Jak je definováno porušení zabezpečení osobních údajů?Porušení zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů (viz čl. 4 bod 12 GDPR). K porušení zabezpečení osobních údajů tedy může dojít jak činností zvenčí (např. krádeží dokumentů obsahujících osobní údaje, průmyslovou špionáží), tak činností zevnitř (např. ztrátou dokumentů obsahujících osobní údaje, neoprávněným zpřístupněním osobních údajů zaměstnancem třetí osobě). K porušení zabezpečení osobních údajů může dojít jak úmyslně, tak z nedbalosti. Příkladem porušení zabezpečení osobních údajů je únik osobních údajů zákazníků společnosti Internet Mall. Bližší informace k případu např. zde. V jakém případě je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob?Pokud je nepravděpodobné, že by porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob, správce nemusí toto porušení ohlásit Úřadu pro ochranu osobních údajů (viz čl. 33 GDPR). Např. používání pseudonymizace či šifrování může případné riziko pro práva a svobody fyzických osob zcela eliminovat, a tudíž i zbavit správce nutnosti případ ohlásit Úřadu pro ochranu osobních údajů. Šifrované či pseudonymizované údaje totiž obecně nemohou způsobit škodu, pokud se dostanou do nepovolaných rukou. Vždy je však nutné míru rizika posoudit individuálně, a to i v případě, že byla použita pseudonymizace či šifrování. Co musí ohlášení obsahovat?Ohlášení porušení zabezpečení osobních údajů musí obsahovat:
Slovenský Úrad na ochranu osobných údajov zveřejnil formulář, který správci mohou použít při oznamování porušení zabezpečení osobních údajů subjektu údajů dozorovému orgánu, dlouho předtím, než tak učinil český úřad. Český úřad zveřejnil formulář pro ohlášení porušení zabezpečení osobních údajů dle GDPR až v minulém roce. Dostupný je z webových stránek Úřadu pro ochranu osobních údajů zde. Stáhnout si jej můžete i zde:
Jak má postupovat zpracovatel, když zjistí porušení zabezpečení osobních údajů?Zpracovatelem je osoba, která provádí zpracování osobních údajů pro správce podle jeho pokynů. Jde tedy v podstatě o dodavatele. Zpracovatel je správci „podřízen“. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci, aby tento mohl následně splnit svou výše uvedenou ohlašovací povinnost vůči dozorovému orgánu, tedy Úřadu pro ochranu osobních údajů. Uvedenou otázku (povinnost zpracovatele informovat správce) je vhodné řešit i v rámci smlouvy o zpracování osobních údajů. Smlouvě o zpracování osobních údajů jsem se podrobně věnoval v článku s názvem Vzor smlouvy o zpracování osobních údajů.
|
Andrej Lobotkaprávník se zájmem o trestní právo, právo informačních technologií a ochranu osobních údajů. Více informací v sekci O MNĚ. Štítky
All
|
Proudly powered by Weebly