Ohlašování porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů

​Jakékoli porušení zabezpečení osobních údajů musí správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit Úřadu pro ochranu osobních údajů. Nemusí tak učinit jenom pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení učiněno do 72 hodin, ale až později, musí být současně s ním uvedeny důvody zpoždění.

Jak je definováno porušení zabezpečení osobních údajů?

​Porušení zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů (viz čl. 4 bod 12 GDPR).

K porušení zabezpečení osobních údajů tedy může dojít jak činností zvenčí (např. krádeží dokumentů obsahujících osobní údaje, průmyslovou špionáží), tak činností zevnitř (např. ztrátou dokumentů obsahujících osobní údaje, neoprávněným zpřístupněním osobních údajů zaměstnancem třetí osobě). K porušení zabezpečení osobních údajů může dojít jak úmyslně, tak z nedbalosti.

Příkladem porušení zabezpečení osobních údajů je únik osobních údajů zákazníků společnosti Internet Mall. Bližší informace k případu např. zde.

V jakém případě je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob?

​Pokud je nepravděpodobné, že by porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob, správce nemusí toto porušení ohlásit Úřadu pro ochranu osobních údajů (viz čl. 33 GDPR).

​Např. používání pseudonymizace či šifrování může případné riziko pro práva a svobody fyzických osob zcela eliminovat, a tudíž i zbavit správce nutnosti případ ohlásit Úřadu pro ochranu osobních údajů. Šifrované či pseudonymizované údaje totiž obecně nemohou způsobit škodu, pokud se dostanou do nepovolaných rukou. Vždy je však nutné míru rizika posoudit individuálně, a to i v případě, že byla použita pseudonymizace či šifrování.

Co musí ohlášení obsahovat?

Ohlášení porušení zabezpečení osobních údajů musí obsahovat:

• popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
• jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
• popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
• popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Slovenský Úrad na ochranu osobných údajov zveřejnil formulář, který správci mohou použít při oznamování porušení zabezpečení osobních údajů subjektu údajů dozorovému orgánu, dlouho předtím, než tak učinil český úřad.

Český úřad zveřejnil formulář pro ohlášení porušení zabezpečení osobních údajů dle GDPR až v minulém roce. Dostupný je z webových stránek Úřadu pro ochranu osobních údajů zde. Stáhnout si jej můžete i zde:

formular_ohlaseni_poruseni_zabezpeceni_dle_gdpr.pdf
File Size:	157 kb
File Type:	pdf

Download File

---

Jak má postupovat zpracovatel, když zjistí porušení zabezpečení osobních údajů?

​Zpracovatelem je osoba, která provádí zpracování osobních údajů pro správce podle jeho pokynů. Jde tedy v podstatě o dodavatele. Zpracovatel je správci „podřízen“. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci, aby tento mohl následně splnit svou výše uvedenou ohlašovací povinnost vůči dozorovému orgánu, tedy Úřadu pro ochranu osobních údajů. 

Uvedenou otázku (povinnost zpracovatele informovat správce) je vhodné řešit i v rámci smlouvy o zpracování osobních údajů. Smlouvě o zpracování osobních údajů jsem se podrobně věnoval v článku s názvem Vzor smlouvy o zpracování osobních údajů.