Oznamovacia povinnosť pri porušení ochrany osobných údajov

Petra Sklenková | 22.08.2018
Oznamovacia povinnosť pri porušení ochrany osobných údajov

Podnikatelia majú od 25. 5. 2018 novú povinnosť – musia sa sami „bonzovať“. Jednou z povinností, ktoré prinieslo nariadenie GDPR je oznamovanie prípadov porušenia ochrany osobných údajov. Ako sa takéto oznamovanie realizuje v praxi? Treba oznámiť všetky prípady porušenia? Aké sú sankcie za porušenie ochrany osobných údajov?   

Kedy dochádza k porušeniu ochrany osobných údajov, resp. porušeniu zabezpečenia osobných údajov?

Podľa GDPR porušením ochrany osobných údajov je porušenie bezpečnosti, ktoré vedie k:

  • náhodnému alebo nezákonnému zničeniu prenášaných, uchovávaných osobných údajov (osobné údaje už neexistujú),
  • strate prenášaných, uchovávaných osobných údajov (osobné údaje existujú, ale podnikateľ nad nimi stratil kontrolu alebo k nim stratil prístup),
  • zmene prenášaných, uchovávaných osobných údajov (osobné údaje boli poškodené, pozmenené, nie sú úplné),
  • neoprávnenému prístupu prenášaných, uchovávaných osobných údajov (k osobným údajom sa dostala tretia osoba, ktorá nie je oprávnená ich spracúvať) alebo
  • neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov (osobné údaje boli poskytnuté tretej osobe, ktorá nie je oprávnená ich spracúvať).

Porušenie ochrany osobných údajov môže byť rozdelené do nasledovných troch skupín:

  1. porušenie dôvernosti – ide o neoprávnené alebo náhodné poskytnutie alebo sprístupnenie osobných údajov (napr. zaslanie e-mailu obsahujúceho osobné údaje nesprávnemu adresátovi),
  2. porušenie dostupnosti - ide o neoprávnenú alebo náhodnú stratu prístupu či zničenie osobných údajov (napr. neoprávnený alebo náhodný výmaz osobných údajov, výrazné obmedzenie prevádzky spoločnosti pri výpadku elektriny),
  3. porušenie integrity – ide o neoprávnené alebo náhodné pozmenenie osobných údajov (napr. neoprávnené pozmeňovanie osobných údajov hackermi za účelom dosiahnutia prospechu).

Všetky porušenia ochrany osobných údajov sú tzv. bezpečnostnými incidentmi.

Oznamovacia povinnosť voči Úradu na ochranu osobných údajov

GDPR zaviedlo pre prevádzkovateľov novú povinnosť – tzv. nahlasovanie bezpečnostných incidentov dozornému orgánu. Dozorným orgánom v SR je Úrad na ochranu osobných údajov (ďalej len „úrad“).

Podmienky, za ktorých je podnikateľ ako prevádzkovateľ povinný oznámiť úradu porušenie ochrany osobných údajov upravuje čl. 33 GDPR a § 40 nového zákona o ochrane osobných údajov.

Kto a kedy má oznamovaciu povinnosť v súvislosti s porušením ochrany osobných údajov?

Prevádzkovateľ, ktorý spracúva osobné údaje vo vlastnom mene (napr. obchodná spoločnosť X s.r.o.) musí porušenie ochrany osobných údajovoznámiť úradu do 72 hodín po tom, ako sa o tom dozvedel. Pokiaľ si prevádzkovateľ nesplní oznamovaciu povinnosť v uvedenej lehote, musí úradu zdôvodniť zmeškanie lehoty. Oneskorenie oznámenia môže nastať napríklad v prípade, keď prevádzkovateľ utrpí viac bezpečnostných incidentov týkajúcich sa vysokého počtu dotknutých osôb v rámci krátkeho času alebo ak sa o ďalších incidentoch dozvie až z ďalšieho vyšetrovania.

