Dle GDPR počíná 72hodinová lhůta běžet od okamžiku, kdy se správce dozvěděl o porušení zabezpečení osobních údajů. Dle zákona o kybernetické bezpečnosti (dále jen „ZKB“) mají povinné subjekty povinnost ohlašovat kybernetický bezpečnostní incident bezodkladně po jejich detekci. Společným spouštěčem běhu lhůty pro ohlášení je tedy vznik vědomosti povinné osoby o incidentu. Tento okamžik však není vždy jednoduché stanovit.
Povinnost detekovat bezpečnostní incident
GDPR explicitně neuvádí, že správce má povinnost porušení zabezpečení osobních údajů aktivně detekovat, nicméně má povinnost zavést vhodná technická a organizační opatření k dosažení a prokázání souladu s pravidly obsaženými v GDPR.[1] Tato organizační a technická opatření mají mimo jiného vést k tomu, aby bylo porušení zabezpečení osobních údajů detekováno co nejdříve po jejich vzniku.[2]
ZKB dokonce konkrétně stanoví povinnost vybraných povinných subjektů zavést nástroj pro detekci kybernetických bezpečnostních událostí. Tuto povinnost pak konkretizuje vyhláška o kybernetické bezpečnosti.[3]
Okamžik, kdy se povinný subjekt o bezpečnostním incidentu nedozvěděl, ačkoliv se dozvědět mohl a měl, tedy sice nezakládá počátek běhu lhůty pro splnění ohlašovací povinnosti, ale může založit jeho odpovědnost za nedostatečná bezpečnostní či organizační opatření.
Vznik vědomosti o bezpečnostním incidentu
V některých situacích bude od určení počátku běhu lhůty poměrně jasné (odeslání e-mailu s přiloženým souborem obsahujícím databázi zákazníků nesprávnému příjemci). V jiných případech může povinnému subjektu trvat značnou dobu, než bezpečnostní incident zjistí (např. při útoku Advanced Persistent Threat[4]). Při vzniku podezření je však třeba začít činit kroky k co nejrychlejšímu vyšetření potenciálního incidentu s cílem určit, zda k bezpečnostnímu incidentu skutečně došlo a pokud ano, jaké jsou jeho důsledky. Po dobu nezbytně nutnou k vyšetření potenciálního incidentu nelze hovořit o vědomosti správce.
U právnických osob není nutné, aby vědomost nabyl jejich statutární orgán. Postačí, pokud se o vzniku incidentu dozví např. technický ředitel, bezpečnostní ředitel či pověřenec pro ochranu osobních údajů (DPO). Součástí organizačních opatření povinného subjektu by proto měl být i eskalační proces.[5] Pokud by se informace o vzniku bezpečnostního incidentu dostala rozhodujícím osobám v organizační hierarchii pozdě, mohl by povinný subjekt být odpovědný za nedostatečná organizační opatření.
Inspirace počátkem běhu subjektivní promlčecí lhůty práva na náhradu škody
Určení, ke kterému okamžiku povinný subjekt nabyl vědomost, bude záviset na okolnostech případu. To jinými slovy znamená, že do rozhodovacího procesu vstupuje vícero proměnných subjektivního i objektivního charakteru (odbornost povinného subjektu a jeho konkrétních pracovníků, velikost a komplexita systému, v němž k bezpečnostnímu incidentu došlo, sofistikovanost útoku, rozsah dotčených informačních aktiv apod.).
V této souvislosti je možné se inspirovat určováním počátku běhu subjektivní promlčecí lhůty práva na náhradu škody.[6] Tato lhůta počíná běžet od okamžiku, kdy poškozený nabyl vědomost o škodě a osobě povinné k její náhradě.[7]Shodně se lhůtou pro ohlášení bezpečnostního incidentu je tak její počátek navázán na vědomost dotčeného subjektu.
