Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy

Co je porušení zabezpečení osobních údajů a co by v takovém případě mělo být učiněno?
Stručný návod pro situace ohlášení porušení zabezpečení osobních údajů v souladu s GDPR.

Porušení zabezpečení osobních údajů nastává, když údaje, za něž vaše organizace nese odpovědnost, postihne bezpečnostní incident vedoucí k porušení důvěrnosti, dostupnosti nebo integrity, zneužití ztrátě apod. Pokud k tomu dojde a je pravděpodobné, že toto porušení znamená riziko pro práva a svobody subjektů údajů, je organizace povinna tuto skutečnost ohlásit dozorovému úřadu bez zbytečného odkladu, nejpozději do 72 hodin poté, co jste se o porušení dozvěděli. Pokud je organizace zpracovatelem údajů, musí každé porušení zabezpečení osobních údajů neprodleně ohlásit správci údajů. 

Pokud porušení zabezpečení osobních údajů znamená vysoké riziko pro dotčené subjekty údajů, měly by být i ony informovány. 
Pro každou organizaci je životně důležité, zavést vhodná technická a organizační opatření, aby nedocházelo k možnému porušení zabezpečení osobních údajů. V případě vzniku takové události, kontaktujte neprodleně svého pověřence.

Jaké případy je třeba ohlašovat?
Je třeba ohlašovat jakékoliv porušení zabezpečení osobních údajů, které může mít za následek riziko pro práva a svobody fyzických osob.
Může jít například o útok proti počítači, ve kterém jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Může jít také např. o ztrátu listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace).

Jaké případy není třeba ohlašovat?
Ohlašovat není třeba případy, u nichž je nepravděpodobné, že by porušení mělo za následek riziko pro dotčené osoby. Může jít např. o momentální nemožnost dohledat listinný dokument, který byl nebo měl být součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byl vytištěn z počítače, ve kterém je taková evidence vedena, přičemž je nepravděpodobné, že se dostal do nepovolaných rukou, ale jde spíše o jeho momentální chybné založení.

Co musí ohlášení obsahovat?
Zejména:
popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
Byl-li správcem nebo zpracovatelem jmenován pověřenec, k jehož úkolům patří spolupráce s dozorovým úřadem, může být vypracování ohlášení úkolem tohoto pověřence.

Komu se ohlášení zasílá?
Správce osobních údajů ohlašuje případ dozorovému úřadu, kterým je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, Praha 7. V případě, že taková událost vznikne zpracovateli, ohlašuje zpracovatel případ příslušnému správci (ten pak rozhodne, zda je na základě kritérií potřeba ohlásit událost ÚOOÚ.

Do kdy je třeba ohlášení učinit a jak?
Správce i zpracovatel ohlašují případ bez zbytečného odkladu. Správce případ ohlásí dozorovému úřadu, pokud možno do 72 hodin od okamžiku, kdy se o něm dověděl. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. Správce zasílá Úřadu ohlášení na adresu elektronické pošty, e-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. nebo do datové schránky: qkbaa2n.
Zpracovatel zasílá ohlášení správci adresně na dohodnuté kontaktní údaje správce.

Kdy je třeba případ oznámit lidem (subjektům údajů), u nichž k porušení zabezpečení jejich osobních údajů došlo?
Je to třeba, když je pravděpodobné, že případ bude mít za následek vysoké riziko pro práva a svobody dotčených osob.
Může jít mimo jiné např. o případ porušení zabezpečení osobních údajů v bankovním systému, v jehož důsledku by mohlo dojít k majetkové újmě klientů banky.

Jaké jsou výjimky z povinnosti oznámit takový případ subjektům údajů?
Oznámení dotčeným osobám se nevyžaduje jestliže:

a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

V případě vzniku takové události, kontaktujte neprodleně svého pověřence.