Nové Všeobecné nariadenie o ochrane osobných údajov („Nariadenie GDPR“), ktoré sa uplatňuje od 25. mája 2018, zvyšuje ochranu dotknutých osôb (= fyzické osoby, ktorých sa osobné údaje týkajú) vo vzťahu k ich spracúvaným osobným údajom. Toto sa nevyhnutne odráža v rozšírení povinností prevádzkovateľov pri spracovateľských činnostiach a vo vzťahu k dotknutým osobám. V predmetnom článku sa venujeme najmä notifikačnej povinnosti prevádzkovateľov, ktorá nastupuje v prípade porušenia ochrany osobných údajov.
Čo sa rozumie pod porušením ochrany osobných údajov?
Porušením ochrany osobných údajov sa v zmysle Nariadenia GDPR rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim. Zatiaľ čo všetky porušenia ochrany osobných údajov sú bezpečnostnými incidentmi, nie všetky bezpečnostné incidenty vedú nevyhnutne k porušeniam ochrany osobných údajov.
Existujú 3 typy porušení ochrany osobných údajov, a to:
Z porušení ochrany osobných údajov vyplývajú prevádzkovateľom, a výnimočne aj sprostredkovateľom, dva druhy notifikačných povinností, a to: voči dozornému orgánu (u nás Úrad na ochranu osobných údajov) a voči dotknutým osobám.
Aké sú podmienky notifikačnej povinnosti, čo a kedy treba oznámiť Úradu?
V prípade porušenia ochrany osobných údajov prevádzkovateľ (= subjekt spracúvajúci osobné údaje vo vlastnom mene) musí bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámiť porušenie Úradu.
Môže byť problematické presne určiť moment, kedy sa prevádzkovateľ o porušení „dozvedel“, nakoľko vo veľa prípadoch nie je jasné, či vôbec dochádza k porušeniu ochrany osobných údajov. Pod pojmom „dozvedel“ sa preto rozumie situácia, kedy prevádzkovateľ nadobudol odôvodnený stupeň istoty, že došlo k bezpečnostnému incidentu spôsobujúcemu zásah do osobných údajov, ako napríklad:
V každom prípade treba zdôrazniť prioritu včas vykonať kroky za účelom prešetrenia incidentu s cieľom zistiť rozsah porušenia ochrany osobných údajov. Prevádzkovateľ musí mať zavedené primerané technické a organizačné opatrenia, aby bol schopný zaistiť úroveň bezpečnosti primeranej vzniknutému riziku.
Má notifikačnú povinnosť voči Úradu aj sprostredkovateľ?
Sprostredkovateľ má notifikačnú povinnosť iba voči prevádzkovateľovi. Výnimočne môže mať povinnosť oznámiť porušenie aj Úradu, napríklad, ak je tak dohodnuté v zmluve o poverení spracúvania osobných údajov uzavretej medzi prevádzkovateľom a sprostredkovateľom. Zodpovednosť za splnenie zákonnej povinnosti notifikovať Úrad však v konečnom dôsledku nesie prevádzkovateľ.
Čo musí oznámenie Úradu obsahovať?
Informácie poskytnuté Úradu musia zahŕňať najmenej: 1) opis povahy porušenia, 2) identifikáciu zodpovednej osoby, u ktorej možno získať viac informácií, 3) opis pravdepodobných následkov, a 4) opis prijatých alebo navrhovaných opatrení s cieľom napraviť porušenie.
Čo ak nebudú všetky informácie ohľadne porušenia dostupné v rámci zákonom požadovaných 72 hodín?
Poskytnutie informácií Úradu možno uskutočniť aj vo viacerých etapách, napríklad v prípade komplexných porušení vyžadujúcich hĺbkové prešetrenie prípadu. Vtedy prevádzkovateľ do 72 hodín Úrad informuje, že došlo k porušeniu a zároveň uvedie, či neskôr poskytne Úradu viac informácií.
