Hlavní navigace

Jak je to s GDPR a ohlašováním porušení zabezpečení aneb Co a kdy hlásit

Jana Langerová

Jednou z povinností spojenou s platností GDPR je ohlašování případů porušení zabezpečení. Zeptali jsme se odborníků, kdy je to nutné a jak na to.

Doba čtení: 4 minuty

Za porušení zabezpečení se podle GDPR považuje: porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovaných osobních údajů. 

Za zničení je považován případ, kdy osobní údaje už neexistují, případně ne v podobě, která je k užitku. U poškození jde o to, že data byla pozměněna nebo nejsou úplná a v případě ztráty data mohou existovat, ale správce nad nimi ztratil kontrolu, přístup nebo je jednoduše nemá v držení. 

Porušení jsou také rozdělena na: 

  • porušení důvěrnosti (neoprávněné nebo náhodné poskytnutí nebo zpřístupnění údajů), 
  • porušení dostupnosti (náhodná nebo neoprávněná ztráta přístupu nebo zničení údajů) a 
  • porušení integrity znamenající neoprávněné nebo náhodné pozměnění osobních údajů. 

Také je důležité, aby správce i zpracovatel vůbec byl schopen rozpoznat takové porušení. Navíc musí při práci s údaji splňovat taková technická a organizační opatření zajišťující potřebnou úroveň zabezpečení, která odpovídají danému riziku. S tím je spojen rozsah, souvislosti a účel zpracování, stejně jako současný stav vývoje nebo závaznost pro práva a svobody fyzických osob.

Psali jsme: GDPR je tady. Připravili jsme velký rozcestník změn a novinek, které přináší

Jak na samotné hlášení porušení zabezpečení

V obecném nařízení o ochraně osobních údajů se nachází požadavek na to, aby se hlásilo porušení zabezpečení osobních údajů příslušnému národnímu dozorovému orgánu. V České republice se jedná o Úřad pro ochranu osobních údajů a hlášení zasílá správce osobních údajů prostřednictvím elektronické pošty na adresu posta@uoou.cz nebo datové schránky qkbaa2n. Povinností správce (případně zpracovatele) je ohlásit případ do 72 hodin od doby, kdy jej zjistil, a v případě zpoždění uvést jeho důvod.

Co musí ohlášení obsahovat:

  • popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  • popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Míru porušení nelze přesně definovat

V nařízení GDPR se píše, že není potřeba nahlašovat takový únik, kdy „se vlastně nic moc ochraně soukromí nestalo“, ale na druhou stranu nenahlášení úniku, které by mohlo zasáhnout do soukromí lidí, je přestupkem. Nicméně to pořád neznamená, že je potřeba nahlašovat každé i nezávazné porušení. Nemyslím si, že by se lidé hromadně hlásili, naopak si myslím, že spousta menších úniků se k úřadu nedostane. Je to taková klasika – když jedete obcí 60 km/h a policie vás nechytne, také se většinou nepůjdete nahlásit, ledaže budete mít strach, že vás někdo jiný cestou naměřil a půjde vás udat, vysvětluje advokátka z eLegal Petra Dolejšová

Naopak Kamil Beránek, GDPR konzultant a specialista na procesní analýzu ze společnosti Global Sequr, si myslí, že hlášení bude velmi mnoho. Předpokládám, že některé nezávazné věci nebude ÚOOÚ řešit jednotlivě, ale bude se k nim vyjadřovat pravděpodobně obecněji formou výkladu, aby to vůbec nějak pokryl, dodává. Sám dále doporučuje posuzovat jednotlivé případy podle tří bodů: Nelíbí se mi, jak to má někdo udělané; vidím, že to dotyčný má udělané chybně; poškozuje mě, jak to má dotyčný udělané. Na ÚOOÚ by hlásil jen ten třetí případ, protože jindy stačí jen pochopit, jak to má dotyčný nastaveno, nebo jej upozornit na konkrétní chyby.

Dále čtěte: Jaké budou sankce při porušení GDPR a lze se nějak bránit?

V jistých, zpravidla závažných, případech, kdy hrozí velká rizika, by se informace o porušení zabezpečení měla oznámit také jednotlivcům, jejichž údajů se to týká. Posoudit míru rizika mohou správci podle obsahu, který zpracovávají: Například, zdali jimi schraňovaná data neobsahují zvláštní kategorie osobních údajů, jako je například zdravotní stav subjektů údajů, doplňuje Vojtěch Marcín, zástupce tiskového mluvčí Úřadu pro ochranu osobních údajů, který dodává, že velmi důležitým měřítkem je také objem zpracovávaných dat. Vyhodnocení je však na ohlašovateli samotném a není k tomu žádný přesný popis. Pro každého má určité riziko jinou váhu a jinou nebezpečnost nebo míru poškození. Vyhodnocení tedy bude naprosto individuální podle aktuální situace jednotlivého ohlašovatele, vysvětluje Kamil Beránek.

Závěrečným doporučením je rozhodně sledovat stránky Úřadu pro ochranu osobních údajů. Často vydávají metodiky, doporučení a mimo jiné i rozsudky soudů apod., které slouží jako vodítka pro představu, co nahlašovat a co ne, shrnuje Petra Dolejšová. Situaci uklidňuje také přímo Vojtěch Marcín: Není třeba mít strachy ani obavy, ale zodpovědnost je namístě.