Riešenie bezpečnostných incidentov

Postup pri narušení osobných údajov (data breach) a bezpečnostných incidentoch podľa GDPR.

Kritická 72-hodinová lehota

GDPR vyžaduje hlásenie závažného narušenia údajov Úradu na ochranu osobných údajov SR do 72 hodín od zistenia incidentu (Článok 33).

Nedodržanie tejto lehoty môže viesť k pokute až do výšky 10 mil. EUR alebo 2% globálneho obratu.

Čo je bezpečnostný incident?

Bezpečnostný incident (data breach) je akékoľvek narušenie bezpečnosti vedúce k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo prístupu k osobným údajom.

❌

Príklady bezpečnostných incidentov:

• Neoprávnený prístup do systému (hacking, phishing)
• Strata notebooku/USB kľúča s citlivými údajmi
• Omylom odoslaný email s údajmi na nesprávnu adresu
• Ransomware útok šifrujúci databázu klientov
• Zverejnenie dokumentov na verejne prístupnom cloud úložisku

Postup pri zistení incidentu

0-1 hodina

Okamžité kroky

Zastavte incident: Odpojte systém z internetu, zablokujte prístup, zmeňte heslá
Dokumentujte: Zapíšte presný čas zistenia, charakter incidentu, kto ho objavil
Informujte vedenie: Okamžite kontaktujte zodpovedného partnera/DPO

1-24 hodín

Vyšetrovanie a posúdenie

Vyšetrite rozsah: Koľko klientov je dotknutých? Aké údaje unikli?
Posúďte závažnosť: Riziko pre práva a slobody dotknutých osôb (high/medium/low)
Pripravte dokumentáciu: Zoznam dotknutých osôb, kategórie údajov, príčina

Do 72 hodín

Hlásenie úradu (ak je to potrebné)

Oznámte ÚOOÚ SR: Email: statny.dozor@pdp.gov.sk, Tel: +421 2 3231 3220
Informujte dotknuté osoby: Ak existuje vysoké riziko pre ich práva (Článok 34 GDPR)
Zdokumentujte v Lexi AI: Prejdite na Nastavenia → Bezpečnosť → Zalogujte incident

Po incidente

Nápravné opatrenia

Zaveďte zabezpečenie: Dvojfaktorová autentifikácia, šifrovanie, prístupové práva
Školenie tímu: Preventívne opatrenia, rozpoznávanie phishingu
Pravidelný audit: Testovanie zabezpečenia, revízia prístupových práv

Kedy je potrebné hlásiť úradu?

✅ Hlásiť VŽDY (vysoké riziko):

• Úniku citlivých údajov (rodné čísla, zdravotné údaje, bankové účty)
• Ransomware útok šifrujúci databázu klientov
• Neoprávnený prístup do systému s prístupom k údajom
• Strata nešifrovaného zariadenia s klientskymi údajmi
• Zverejnenie dokumentov na internete

❌ Nie je potrebné hlásiť (nízke riziko):

• Email odoslaný na nesprávnu osobu v rámci kancelárie (nie externe)
• Strata šifrovaného zariadenia (údaje nie sú prístupné)
• Technická chyba bez prístupu k údajom
• Incident okamžite zadržaný bez úniku údajov

Pochybnosti? Pri akejkoľvek neistote je lepšie incident nahlásiť. Úrad SR nepokutuje za opatrnosť.

Kontaktné údaje pre hlásenie

Úrad na ochranu osobných údajov SR:

Web:dataprotection.gov.sk

Email pre hlásenie:statny.dozor@pdp.gov.sk

Telefón:+421 2 3231 3220

Adresa:Hraničná 12, 820 07 Bratislava

Tip: Pripravte si vopred kontaktné údaje a šablónu hlásenia. V stresovej situácii vám to ušetrí čas.

Preventívne opatrenia v Lexi AI

Audit log

Lexi AI automaticky loguje všetky prístupy k údajom, zmeny, exporty. V prípade incidentu môžete rýchlo identifikovať, kto čo robil.

Dvojfaktorová autentifikácia (2FA)

Zabezpečte účty proti neoprávnenému prístupu. Aktivujte v Nastavenia → Zabezpečenie → 2FA.

Šifrovanie údajov

Všetky údaje v Lexi AI sú šifrované pri prenose (TLS) aj pri uložení (AES-256).

Pravidelné zálohy

Automatické denné zálohy databázy s 30-dňovou retenčnou politikou.

Ste pripravení na incident?

Lexi AI vám pomáha minimalizovať riziká a rýchlo reagovať na bezpečnostné incidenty.

Aktivovať 2FA GDPR Compliance

Načítavam...