Problematické v praxi však môže byť určenie momentu, kedy sa prevádzkovateľ o porušení ochrany osobných údajov dozvedel. Týmto momentom treba rozumieť situáciu, keď prevádzkovateľ nadobudol odôvodnený stupeň istoty, že došlo k bezpečnostnému incidentu spôsobujúcemu zásah do osobných údajov. Napríklad to môže byť vtedy, ak sa prevádzkovateľ dozvie o „nabúraní sa“ do jeho siete a následne zistí, že týmto konaním bolo zasiahnuté do uchovávaných osobných údajov. Prevádzkovateľ preto musí mať zavedené primerané technické a organizačné opatrenia, aby mohol zaistiť úroveň bezpečnosti primeranej vzniknutému riziku.

Je teda zrejmé, že v zmysle GDPR sa podnikatelia spracúvajúci osobné údaje v prípade zistenia porušenia ich ochrany, musia sami „nabonzovať“ úradu. Jedinou výnimkou, kedy si prevádzkovateľ nemusí oznamovaciu povinnosť splniť je prípad, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

Ak osobné údaje v mene prevádzkovateľa spracúva sprostredkovateľ (napr. externá účtovná firma Y s.r.o.), tento je povinný oznámiť porušenie ochrany osobných údajov priamo prevádzkovateľovi (nie úradu), a to bez zbytočného odkladu po tom, ako sa o ňom dozvedel. Prevádzkovateľ to následne musí oznámiť úradu.

Čo musí oznámenie obsahovať?

Oznámenie adresované úradu zo strany prevádzkovateľa musí podľa GDPR obsahovať tieto náležitosti:

  • opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
  • kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
  • opis pravdepodobných následkov porušenia ochrany osobných údajov,
  • opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.

Ako je oznámenie potrebné urobiť?

Prevádzkovateľ oznamuje úradu porušenie ochrany osobných údajov prostredníctvom vytvoreného formuláru (Formulár pre prevádzkovateľa na nahlasovanie bezpečnostných incidentov).

Treba oznamovať každé porušenie ochrany osobných údajov?

Z nariadenia GDPR vyplýva, že úradu nie je potrebné oznamovať také porušenie ochrany osobných údajov, pri ktorom sa „vlastne nič veľké nestalo“, t. j. nedošlo k závažnému porušeniu ochrany osobných údajov. To znamená, že nie je potrebné oznamovať každé porušenie.

Oznamovacia povinnosť sa vyhodnocuje v závislosti od konkrétnych okolností a závažnosti prípadu. Spravidla prichádza do úvahy v tých závažnejších prípadoch, keď takéto porušenie môže viesť k riziku pre práva fyzickej osoby . Pri oznámení úradu postačuje iba pravdepodobnosť rizika pre práva fyzických osôb.

Úradu netreba oznámiť každé porušenie ochrany osobných údajov.

Prevádzkovateľ vždy musí posúdiť mieru rizika pre práva fyzických osôb, aby následne mohol vykonať efektívne kroky k náprave vzniknutého porušenia ochrany osobných údajov a tiež zhodnotiť, či a komu má byť porušenie oznámené.

Posúdiť mieru rizika môže prevádzkovateľ napríklad podľa týchto faktorov:

  • druh porušenia ochrany osobných údajov (napr. sprístupnenie citlivých osobných údajov má iné dôsledky ako strata údajov),
  • druh spracúvaných osobných údajov – (napr. či ním uchovávané informácie neobsahujú osobitné kategórie osobných údajov ako zdravotný stav dotknutej osoby),
  • objem spracúvaných osobných údajov,
  • závažnosť následkov pre dotknuté osoby (napr. majetková ujma, strata reputácie, fyzické ublíženie na zdraví),
  • počet dotknutých osôb a možnosť ich identifikovania,

Vyhodnotenie rizika je na samotnom prevádzkovateľovi a nie je na to určený žiadny presný postup. Pre každého má určité riziko inú váhu a inú nebezpečnosť alebo mieru poškodenia. V prípade pochybností o vzniku oznamovacej povinnosti, by sa mal prevádzkovateľ prikloniť k tomu, že prípad porušenia preventívne oznámi.

