30.05.2018

Ohlašování případů porušení zabezpečení

Jaké případy porušení zabezpečení osobních údajů je třeba ohlašovat? Úřad pro ochranu osobních údajů vypracoval formou otázek a odpovědí stručný návod pro oblast ohlášení porušení zabezpečení osobních údajů v souladu s GDPR.

Úřad pro ochranu osobních údajů vypracoval formou otázek a odpovědí stručný návod pro oblast ohlášení porušení zabezpečení osobních údajů v souladu s GDPR.

Jaké případy je třeba ohlašovat?

Je třeba ohlašovat jakékoliv porušení zabezpečení osobních údajů, které může mít za následek riziko pro práva a svobody fyzických osob.

Může jít například o útok proti počítači, ve kterém jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Může jít také např. o ztrátu listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace).
 
Jaké případy není třeba ohlašovat?

Ohlašovat není třeba případy, u nichž je nepravděpodobné, že by porušení mělo za následek riziko pro dotčené osoby.
Může jít např. o momentální nemožnost dohledat listinný dokument, který byl nebo měl být součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byl vytištěn z počítače, ve kterém je taková evidence vedena, přičemž je nepravděpodobné, že se dostal do nepovolaných rukou, ale jde spíše o jeho momentální chybné založení.
 
Co musí ohlášení obsahovat?

Ohlášení musí obsahovat:

a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

Byl-li správcem nebo zpracovatelem jmenován pověřenec, k jehož úkolům patří spolupráce s dozorovým úřadem, může být vypracování ohlášení úkolem tohoto pověřence.
 
Komu se ohlášení zasílá?

Správce osobních údajů ohlašuje případ dozorovému úřadu, kterým je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, Praha 7. Zpracovatel ohlašuje případ příslušnému správci.
 
Do kdy je třeba ohlášení učinit a jak?

Správce  i zpracovatel ohlašují případ bez zbytečného odkladu. Správce případ ohlásí Úřadu pokud možno do 72 hodin od okamžiku, kdy se o něm dověděl. Pokud není ohlášení Úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Správce zasílá Úřadu ohlášení na adresu elektronické pošty, e-mail: posta@uoou.cz nebo do datové schránky: qkbaa2n. 

Zpracovatel zasílá ohlášení správci na dohodnuté kontaktní údaje správce.
 
Kdy je třeba případ oznámit lidem, u nichž k porušení zabezpečení jejich osobních údajů došlo?

Je to třeba, když je pravděpodobné, že případ bude mít za následek vysoké riziko pro práva a svobody dotčených osob.

Může jít např. o případ porušení zabezpečení osobních údajů v bankovním systému, v jehož důsledku by mohlo dojít k majetkové újmě klientů banky.
 
Jaké jsou výjimky z povinnosti oznámit takový případ těmto lidem?

Oznámení dotčeným osobám se nevyžaduje, jestliže:

a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek pod shora uvedenými písm. a), b) a c).
 

Více informací k této oblasti nabízí schválená vodítka Pracovní skupiny WP29, nynějšího Evropského sboru pro ochranu osobních údajů.

Zdroj: UOOU (https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=30181)
Zveřejnila: Petra Kubařová, SMO ČR