Judikatura týkající se počátku běhu subjektivní promlčecí lhůty práva na náhradu škody dovodila, že „je třeba vycházet z prokázané vědomosti poškozeného o vzniklé škodě, nikoliv jen z jeho předpokládané vědomosti o této škodě“.[8]Vědomost poškozeného o výši škody a škůdci se tedy nepředpokládá. V souvislosti s pojmem prokázaná vědomost judikatura operuje s pojmem „dostatečná pravděpodobnost“, čímž do problematiky, alespoň dle mého názoru, jasno vůbec nevnáší. O počátku běhu promlčecí lhůty práva na náhradu škody je tak rozhodováno ad hoc dle okolností daného případu. Domnívám se, že počátek běhu příslušných lhůt pro splnění ohlašovacích povinností dle GDPR a ZKB bude posuzován obdobným způsobem.[9] Lhůta ke splnění ohlašovací povinnosti tedy počne plynout v okamžiku, kdy povinný subjekt může s dodatečnou pravděpodobností dovodit vznik bezpečnostního incidentu. Inherentní nejistota spojená s určením konkrétního okamžiku by měla povinné subjekty motivovat k zavádění dostatečných technických a organizačních opatření a k pečlivé dokumentaci jednotlivých kroků následujících po vzniku podezření o vzniku bezpečnostního incidentu.
WP29 vyžaduje dostatečnou jistotu o vzniku bezpečnostního incidentu
Že se lze inspirovat výše uvedenou judikaturou podporují i pokyny WP29 (nyní Evropský sbor pro ochranu osobních údajů) k ohlašování případů porušení zabezpečení osobních údajů podle GDPR. Dle WP29 by se za okamžik, kdy se správce o porušení dozvěděl, měl považovat okamžik, kdy správce získal „dostatečnou jistotu o tom, že došlo k bezpečnostnímu incidentu, který vedl k narušení zabezpečení osobních údajů.“[10] Pojem „dostatečná jistota“ je obsahově shodný (a též neurčitý) s pojmem „dostatečná pravděpodobnost“ užívaným českými soudy při určování počátku běhu subjektivní promlčecí lhůty práva na náhradu škody.
Zajímavé na pokynech WP29 je to, že vznik ohlašovací povinnosti váží již na vědomost o bezpečnostním incidentu, který způsobil porušení zabezpečení osobních údajů. V okamžiku zjištění bezpečnostního incidentu ale správce ještě nemusí mít dostatečné podklady pro vyhodnocení závažnosti tohoto incidentu a rizicích pro subjekty údajů. Může se tedy stát, že správce detekuje bezpečnostní incident a vyhodnotí jej jako incident, který pravděpodobně nebude mít za následek riziko pro práva a svobody fyzických osob, a proto neprovede ohlášení dozorovému orgánu ani subjektům údajů. Na základě dalšího vyšetřování však správce zjistí, že incidentem byl zasažen větší objem dat, čímž dojde ke zvýšení potenciálního rizika pro fyzické osoby. Správce proto provede ohlášení dozorovému úřadu. Přestože mezi vznikem vědomosti o bezpečnostním incidentu a ohlášení dozorovému úřadu uplyne více než 72 hodin, nemělo by dle mého názoru být ohlášení považováno za pozdní, neboť správce postupoval vždy s ohledem na rozsah údajů, které aktuálně k dispozici.
Povinný subjekt tedy neporušuje své povinnosti, pokud na základě nových vstupních údajů změní své hodnocení rizik plynoucích z bezpečnostního incidentu. Důležité je, aby bezodkladně po vzniku podezření o vzniku bezpečnostního incidentu provedl podrobné šetření a aby vždy postupoval v souladu s aktuálními údaji, které má k dispozici. Povinný subjekt též musí operovat s určitou mírou pravděpodobnosti. Pokud zjistí, že ransomware zašifroval data v devíti z deseti zkontrolovaných koncových zařízeních, lze důvodně očekávat, že ze zbývajících padesáti koncových zařízení zapojených v totožné síti jich bude zasaženo přibližně čtyřicet pět. Povinný subjekt tak nemůže provést hodnocení rizik pouze z vědomosti o devíti zašifrovaných zařízeních, ale musí vzít v potaz pravděpodobnost, s jakou jsou zašifrována data na dalších zařízeních.
