Porušení zabezpečení osobních údajů

When do you need to notify a data breach?

Has the personal data you process been lost, stolen or compromised?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Do I need to carry out a DPIA?

Yes, you need to carry out the DPIA

Any high risks remaining after the DPIA?

Do I need to carry out a DPIA?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Porušení zabezpečení osobních údajů může mít škodlivý dopad na vaši organizaci. Od finanční ztráty, přes pokuty, až po pokles důvěry zákazníků. Dopad porušení zabezpečení dat může být pro organizaci obrovský. Proto je nezbytné zavést osvědčené postupy v oblasti kybernetické bezpečnosti s cílem předcházet bezpečnostním incidentům. Přesto se může stát, že utrpíte porušení zabezpečení osobních údajů, které budete muset oznámit příslušnému orgánu pro ochranu osobních údajů (DPA) nebo to sdělit dotčeným osobám.

Co je to „porušení zabezpečení osobních údajů“

Porušením zabezpečení osobních údajů se rozumí „porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému zpřístupnění osobních údajů nebo přístupu k nim“.

Organizace by si měly být vědomy toho, že porušení zabezpečení osobních údajů se může týkat mnohem více než jen „ztracení“ osobních údajů. Zahrnuje incidenty ovlivňující důvěrnost, integritu nebo dostupnost osobních údajů. Důležité je, že porušení zabezpečení osobních údajů zahrnuje bezpečnostní incidenty, které jsou důsledkem obou nehod (například odeslání e-mailu nesprávnému příjemci, ztráta USB klíče obsahujícího údaje o zákaznících nebo náhodné vymazání lékařských údajů, pro které není k dispozici záloha), stejně jako úmyslné činy (například phishingové útoky za účelem získání přístupu k údajům o zákaznících).

Jinými slovy, to zahrnuje situace, kdy někdo přistupuje k osobním údajům nebo je předává dál bez řádného povolení, nebo kdy jsou osobní údaje znepřístupněny šifrováním pomocí ransomwaru nebo náhodnou ztrátou či zničením. Zatímco všechna narušení bezpečnosti osobních údajů jsou bezpečnostními incidenty, ne všechny bezpečnostní incidenty jsou nutně porušením ochrany osobních údajů (protože v daném bezpečnostním incidentu nemusí být zahrnuty žádné osobní údaje).

Link
Článek 4 GDPR

EUR-Lex

Povinnosti správců osobních údajů

Pokud váš malý nebo střední podnik jedná jako správce údajů, existují tři hlavní zásady týkající se narušení bezpečnosti údajů.

  • dokumentace veškerých případů porušení zabezpečení osobních údajů
  • oznámení jakéhokoli porušení zabezpečení osobních údajů příslušnému orgánu pro ochranu údajů do 72 hodin, pokud není nepravděpodobné, že by mělo za následek riziko pro jednotlivce
  • oznámení tohoto porušení bez zbytečného odkladu fyzickým osobám, pokud je pravděpodobné, že toto porušení povede k vysokému riziku pro fyzické osoby.

Je nanejvýš důležité, aby správci údajů těmto povinnostem rozuměli a dodržovali je a aby předem zavedli vhodné postupy, které jim umožní objektivně a včas určit, zda jsou některá z výše uvedených opatření nutná. 

V každém případě musí správce údajů u všech porušení – i těch, která nejsou oznámena orgánu pro ochranu údajů na základě toho, že byla posouzena jako nepravděpodobná, že by vedla k riziku – zaznamenat alespoň základní podrobnosti o porušení, jeho posouzení, jeho účincích a opatřeních přijatých v reakci na ně, jak vyžaduje čl. 33 odst. 5 obecného nařízení o ochraně osobních údajů (GDPR).

Link
Článek 5 GDPR

EUR-Lex

Link
Článek 33 GDPR

EUR-Lex

Link
Článek 34 GDPR

EUR-Lex

Co dělat a jak postupovat?

Oznámení o porušení zabezpečení údajů příslušnému orgánu pro ochranu údajů

Podle čl. 33 odst. 1 obecného nařízení o ochraně osobních údajů by všechna porušení zabezpečení osobních údajů měla být oznámena příslušnému úřadu pro ochranu osobních údajů, s výjimkou těch, u nichž je nepravděpodobné, že by představovala jakékoli riziko pro fyzické osoby. Aby toto oznámení usnadnily, zavedly úřady pro ochranu osobních údajů postupy nebo on-line formuláře, které vás krok za krokem povedou k zajištění toho, že poskytnete všechny požadované informace.

Pokud k porušení dojde v souvislosti s přeshraničním zpracováním a je vyžadováno oznámení, správce osobních údajů, je-li usazen v EHP, bude muset informovat hlavní orgán pro ochranu údajů. Správce osobních údajů by tedy již při vypracovávání svého plánu reakce na porušení měl posoudit, který orgán pro ochranu údajů je hlavním orgánem pro ochranu údajů, kterému bude muset porušení zabezpečení oznámit. Má-li správce údajů pochybnosti o totožnosti vedoucího orgánu pro ochranu údajů, měl by přinejmenším oznámit místnímu orgánu pro ochranu údajů, kde k porušení došlo. 

