Veřejná vysoká škola

Kontrola přijetí technicko-organizačních opatření

Kontrola byla zahájena na základě informací z přijatého ohlášení porušení zabezpečení osobních údajů. Předmětem kontroly bylo dodržování povinností při zpracovávání osobních údajů stanovených nařízením (EU) 2016/679 a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti s ransomware útokem na část počítačové sítě univerzity, na které provozuje správa kolejí a menz univerzity stravovací informační systém.

Provedenou kontrolou bylo zjištěno, že ač kontrolovaný přijal technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, stejně tak zavedl ve své praxi vysokou úroveň záruk zpracování a minimalizaci rizik negativních dopadů do práv 
a svobod subjektů údajů (např. kontrolovaný provádí proškolení odpovědných pracovníků v oblasti ochrany osobních údajů, aktualizaci záznamů o činnostech zpracování, stanovení pravidel pro řízení přístupu k osobním údajům, logy), došlo k úspěšnému ransomware ataku na část počítačové sítě kontrolovaného, na které provozuje správa kolejí a menz univerzity stravovací informační systém.

Při posuzování vhodné úrovně zabezpečení nebyla prověřena všechna rizika, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Tím došlo ze strany kontrolovaného k porušení čl. 5 odst. 1 písm. f) a čl. 32 odst. 1, 2 nařízení (EU) 2016/679.

S ohledem na skutečnost, že u kontrolované osoby došlo po ransomware útoku k přijetí opatření k odstranění nedostatků, byl zjištěný protiprávní stav napraven. V návaznosti na výše uvedené proto nebylo zahájení řízení podle § 60 zákona č. 110/2019 Sb. o uložení opatření k odstranění zjištěných nedostatků důvodné, neboť účelu, jehož by bylo možné dosáhnout provedením řízení o přestupku, bylo již dosaženo.