Narušení bezpečnosti osobních údajů

Podnikatelé poskytující veřejně dostupnou službu elektronických komunikací mají dle tohoto zákona povinnost hlásit Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) porušení ochrany osobních údajů, pokud dosáhne zákonem vymezené závažnosti. Známým je z nedávné doby např. únik dat z T-Mobilu, kdy byl únik touto společností nahlášen a posléze ji byla udělena ze strany ÚOOÚ pokuta 3,6 mil. Kč.
S účinností GDPR se na každého správce začala uplatňovat povinnost ohlašovat případy narušení zabezpečení osobních údajů. Správci jsou tak povinni do 72 hodin od okamžiku, kdy se o narušení dozví, ohlásit tuto skutečnost příslušnému dozorovému úřadu (u nás jím bude obvykle ÚOOÚ). Jestliže to v této lhůtě nestihnou, musí k ohlášení připojit i důvody, proč se tak nestalo.  Nařízení také obsahuje minimální rozsah informací, které musí správce poskytnout dozorovému úřadu. 
Jedná se zjednodušeně o:

1. popis povahy případu, rozsahu a množství dotčených záznamů osobních údajů
2. kontaktní údaje pověřence, popř. jiného kontaktního místa 
3. popis pravděpodobných důsledků 
4. popis opatření, které správce přijal s cílem vyřešit dané narušení osobních údajů

Výjimkou z ohlašovací povinnosti je, když se jedná o narušení, při kterém je nepravděpodobné, že by mělo za následek riziko pro práva a svobody fyzických osob. Vzhledem k tomu, že zatím není zcela jasné, jaký bude rozsah dané výjimky, lze z důvodu právní jistoty prozatím doporučit hlášení každého incidentu.
Kromě povinnosti informovat dozorující úřad má správce povinnost i informovat subjekt údajů, tedy fyzické osoby. Tato povinnost nastává v případě, kdy je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Oznámení se nevyžaduje, pokud nastane některý ze tří následujících případů: 

1. Správce zavedl náležitá technická ochranná opatření, která byla použita na údaje, jichž se narušení bezpečnosti týká. Technická ochranná opatření musí zajistit, že údaje nebyly srozumitelné pro nikoho, kdo není k přístupu k nim oprávněn (např. byly zašifrovány).
2. Správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví.
3. Oznámení by vyžadovalo nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Dozorový úřad je v tomto případě nadán pravomocí rozhodnout o povinnosti oznámit narušení subjektům údajů nebo prohlásit, že je naplněna jedna z výše uvedených výjimek. Za nesplnění těchto povinnosti můžou následovat sankce v maximální výši 10 mil. € nebo 2 % z obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. V neposlední řadě se zavádí ohlašovací povinnost i pro zpracovatele osobních údajů. Zpracovatelé jsou povinni ohlásit porušení zabezpečení bez zbytečného odkladu správci.  Povinnost ohlašovat případy porušení zabezpečení osobních údajů je svázáno i s povinností zabezpečit zpracování osobních údajů. Tato povinnost se týká jak správců, tak zadavatelů. Z GDPR v zásadě vyplývá, že úroveň zabezpečení by měla být přiměřená způsobu zpracování a povaze osobních údajů. Nařízení uvádí příkladmo tyto formy zabezpečení:

1. Pseudonymizace a šifrování osobních údajů;
2. Schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
3. Schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
4. Proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Splnění těchto požadavků lze dle GDPR dosáhnout dodržováním schváleného kodexu chování nebo osvědčením. Nařízení rovněž stanoví povinnost přijmout opatření, aby fyzické osoby, které jednají z pověření správce nebo zpracovatele a mají přístup k osobním údajům (typicky zaměstnanci), zpracovávaly tyto údaje pouze na jejich pokyn. Cílem je tedy zavést opatření proti neoprávněnému přístupu k osobním údajům (zaměstnanci).