Vyžaduje-li se oznámení, musí být učiněno co nejdříve, a do 72 hodin poté, co bylo o porušení zjištěno. V případě, že to není možné, bude požadováno odůvodnění zpoždění. Organizace by měla být považována za organizaci, která si je „vědoma“, pokud existuje přiměřená míra jistoty, že došlo k bezpečnostnímu incidentu a že došlo k ohrožení osobních údajů.

Aby mohly organizace příslušnému orgánu pro ochranu údajů prokázat, kdy a jak se o porušení zabezpečení osobních údajů dozvěděly, doporučuje se, aby měly v rámci svých vnitřních postupů týkajících se porušení zabezpečení osobních údajů zaveden systém pro zaznamenávání toho, jak a kdy se o porušení zabezpečení osobních údajů dozvěděly, a jak posoudily potenciální rizika, které dané porušení představuje. Pokud není možné orgánu pro ochranu údajů poskytnout všechny relevantní informace ve lhůtě 72 hodin, mělo by být oznámení učiněno v několika krocích. 

Počáteční oznámení by mělo být podáno a další informace mohou být poskytovány postupně. Obdobně podle čl. 33 odst. 2 obecného nařízení o ochraně osobních údajů platí, že pokud je váš malý nebo střední podnik zpracovatelem údajů, který zpracovává osobní údaje jménem jiné organizace, musíte bez zbytečného odkladu oznámit správci osobních údajů jakékoli porušení zabezpečení osobních údajů. To má klíčový význam pro to, aby správce údajů mohl včas splnit své oznamovací povinnosti. Požadavky na oznamování porušení by měly být rovněž podrobně popsány ve smlouvě mezi správcem údajů a zpracovatelem, jak vyžaduje článek 28 obecného nařízení o ochraně osobních údajů. 

Oznámení o porušení zabezpečení osobních údajů příslušnému orgánu pro ochranu údajů musí obsahovat alespoň:

  • popis povahy daného porušení zabezpečení osobních údajů, pokud možno včetně kategorií a přibližného počtu dotčených osob a kategorií a přibližného počtu dotčených záznamů osobních údajů
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, kde lze získat více informací
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů
  • popis opatření, která byla přijata nebo navržena k přijetí za účelem řešení daného porušení zabezpečení osobních údajů, a to včetně opatření ke zmírnění možných nepříznivých dopadů porušení zabezpečení.
Link
Článek 5 GDPR

EUR-Lex

Link
Článek 28 GDPR

EUR-Lex

Link
Článek 33 GDPR

EUR-Lex

Link
Formuláře pro oznámení o narušení bezpečnosti údajů

Oznámení tohoto porušení dotčeným jednotlivcům

Kromě toho musí být některé případy porušení zabezpečení osobních údajů bez zbytečného odkladu oznámeny dotčeným fyzickým osobám. Tak je tomu v případě, kdy je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzické osoby.

Záměrem tohoto požadavku je zajistit, aby dotčené osoby mohly přijmout nezbytná preventivní opatření v případě incidentů, které by pro ně mohly mít za následek vysoké riziko. 

Tato sdělení fyzickým osobám musí být učiněna neprodleně a případně v úzké spolupráci s příslušným orgánem pro ochranu údajů. V případech, kdy je třeba zmírnit bezprostřední riziko pro jednotlivce, bude nutná okamžitá komunikace.

Za určitých okolností nebudou správci osobních údajů povinni oznamovat fyzické osobě, když např.:

nebo 

  • bylo by to spojeno s nepřiměřeným úsilím. V takovém případě však správce údajů musí prostřednictvím veřejného sdělení nebo podobného opatření zajistit, aby byly fyzické osoby informovány stejně účinným způsobem. 

 

Toto sdělení by mělo jasným a jednoduchým jazykem popsat povahu porušení zabezpečení osobních údajů a mělo by obsahovat alespoň tyto informace:

  • jméno a kontaktní údaje na pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, kde lze získat více informací
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů
  • popis opatření, která organizace přijala nebo navrhuje přijmout k řešení daného porušení zabezpečení osobních údajů, případně včetně opatření ke zmírnění jeho možných nepříznivých účinků
  • Popis doporučení pro dotčené osoby (subjekty údajů) ke zmírnění potenciálních nepříznivých účinků porušení zabezpečení osobních údajů.

Správci a zpracovatelé údajů by měli předem naplánovat a zavést postupy, které umožní odhalit a okamžitě zabránit porušení zabezpečené, posoudit riziko pro fyzické osoby a poté určit, zda je nutné oznámit porušení příslušnému orgánu pro ochranu údajů. V případě potřeby oznámit toto porušení dotčeným fyzickým osobám (subjektům údajů).

Link
Článek 34 GDPR

EUR-Lex

Link
Pokyny EDPB k příkladům týkajícím se oznámení o porušení zabezpečení osobních údajů

EDPB

Link
Pokyny EDPB k oznamování případů porušení zabezpečení osobních údajů podle obecného nařízení o ochraně osobních údajů

EDPB

Kdy je třeba nahlásit porušení zabezpečení osobních údajů?

Flowchart: When do you need to notify a data breach?