Pri oneskorenej notifikácii prevádzkovateľ musí uviesť dôvody, pre ktoré oznamovaciu povinnosť nedodržal v zákonnej lehote. Môže tomu tak byť napríklad v prípadoch, ak prevádzkovateľ utrpí viacero incidentov týkajúcich sa vysokého počtu dotknutých osôb v priebehu krátkeho časového úseku; ak sa o ďalších porušeniach dozvie až z ďalšieho vyšetrovania alebo ak prevádzkovateľ uzná za vhodné, že Úradu notifikuje viacero porušení naraz z dôvodu, že tieto spolu povahovo súvisia (tzv. „bundled“ notification).
Kedy sa notifikácia Úradu nevyžaduje?
Prevádzkovateľ nemusí notifikovať Úrad, ak je pravdepodobné, že porušenie nepredstavuje riziko pre práva a slobody fyzických osôb.
Napríklad, ak zamestnanec prevádzkovateľa stratí smartphone a na jeho uzamknutie je aktivovaný bezpečnostný kód, ktorý je bezpečne prístupný len prevádzkovateľovi, pričom neexistuje žiadna jeho iná kópia a stratené dáta sú zálohované, notifikácia nie je nevyhnutná. Ak sa však neskôr ukáže, že zabezpečovací kód bol odhalený alebo šifrovací softvér je nechránený, potom sa riziko pre práva a slobody fyzických osôb mení a notifikácia bude potrebná.
Oznamovacia povinnosť sa tiež vyhodnocuje v závislosti od konkrétnych okolností a závažnosti prípadu. Napríklad, pri porušení v prípade dočasnej nedostupnosti dát, výpadok kritických osobných údajov týkajúcich sa zdravia pacientov v nemocnici, hoci aj dočasný, bude predstavovať riziko pre pacientov ako dotknuté osoby, ak musia byť plánované lekárske zákroky pre nedostupnosť dát presunuté, alebo rovnako tiež v prípade dočasného výpadku informačného systému zabezpečujúceho plnenie kritických úloh prevádzkovateľa napríklad v oblasti bezpečnosti, ochrany majetku, zdravia a života - takéto porušenia preto musia byť nahlásené. Naopak, ak napríklad v dôsledku niekoľkohodinového výpadku prúdu personálna agentúra, audítorská spoločnosť, či developerská firma bude meškať so zaslaním pravidelných informácií o novinkách (newsletters) svojim klientom, pravdepodobne nedôjde k žiadnemu riziku pre práva dotknutých osôb a teda oznámenie Úradu sa nevyžaduje.
Kedy sa vyžaduje notifikácia voči dotknutej osobe?
Povinnosť prevádzkovateľa oznámiť porušenie ochrany osobných údajov dotknutej osobe vzniká v prípade, ak porušenie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb (ako napr. keď porušenie povedie k vzniku fyzickej, materiálnej (zatiaľ čo pri notifikácii Úradu postačuje iba pravdepodobnosť rizika pre práva a slobody fyzických osôb).
Hlavným cieľom notifikácie dotknutých osôb je poskytnutie špecifických informácií o krokoch, ktoré by dotknutá osoba mala podniknúť za účelom zabezpečenia svojej ochrany. Oznámenie dotknutej osobe má obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov, meno a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, na ktorom môže dotknutá osoba získať viac informácií, opis možných následkov porušenia a opis opatrení prijatých alebo navrhovaných prevádzkovateľom.
Ako určiť mieru rizika pre práva a slobody fyzických osôb?
Mieru rizika pre práva a slobody fyzických osôb je nevyhnutné posúdiť, aby prevádzkovateľ mohol vykonať efektívne kroky k náprave vzniknutého porušenia a tiež zhodnotiť, či a komu má byť porušenie oznámené. Pri posudzovaní miery rizika sa odporúča vziať do úvahy nasledujúce faktory:
Publikované na www.epravo.sk, 28.12.2017
MENKE LEGAL s.r.o.
