SMART LAW
  • Blog
  • GDPR poradna
  • Ke stažení
  • O mně
  • Blog
  • GDPR poradna
  • Ke stažení
  • O mně

Povinnost oznámit porušení zabezpečení osobních údajů subjektům údajů

24/2/2020

Comments

 
Picture
Minulý týden jsem psal o povinnosti správce ohlásit porušení zabezpečení osobních údajů dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů. V článku níže se podíváme blíže na povinnost správce oznámit porušení zabezpečení osobních údajů přímo subjektům údajů (fyzickým osobám, jejichž osobní údaje zpracovává). Podíváme se jak na to, co k problematice říká obecné nařízení o ochraně osobních údajů (GDPR), tak na několik příkladů z praxe.

Oznámení porušení zabezpečení osobních údajů subjektům údajů

​Pokud je pravděpodobné, že konkrétní případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce musí toto porušení bez zbytečného odkladu oznámit i přímo subjektům údajů. Uvedenou povinnost správci ukládá čl. 34 GDPR.
V oznámení určeném subjektu údajů musí správce za použití jasných a jednoduchých jazykových prostředků popsat povahu poručení zabezpečení osobních údajů a uvést v něm přinejmenším:
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
  • popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Všechny výše uvedené informace je nutné vysvětlit tak, aby byly pro subjekt údajů pochopitelné. ​Vhodné zároveň je subjekty údajů poučit i o způsobu, jak mohou samy následky porušení zabezpečení osobních údajů minimalizovat (např. pokud unikla databáze přihlašovacích jmen a hesel, tak je žádoucí subjekty údajů poučit o tom, že by si měly heslo co nejrychleji změnit).

Kdy není nutné oznámit porušení zabezpečení osobních údajů subjektům údajů

Správce nemusí oznámit porušení zabezpečení osobních údajů subjektům údajů v případě, že je splněna kterákoli z těchto podmínek:
  • správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování,
  • správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví,
  • vyžadovalo by to nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Příklady oznámení porušení zabezpečení osobních údajů subjektům údajů

Picture
American Express
Picture
British Airways
Picture
Superdrug
Comments

    Andrej Lobotka

    právník se zájmem o trestní právo, právo informačních technologií a ochranu osobních údajů. Více informací v sekci O MNĚ.


    Štítky

    All
    Advokacie
    Data Retention
    Diskriminace
    GDPR
    Internet
    Koronavirus (COVID 19)
    Kyberkriminalita
    Osobní údaje
    Poradna
    Skimming
    Soudní Dvůr EU
    Svobodný Přístup K Informacím
    Trestní Právo
    Umělá Inteligence
    Vzor


Proudly powered by Weebly