nariadenia GDPR. 

  2. Pri klasifikácii porušenia v zmysle čl. 83 ods. 4 Nariadenia GDPR. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.