GDPR - postup v případě porušení zabezpečení
Správce nebo zpracovatel mají povinnost zabezpečit zpracovávané údaje. Přesto může dojít k porušení zabezpečení osobních údajů.
Jakékoli porušení zabezpečení osobních údajů musí být podle článku 33 nahlášeno bez zbytečného odkladu dozorovému úřadu, v České republice tedy Úřadu pro ochranu osobních údajů. Pro hlášení je stanovena lhůta 72 hodin. Protože porušení zabezpečení se může vyskytnout kdekoliv v organizaci, měla by se opatření, která jsou nezbytná pro plnění v případě porušení zabezpečení osobních údajů, zavést předem. Musí se nastavit postupy, které budou napomáhat předcházení incidentům, postupy, které pomohou odhalit a vyhodnotit případný konflikt, a postupy uplatňované při řešení incidentu, minimalizaci negativních následků a ohlašování na příslušná místa.
Správce by měl předem vypracovat vhodné plány, které budou určené k řešení případů porušení zabezpečení osobních údajů. Měl by zřídit kontaktní místo pro všechny osoby ohlašující incident, díky čemuž bude schopen zajistit, aby na porušení bylo reagováno rychle a účinně.
Ohlašovací povinnost nedopadá na všechna porušení. Správce nemusí ohlašovat dozorovému úřadu ani subjektu údajů takové porušení, které nepředstavuje riziko pro práva a svobody dotčených fyzických osob, porušení, které nemá nepříznivý dopad nebo neohrozí soukromí dotčených fyzických osob. Např. se jedná o situace, kdy jsou data dostatečně zabezpečena. Neoprávněná osoba je nemůže přečíst, protože byla provedena psedonymizace nebo šifrování. Nebo třeba v případě, kdy byla data zaslána známému a spolehlivému příjemci omylem a příjemce se zaručí, že zpřístupněné údaje již nevlastní a vymazal je. Riziko už není pravděpodobné. Správce má povinnost dokumentovat veškeré případy porušení, tedy i takové, které nepředstavují riziko pro práva a svobody dotčeného subjektu údajů, a tedy nepodléhají ohlašovací povinnosti Úřadu.
Správce musí hlásit porušení zabezpečení až v případě, kdy dané porušení představuje riziko pro dotčené fyzické osoby. Při ohlášení se musí popsat povaha případu porušení a jméno a kontaktní údaje pověřence nebo jiného kontaktního místa, které může poskytnout bližší informace. Dále se popíší pravděpodobné důsledky porušení a opatření, která správce přijal nebo navrhuje s cílem vyřešit a minimalizovat důsledky porušení. Pokud zpracovatel zjistí takovéto porušení zabezpečení, ohlásí to neprodleně správci.
Pokud existuje vysoké riziko pro práva dotčených osob, je v GDPR stanovena ohlašovací povinnost nejen vůči dozorčímu úřadu, ale i povinnost oznámit takovou skutečnost dotčeným subjektům. Vymezit druhy operací, které pravděpodobně budou mít za následek vysoké riziko pro práva a svobody fyzických osob, je úkolem jednotlivých dozorových úřadů, které by měly takové seznamy sestavit, zveřejnit a předat nově vzniklému Sboru pro ochranu osobních údajů (čl. 35 odst. 4 GDPR). Určující by měla být míra pravděpodobnosti a závažnosti takového rizika. Např. zcizení klientské databáze v nezašifrované podobě, obsahující identifikační údaje, rodné číslo, číslo účtu, přístupové údaje, uživatelské jméno, zákaznické číslo nebo zdravotní stav, přičemž cílem zcizení databáze bylo zneužití osobních údajů, by bylo nutné považovat za vysoce rizikové. Oznámení porušení by mělo být provedeno bez zbytečného odkladu. V oznámení by měla být alespoň popsána povaha porušení, jméno a kontaktní údaje pověřence nebo jiné kontaktní osoby, která může poskytnout podrobnější informace, popis důsledků porušení a doporučení pro dotčenou fyzickou osobu, jak může případné nežádoucí účinky zmírnit. GDPR stanoví výjimky, kdy oznamovat porušení dotčené osobě není nutné. Výjimkou je případ, když zasažené údaje byly nečitelné nebo nešly přiřadit ke konkrétním osobám, byla přijata opatření, která zajistila, že vysoké riziko již nehrozí nebo by oznámení vyžadovalo nepřiměřené úsilí. V posledním případě místo toho dojde k veřejnému oznámení, které subjekty informuje stejně účinně.