Porušením ochrany osobných údajov sa v zmysle nariadenia GDPR rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, či neoprávnený prístup k nim.
Pri porušení ochrany osobných údajov môže ísť o 1) porušenie dôvernosti (napr. zaslanie e-mailu s citlivými osobnými údajmi nesprávnemu adresátovi), 2) porušenie dostupnosti osobných údajov (napr. výmaz osobných údajov, či už náhodný, alebo neoprávnený, alebo výrazné obmedzenie prevádzky systému pri výpadku prúdu) a 3) porušenie integrity (napr. manipulácia s dátami a ich pozmeňovanie spôsobené hackermi na dosiahnutie neoprávneného prospechu)a akákoľvek kombinácia uvedených porušení.
Z porušení ochrany osobných údajov vyplývajú prevádzkovateľom a výnimočne aj sprostredkovateľom dva druhy notifikačných povinností: voči dozornému orgánu (u nás Úrad na ochranu osobných údajov), ako i voči dotknutým osobám (fyzické osoby, ktorých sa osobné údaje týkajú). Cieľom tohto článku je priblížiť oznamovaciu povinnosť voči úradu.
Aké sú podmienky notifikačnej povinnosti, čo a kedy treba oznámiť?
V prípade porušenia ochrany osobných údajov prevádzkovateľ (subjekt spracúvajúci osobné údaje vo vlastnom mene) musí bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámiť porušenie úradu.
Môže byť problematické presne určiť moment, keď sa prevádzkovateľ o porušení „dozvedel“, lebo nie vždy je jasné, či vôbec dochádza k porušeniu ochrany osobných údajov. Pod pojmom „dozvedel“ sa preto rozumie situácia, keď prevádzkovateľ nadobudol odôvodnený stupeň istoty, že došlo k bezpečnostnému incidentu spôsobujúcemu zásah do osobných údajov, ako napríklad:
V každom prípade treba zdôrazniť prioritu včas vykonať kroky na prešetrenie incidentu s cieľom zistiť rozsah porušenia ochrany osobných údajov. Prevádzkovateľ musí mať primerané technické a organizačné opatrenia, aby zaručil úroveň bezpečnosti primeranej vzniknutému riziku.
Čo musí oznámenie úradu obsahovať?
Informácie poskytnuté úradu musia zahŕňať najmenej: opis povahy porušenia, identifikáciu zodpovednej osoby, u ktorej možno získať viac informácií, opis pravdepodobných následkov a opis prijatých alebo navrhovaných opatrení na nápravu porušenia.
Čo ak nebudú všetky informácie o porušení dostupné v rámci zákonom požadovaných 72 hodín?
Poskytnutie informácií úradu možno uskutočniť aj vo viacerých etapách, napríklad v prípade komplexných porušení vyžadujúcich hĺbkové prešetrenie. Vtedy prevádzkovateľ do 72 hodín úrad informuje, že došlo k porušeniu, a zároveň uvedie, či neskôr poskytne úradu viac informácií.
Pri oneskorenej notifikácii prevádzkovateľ musí uviesť dôvody pre nedodržanie zákonnej lehoty. Môže sa to stať, ak prevádzkovateľ utrpí viacero incidentov týkajúcich sa vysokého počtu dotknutých osôb v priebehu krátkeho časového úseku; ak sa o ďalších porušeniach dozvie až z ďalšieho vyšetrovania alebo ak prevádzkovateľ uzná za vhodné, že úradu notifikuje viacero porušení naraz, pretože spolu povahovo súvisia (tzv. „bundled“ notification).
Kedy sa oznámenie úradu nevyžaduje?
Prevádzkovateľ nemusí notifikovať úrad, ak je pravdepodobné, že porušenie nepredstavuje riziko pre práva a slobody fyzických osôb. Napríklad ak zamestnanec prevádzkovateľa stratí smartfón a na jeho uzamknutie je aktivovaný bezpečnostný kód, ktorý je bezpečne prístupný len prevádzkovateľovi, pričom neexistuje žiadna jeho iná kópia a stratené dáta sú zálohované. Ak sa však neskôr ukáže, že zabezpečovací kód bol odhalený alebo šifrovací softvér je nechránený, riziko sa mení a notifikácia bude potrebná.
Oznamovacia povinnosť sa vyhodnocuje v závislosti od konkrétnych okolností a závažnosti prípadu. Napríklad pri porušení počas dočasnej nedostupnosti dát. Výpadok kritických osobných údajov v nemocnici, hoci aj dočasný, bude predstavovať riziko pre pacientov ako dotknuté osoby, ak musia byť presunuté plánované lekárske zákroky pre nedostupnosť dát. Alebo v prípade dočasného výpadku informačného systému zabezpečujúceho plnenie kritických úloh prevádzkovateľa napríklad v oblasti bezpečnosti, ochrany majetku, zdravia a života. Takéto porušenia preto musia byť nahlásené. Naopak, ak v dôsledku niekoľkohodinového výpadku prúdu personálna agentúra, audítorská spoločnosť či developerská firma bude meškať so zaslaním pravidelných informácií o novinkách klientom, pravdepodobne nedôjde k žiadnemu riziku pre práva dotknutých osôb. Oznámenie úradu sa teda nevyžaduje.
Publikované na TREND.SK 22. 11. 2017
JUDr. Lucia Janská, LLM
partner MENKE LEGAL s.r.o.
