Menu

Unikla vám data? Připravte se na ohlašovací povinnost

Jakou další velkou změnu přinese nařízení GDPR? Jde o povinnost ohlašovat narušení bezpečnosti zpracovávaných dat, souhrnně tzv. data breaches. Spadají sem případy zničení, ztráty, změny, neoprávněného poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. České právo tuto povinnost ukládalo jen sektoru telekomunikačních sítí a internetových služeb, nyní se bude vztahovat na všechny správce osobních údajů. Pro drtivou většinu správců půjde o naprostou novinku a další administrativní zátěž, na kterou je třeba se připravit.

Povinnost informovat bude mít správce (firma nebo jakákoliv instituce) vůči Úřadu pro ochranu osobních údajů (ÚOOU) a také vůči subjektům, jejichž data zpracovává, typicky občanům. Vůči ÚOOU se ohlašovací povinnost vztahuje na všechna porušení zabezpečení osobních údajů až na výjimky, kdy je nepravděpodobné, že by mohlo dojít k ohrožení práv a svobod dotčených osob. Typicky jsou to úniky už veřejně dostupných údajů nebo údajů bezpečně zašifrovaných.

Ohlašujte bez odkladů

Ohlášení by měl správce provést bez zbytečného odkladu, maximálně do 72 hodin od chvíle, kdy se o něm dozvěděl. Pozdější ohlášení musí být důsledně odůvodněno. Pravděpodobně by obstál například argument o souhrnném ohlášení většího počtu identických úniků dat, například v důsledku více vln hackerských útoků.

Správce by měl popsat povahu porušení, uvést, jaké kategorie údajů byly zasaženy a kolika osob se situace týká. Je potřeba uvést kontaktní místo v rámci vlastní organizace, se kterým bude moci ÚOOU komunikovat a které by mělo mít veškeré dostupné informace. Pracuje-li ve vaší organizaci pověřenec pro ochranu osobních údajů (DPO), bude právě on touto kontaktní osobou. Správce by měl úřad dále obeznámit s pravděpodobnými důsledky porušení a s popisem nápravných opatření, která za účelem zmírnění těchto důsledků přijal.

Veškeré případy se musí dokumentovat

Nařízení GDPR počítá s tím, že správce nebude mít všechny informace dostupné během požadované doby nebo přesně vyčíslené. Proto umožňuje, aby informace byly poskytovány postupně. Je však třeba v této fázi udržovat maximální komunikaci s ÚOOU a o situaci úřad průběžně informovat. Veškeré případy porušení bude muset správce dokumentovat, spolu s jejich důsledky a přijatými nápravnými opatřeními.

O trochu méně přísnosti, ale…

Ohlášení konkrétním osobám je, naštěstí pro správce, méně přísné. O porušení ochrany osobních údajů musí správce informovat jednotlivé subjekty pouze v případech, kdy pro jejich práva bude porušení znamenat vysoké riziko. Má se tak předejít příliš častému obtěžování občanů zbytečnými a pro mnohé matoucími ohlášeními. Nutno dodat, že praxe jistě uvítá osvětlení hranice mezi „vysoce rizikovým“ a „obyčejným“ porušením. Snad se toho dočkáme díky vysvětlujícím stanoviskům WP29 či rozhodovací praxe evropských dozorových úřadů. Do té doby doporučujeme o porušení, které by se mohlo vykládat jako vysoce rizikové, pro jistotu občany informovat.

Organizace by se měly důkladně připravit na to, že v případě úniku dat jednotlivých osob budou muset kontaktovat v některých případech až statisíce osob, což může firmu snadno paralyzovat.

Míra rizikovosti konkrétního porušení se bude stanovovat hned podle několika kritérií. Záležet bude především na tom, jaké osobní údaje byly postiženy, v jakém množství, jakých subjektů se týkají, jakým způsobem byly chráněny, za jakým účelem byly zpracovávány a konečně jaká je pravděpodobnost jejich zneužití.

Ohlášení konkrétním občanům by měl správce opět provést bez zbytečného odkladu, a to jasným, srozumitelným a transparentním způsobem. Ohlášení by tak mělo být samostatnou zprávou, jejíž obsah bude „osobě průměrného rozumu“ pochopitelný. Nedoporučujeme ohlášení spojovat s jakýmkoliv jiným nesouvisejícím obsahem, například nabídkou služeb a produktů. Za ideální způsob komunikace doporučujeme e-mail, SMS či jiný přímý kontakt. Správce by však vždy měl zvolit takové prostředky, aby šance na předání informace byla maximální, a to i kdyby měl komunikačních kanálů zvolit více. Pokud nejde konkrétního člověka kontaktovat přímo, lze využít i ohlašování v médiích či na jiných veřejně přístupných informačních kanálech.

Prověřte vnitřní procesy, proškolte zaměstnance

Aby organizace dokázala minimalizovat výše popsaná rizika, musí dopředu přizpůsobit své vnitřní procesy a proškolit zaměstnance. Sebeúčinnější systém nakládání s osobními údaji nikdy zcela nevyloučí případy porušení zabezpečení osobních dat. Zda firma v tomto ohledu obstojí, bude záležet především na míře jejího přehledu a kontroly nad systémem zpracovávání osobních údajů tak, aby každé narušení bylo co nejdříve a co nejpřesněji zjištěno, zdokumentováno a ohlášeno. Organizace by neměly zapomínat ani na finanční postih. Následky neplnění ohlašovací povinnosti budou zásadní. Pokuty mohou dosahovat až 10 milionů eur nebo dvou procent správcova celosvětového ročního obratu.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018