Hlavní navigace

Ztráta služebního notebooku nebo dokument s údaji v koši. Co je třeba hlásit?

Jana Knížková

Nařízení GDPR pojednává o celé řadě bezpečnostních incidentů, kdy může dojít k porušení ochrany osobních údajů. Kdy je nutné je dozorovému orgánu hlásit?

Doba čtení: 2 minuty

Nové nařízení o ochraně osobních údajů, které je účinné pro celou Evropskou unii od 25. května 2018, popisuje jednotlivé povinnosti správců a zpracovatelů údajů. Jednou z nich je povinnost ohlašovat bezpečnostní incidenty na poli ochrany osobních údajů. 

Příručka pro přípravu malých a středních firem na GDPR přináší ve spojitosti s touto problematikou praktické příklady z firemního života. 

Příklady z praxe, kdy došlo k bezpečnostním incidentům

V životě firem dochází k tzv. bezpečnostním incidentům i několikrát denně. Může se jednat o zapomenuté či bez dozoru ponechané pracovní flashdisky na konferencích či jednáních, bez dozoru ponechané papírové dokumenty, vyhazování dokumentů obsahujících osobní údaje do košů, ač by měly být skartovány, možné ztráty či zapomenutí služebních telefonů nebo počítačů. 

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Hlásit Úřadu pro ochranu osobních údajů se ale nemají incidenty, u kterých je vznik rizika nepravděpodobný (pokud někdo na chvíli opustí flashdisk v jednací místnosti nebo odejde od počítače na dobu kratší, než je opětovné zaheslování počítače).

Doporučení firmám

Je však vhodné, aby vaše firma zavedla vzhledem k zaměstnancům, klientům i zpracovatelům údajů jasnou povinnost hlášení jakýchkoli relevantních bezpečnostních incidentů (ztráta pracovního notebooku, ztráta jiného nosiče nezašifrovaných dat apod.), a to nejlépe standardizovaným způsobem (online, ve formuláři) a nejlépe s povinností hlásit incident okamžitě poté, co nastane – jedině tak se totiž může vyhnout možnému postihu za nesplnění této své povinnosti. 

V praxi se sice může stát, že se správce údajů o porušení bezpečnosti dat vůbec nedozví (a nemůže jej tedy ohlásit dozorovému úřadu ani oznámit dotčeným subjektům údajů), pak to ale svědčí o tom, že mohl zanedbat některé své jiné povinnosti , zejména povinnost podniknout všechna organizační a technická opatření k zabezpečení údajů.

WT100 tip v článku Ilinčev

Porušení bezpečnosti údajů se musí hlásit

V případě jakéhokoli porušení zabezpečení údajů – tedy i v případech, kdy fyzicky nenastal únik dat, avšak pouze byla porušena jejich bezpečnost a je pravděpodobné riziko pro práva a svobody subjektu údajů – musí správce údajů bez zbytečného odkladu, nejpozději do 72 hodin, hlásit tento incident dozorovému orgánu a v případě, že je pravděpodobné, že o tomto incidentem vznikne vysoké riziko pro práva a svobody fyzických osob-subjektů údajů, pak je nutné hlásit jej i dotčeným subjektům údajů. 

Další praktické příklady o aplikaci GDPR