Co udělat, pokud zjistíte porušení zabezpečení Vašich osobních údajů?

Správcům osobních údajů nařizuje legislativa značné množství povinností v souvislosti s jejich zpracováním. Zejména pak, pokud jde o porušení bezpečnosti.

Porušení zabezpečení osobních údajů nastává, když údaje, za něž vaše organizace nese odpovědnost, postihne bezpečnostní incident vedoucí k porušení důvěrnosti, dostupnosti nebo integrity.

Pokud k tomu dojde, vaše organizace to musí ohlásit dozorovému úřadu bez zbytečného odkladu a přinejmenším do 72 hodin poté, co jste se o porušení dozvěděli.

— Evropská komise

Skutečnosti, které musí nastat, aby se dalo hovořit o porušení bezpečnosti:

1. porušení zabezpečení (GDPR však definici toho, co je porušením zabezpečení neobsahuje);
2. musí jít o následek náhodné nebo protiprávní skutečnosti, která vedla k předpokládanému následku;
3. v důsledku čehož došlo ke zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů;
4. tyto osobní údaje byly zpracovávány (uložením, přenosem apod.)

Je přitom jedno, zda se jednalo o narušení zvenku (např. útok třetí osoby) nebo v rámci organizace. Také není důležité, jak tato událost vznikla, ani kolika subjektů či osobních údajů se týkala.

Povinnost ohlásit porušení zabezpečení osobních údajů dozorovému úřadu
Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, kromě případů, kdy by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Oznámení lze podat na tomto místě:
ÚOOÚ: Oznámení o porušení ochrany osobních údajů

Posuzování závažnosti narušení bezpečnosti osobních údajů
Pokud si nejste jisti, jak správně posoudit závažnost porušení bezpečnosti, doporučujeme vám dokument Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle nařízení 2016/679 pracovní skupiny WP29 (soubor PDF, 572kB)

Zde je uvedeno, že při posouzení rizika je vhodné zohlednit následující faktory:

1. typ porušení
2. povaha, citlivost a objem osobních údajů;
3. snadnost identifikace fyzických osob;
4. závažnost důsledků pro fyzické osoby;
5. zvláštní charakteristiky fyzických osob;
6. počet dotčených fyzických osob;
7. obecné skutečnosti.

Příklady porušení bezpečnosti, která je nezbytné hlásit a těch, které naopak hlásit nemusíte, zveřejnil Úřad pro ochranu osobních údajů zde: ÚOOÚ – Ohlašování případů porušení zabezpečení

Na lednovém plenárním zasedání schválil Evropský sbor pro ochranu osobních údajů pokyny k příkladům ohledně ohlašování případů porušení zabezpečení osobních údajů. K dokumentu je již otevřena veřejná diskuze, kde je možné až do 2. března 2021 zasílat Sboru připomínky.

Nejvýznamnější legislativa k této problematice:

1. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
2. Zákon č. 110/2000 Sb., o zpracování osobních údajů
3. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů

Zdroj: 

• Ohlašování případů porušení zabezpečení
• Oznámení o porušení ochrany osobních údajů
• Hlavní povinnosti správce při zjištění porušení zabezpečení osobních údajů dle GDPR