Úrad na ochranu osobných údajov často vydáva metodiky alebo odporúčania za účelom usmernenia postupu povinných osôb v praxi. Tak tomu bude zrejme aj v prípade plnenia oznamovacej povinnosti. Preto odporúčame pravidelne sledovať webovú stránku úradu.

Príklad: Zamestnanec Ján stratí služobný telefón, v ktorom má údaje klientov. Na uzamknutie telefónu je aktivovaný bezpečnostný kód, ktorý je prístupný len prevádzkovateľovi (zamestnávateľovi). V danom prípade nie je oznámenie úradu potrebné, pretože stratené údaje sú zabezpečené, nie je tu riziko pre práva fyzických osôb. Ak by sa však neskôr ukázalo, že bezpečnostný kód bol treťou osobou, ktorá našla telefón odhalený, potom sa riziko pre práva fyzických osôb mení a oznámenie úradu bude potrebné.

Oznámiť je potrebné aj také porušenie ochrany osobných údajov, ku ktorému napríklad dôjde v prípade dočasného výpadku informačného systému zabezpečujúceho plnenie kritických úloh prevádzkovateľa v oblasti bezpečnosti, ochrany majetku, života a zdravia.

Každé porušenie ochrany osobných údajov sa musí zdokumentovať.

Aké sú ďalšie povinnosti pri porušení ochrany osobných údajov?

Každý prípad porušenia ochrany osobných údajov musí prevádzkovateľ zdokumentovať vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Napríklad tak môže urobiť vo forme protokolu, ktorý bude obsahovať:

  • označenie prevádzkovateľa,
  • stručný popis prípadu porušenia ochrany osobných údajov,
  • dôsledky porušenia ochrany osobných údajov,
  • opatrenia, ktoré boli prijaté za účelom nápravy,
  • dátum a podpis.

Oznamovacia povinnosť voči dotknutej osobe

Prevádzkovateľ je povinný oznámiť porušenie ochrany osobných údajov okrem úradu aj dotknutej osobe, ak porušenie môže viesť k vysokému riziku pre práva fyzických osôb. Oznamovaciu povinnosť si musí splniť bezodkladne.

Oznámenie musí obsahovať:

  • jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov,
  • meno a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, na ktorom môže dotknutá osoba získať viac informácií,
  • opis možných následkov porušenia a
  • opis opatrení prijatých alebo navrhovaných prevádzkovateľom.

Sankcie za porušenie ochrany osobných údajov

Sankciou za porušenie ochrany osobných údajov sú pokuty. Výška pokút sa odvíja od závažnosti porušenia a ďalších okolností.

Za porušenie oznamovacej povinnosti hrozí pokuta až do výšky 10 000 000 eur.

Nový zákon o ochrane osobných údajov ustanovuje len maximálne sumy pokút, ktoré môžu byť zo strany úradu ukladané:

  • pri menej závažných porušeniach - do výšky 10 000 000 eur a 2 % z celosvetového obratu pre podniky (podľa toho, ktorá suma je vyššia) – napr. za porušenie povinnosti viesť spracovateľské záznamy a za porušenie oznamovacej povinnosti voči úradu alebo dotknutej osobe,
  • pri závažných porušeniach - 20 000 000 eur a 4 % celkového ročného celosvetového obratu pre podniky(podľa toho, ktorá suma je vyššia) – napr. za porušenie zásady spracúvať osobné údaje zákonným spôsobom.

Viac o GDPR nájdete v diskusnej relácii Poďme k veci na tému GDPR - nový nový míľnik v ochrane súkromia alebo zbytočná byrokracia


Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy:

Vaše osobné údaje (email) budeme spracovávať len za týmto účelom v súlade s platnou legislatívou a zásadami ochrany osobných údajov. Súhlas potvrdíte kliknutím na odkaz, ktorý vám pošleme na váš email. Súhlas môžete kedykoľvek odvolať písomne, emailom alebo kliknutím na odkaz z ktoréhokoľvek informačného emailu.