Zpět na hlavní stránku Pokynů k ochraně osobních údajů pro organizátory
Pokyny k ochraně osobních údajů – Otázka č. 11
Co byste měli dělat v případě porušení zabezpečení osobních údajů?
Platí pro variantu 2 s výjimkou využití služby Komise pro výměnu souborů
Porušení zabezpečení osobních údajů znamená porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému poskytnutí nebo zpřístupnění přenášených, uchovávaných nebo zpracovávaných osobních údajů.
Oznámení o porušení zabezpečení údajů
Jakékoli porušení zabezpečení osobních údajů oznámí zástupce skupiny organizátorů příslušnému úřadu pro ochranu osobních údajů neprodleně a v zásadě nejpozději do 72 hodin od okamžiku, kdy se o něm dozvěděl, s výjimkou případů, kdy je nepravděpodobné, že by toto porušení mělo za následek ohrožení práv a svobod fyzických osob.
Oznámení musí obsahovat alespoň:
- popis porušení zabezpečení osobních údajů, včetně počtu signatářů, kterých se to týká, a kategorií dotčených údajů
- jméno a kontaktní údaje pověřence pro ochranu osobních údajů (nebo jiného příslušného kontaktního místa)
- pravděpodobné důsledky porušení zabezpečení údajů po posouzení věci a
- veškerá opatření, která správce údajů přijal k nápravě nebo zmírnění porušení zabezpečení.
Pokud není možné poskytnout tyto informace najednou, mohou být poskytovány postupně, jakmile jsou k dispozici.
Zástupce skupiny organizátorů musí rovněž zdokumentovat fakta, jejich dopady a již přijatá nápravná opatření (nebo opatření, která mají být neodkladně přijata, a plán jejich zavádění).
Ohrožení práv a svobod
Pokud je navíc pravděpodobné, že porušení zabezpečení povede k závažnému ohrožení práv a svobod signatářů, musí být tito signatáři odpovídajícím způsobem informováni, s výjimkou případů, kdy:
- zavedená opatření (jako je šifrování, pokud není prozrazen klíč) učinila údaje nesrozumitelnými nebo zajišťují, že se rizika již pravděpodobně nenaplní, nebo
- by informování jednotlivých signatářů vyžadovalo nepřiměřené úsilí. V takovém případě by místo toho mohlo být provedeno veřejné oznámení o porušení zabezpečení, jehož prostřednictvím by byli signatáři informováni.
UPOZORNĚNÍ:
V případě zpracování údajů v rámci společné správy s Komisí, a pokud porušení ochrany údajů nelze přičíst jednání členů skupiny organizátorů, plní výše uvedené povinnosti Komise. Skupina organizátorů by měla být v případě potřeby a v rámci svých možností nápomocna Komisi při řešení porušení zabezpečení osobních údajů.
Odkazy:
- články 33 a 34 nařízení GDPR
- Nejčastější dotazy na Komisi ohledně ochrany údajů – „Co je porušení zabezpečení osobních údajů a co je potřeba udělat, když k němu dojde?“