Späť na hlavnú stránku usmernení v oblasti ochrany údajov pre organizátorov
Usmernenia v oblasti ochrany údajov – otázka č. 11
Čo by ste mali urobiť v prípade porušenia ochrany osobných údajov?
Vzťahuje sa na scenár 2 s výnimkou využitia služby Komisie na výmenu súborov
Porušenie ochrany osobných údajov je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.
Informovanie o porušení ochrany údajov
V prípade porušenia ochrany osobných údajov zástupca skupiny organizátorov musí bezodkladne a v zásade najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov príslušnému orgánu pre ochranu osobných údajov s výnimkou prípadov, keď nie je pravdepodobné, že by porušenie ochrany osobných údajov malo za následok riziko pre práva a slobody fyzických osôb.
Oznámenie obsahuje aspoň:
- opis porušenia ochrany údajov vrátane počtu signatárov a kategórií údajov, ktorých sa porušenie týka,
- meno a kontaktné údaje zodpovednej osoby (alebo iné relevantné kontaktné miesto),
- pravdepodobné následky porušenia ochrany údajov po posúdení veci a
- akékoľvek opatrenia prijaté prevádzkovateľom na nápravu alebo zmiernenie porušenia.
Ak nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.
Zástupca zdokumentuje skutočnosti, ich následky a nápravné opatrenia, ktoré už boli prijaté (alebo ktoré sa majú naliehavo prijať, spolu s príslušným plánom).
Riziká pre práva a slobody
Ak je navyše pravdepodobné, že porušenie bude mať za následok vysoké riziko pre práva a slobody signatárov, treba ich náležite informovať, okrem prípadov, keď:
- prijaté opatrenia (ako napríklad šifrovanie, ak nie je narušený kľúč) spôsobili, že údaje sú nečitateľné, alebo zabezpečujú, že riziká už pravdepodobne nebudú mať dôsledky, alebo
- individuálne oznámenie signatárom by si vyžadovalo neprimerané úsilie. V takom prípade možno namiesto toho urobiť na účely informovania signatárov verejné oznámenie o porušení.
UPOZORNENIE:
V prípade spracúvania údajov v rámci spoločného prevádzkovania s Komisiou a pokiaľ porušenie ochrany údajov nie je pripísateľné správaniu členov skupiny organizátorov plní uvedené povinnosti Komisia. Skupina organizátorov by mala v prípade potreby a v čo najväčšom rozsahu pomáhať Komisii pri riešení prípadov porušenia ochrany osobných údajov.
Referenčné dokumenty:
- články 33 a 34 všeobecného nariadenia o ochrane údajov,
- najčastejšie otázky o ochrane údajov kladené Komisii – „Čo je porušenie ochrany údajov a čo musíme robiť v prípade porušenia ochrany údajov?“.
