Incident management
Službu Incident managementu lze využít jak pro plnění povinností souvisejících se zákonem o kybernetické bezpečnosti, tak při porušení zabezpečení osobních údajů dle článku 33 GDPR.
Pak je třeba jednat dle článku 33 GDPR, který popisuje postup a informace, které musí organizace určit a zdokumentovat ÚOOÚ, aby zůstala v souladu s nařízením a zákonem o zpracování OÚ.
To zahrnuje:
- Popis povahy narušení, jako je počet a typ dotčených záznamů údajů a subjektů údajů;
- Kontaktní údaje pracovníka pro ochranu osobních údajů nebo jiné kontaktní místo;
- Pravděpodobné důsledky narušení osobních údajů; a
- Opatření přijatá nebo navrhovaná správcem k řešení porušení ochrany osobních údajů.
Během tohoto kroku by organizace měla také dokumentovat účinky přijatých porušení a nápravných opatření. Tyto informace budou vyžadovány orgánem dohledu po porušení a proaktivní příprava může ušetřit cenný čas.
V případě porušení začne běžet 72hodinový limit pro oznámení dozorovému orgánu. Organizace musí během této doby zahájit komunikaci a poskytnout všechna data a informace, jež byly dotčeny. Není-li možné poskytnout všechny potřebné informace současně, mohou být informace poskytnuty ve fázích bez dalšího zbytečného zpoždění.
Nejde však jen o sdělení výsledků porušení. Organizace by měla vysvětlit porušení údajů, včetně toho, jaká bezpečnostní opatření byla zavedena a jak plánuje tento proces zlepšit. To znamená provedení postmortem analýzy situace - požadavek dle GDPR.
Po konzultaci s orgánem dohledu musí organizace tyto úpravy provést. Bezpečnostní tým by měl vypracovat plán na aktualizaci procesu reakce na incidenty a implementaci osvědčených postupů pro testování a aktualizaci plánu.