Závěr
Určení počátku běhu lhůty pro splnění ohlašovací povinnosti dle GDPR či ZKB nemusí být tak jednoduché, jak se na první pohled jeví. Kritickým okamžikem je vznik dostatečné jistoty na straně povinného subjektu o tom, že došlo k bezpečnostnímu incidentu. Kromě samotného ohlášení dozorovému orgánu musí povinný subjekt v omezeném čase bezpečnostní incident vyšetřit, napravit jeho důsledky, provádět poměrně náročná hodnocení dopadů tohoto incidentu a současně vše náležitě dokumentovat.
Povinným subjektům lze proto doporučit, aby se na nevyhnutelný bezpečnostní incident předem připravily nejen technicky, ale též organizačně. Mezi základní organizační opatření patří plán reakce na bezpečnostní incidenty a vnitřní předpisy týkající se informační bezpečnosti, nakládání s osobními údaji a eskalačního procesu.
[1] Čl. 24 odst. 1 GDPR a čl. 32 odst. 1 písm. d) GDPR.
[2] Recitál 87 věta prvá GDPR: „Mělo by být zjištěno, zda byla zavedena veškerá vhodná technická a organizační opatření, aby se okamžitě stanovilo, zda došlo k porušení zabezpečení osobních údajů, a aby byly dozorový úřad a subjekt údajů neprodleně informovány.“
[3] Srov. ust. § 5 odst. 3 písm. g) ZKB, který je prováděn ust. § 14, 22 a 23 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů.
Za účelem včasné detekce bezpečnostních incidentů mají větší organizace implementovány technické nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí. Tyto nástroje se skládají ze dvou základních částí. Zaprvé je to Log Manager, který zpracovává logy (tj. digitální textové soubory obsahující chronologické záznamy sledovaných událostí ve sledované infrastruktuře, z nichž lze vytvořit auditní stopu) ze všech připojených zdrojů. Log Manager poskytuje zdrojové informace druhé části nástroje nazývané SIEM (Security Information and Event Management), která na základě korelací a analýzy logů generuje hlášení o incidentech.
[4] Sofistikované kybernetické útoky zaměřené na významné státní či soukromé organizace vyznačující se svou dlouhodobostí a systematičností. Útočníci cílový systém vytrvale infiltrují pomocí pokročilých a adaptivních technik, čímž se tyto útoky odlišují od běžných druhů napadení. Pojmem advanced persistent threat se někdy označují skupiny útočníků využívající tyto sofistikované metody.
[5] Pravidla, dle kterých se údaje o podezření o možném bezpečnostním incidentu dostávají od nižších úrovní organizační hierarchie výše až k určeným osobám, které mají kompetenci zahájit šetření, případně rovnou rozhodnout o potřebě ohlášení.
[6] § 629 odst. 1 občanského zákoníku.
[7] § 620 odst. 1 občanského zákoníku.
[8] Srov. rozsudek Nejvyššího soudu ČSR z 27. 9. 1974, 2 Cz 19/74. Soud v této věci rozhodoval podle starého občanského zákoníku z roku 1964, který však obsahoval úpravu obdobnou s tou stávající. Závěry tohoto rozhodnutí jsou tedy platné i za účinnosti stávajícího občanského zákoníku.
[9] Dodatečné určování a prokazování okamžiku počátku běhu lhůty ke splnění ohlašovací povinnosti bude vždy inherentně spojeno s určitou mírou nejistoty. Vědomost, podobně jako zvinění či dobrá víra, jsou totiž okolnostmi subjektivního charakteru a jako takové nemohou být samy o sobě předmětem dokazování. Tímto mohou být pouze skutečnosti vnějšího světa, jejichž prostřednictvím se tyto vnitřní okolnosti projevují navenek. Okolnosti subjektivního charakteru je možné za použití zásad logického myšlení a zkušenosti dovozovat pouze nepřímo z okolností objektivní povahy.
[10] Pokyny k oznamování porušení ochrany osobních údajů podle nařízení 2016/679 ze dne 3. 10. 2017, ve znění pozdějších předpisů [online]. Evropská komise. [cit. 18. 9. 2020]. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.