GDPR: Porušenie ochrany osobných údajov

Kedy máte oznámiť bezpečnostný incident na Úrad?

Autori: JUDr. Filip Petrinec, PhD.
Dátum publikácie: 20. 8. 2018


tt_retaz.jpg

Unikli vám osobné údaje alebo ste boli napadnutí hackermi? Pokuty alebo medializácia vášho prípadu vám rozhodne nepomôže. Porušenie ochrany osobných údajov alebo tzv. bezpečnostný incident je potrebné oznámiť nielen Úradu na ochranu osobných údajov, ale vo vybraných prípadoch aj samotnej dotknutej osobe, teda človeku, ktorého osobné údaje unikli alebo boli predmetom inej formy zneužitia. GDPR však nevyžaduje, aby ste oznámenie bezpečnostného incidentu vykonali vždy. Kedy teda oznámenie musíte vykonať a kedy nie?

Nariadenie GDPR neustanovuje len povinnosti súvisiace so spracúvaním osobných údajov a očakávania na ich zabezpečenie prostredníctvom rôznych bezpečnostných opatrení, ale počíta aj so skutočnosťou, že aj najlepšie zabezpečený systém môže zlyhať.

Bezpečnosť spracúvania osobných údajov by ste tak mali zabezpečiť najmä prostredníctvom pseudonymizácie, šifrovania, zálohovania a obmedzovania prístupu i doby spracúvania osobných údajov, ako aj prostredníctvom ďalších vhodných organizačných a technických bezpečnostných opatrení pozitívne pôsobiacich na bezpečnosť spracúvania osobných údajov.

Pri uvedenom by to však nemalo ostať. Pamätajte na to, že všetky pravidlá ochrany osobných údajov nesmú byť preverované len v čase ich prijatia. Je potrebné preverovať ich funkčnosť a implementáciu počas celej doby spracúvania osobných údajov a používania bezpečnostných pravidiel a prostriedkov ochrany osobných údajov.

Preto je potrebné pravidelne testovať, posudzovať a hodnotiť ich účinnosť s ohľadom na zaistenie bezpečnosti spracúvania osobných údajov, pričom bude vhodné využívať odborne spôsobilé osoby so znalosťou IT technológii, informačnej bezpečnosti a právnej úpravy v oblasti ochrany osobných údajov.

Ak používate tzv. sprostredkovateľa osobných údajov, teda napr. cloudové služby, dátové úložisko, externú firmu na mzdy a účtovníctvo, externú SBS s prístupom ku kamerovým záznamom a pod., ste povinný vyžadovať písomné záruky o tom, že takýto sprostredkovateľ prijal primerané technické a organizačné opatrenia spĺňajúce požiadavky GDPR a zabezpečil dostatočné organizačné, personálne a technické predpoklady pre ochranu práv dotknutých osôb. Sprostredkovateľ by s týmto cieľom mal kedykoľvek prevádzkovateľovi (vašej firme) s právnou záväznosťou písomne potvrdiť rozsah prijatých bezpečnostných opatrení a právnych záruk formou podpísania kontrolného zoznamu s jasnou špecifikáciou týchto opatrení. Takýto zoznam bude tvoriť neoddeliteľnú prílohu tzv. zmluvy o sprostredkovaní spracovania osobných údajov (známej aj ako Sprostredkovateľská zmluva).

Čo ak nastane bezpečnostný incident?

V prvom rade bude potrebné zachovať „chladnú hlavu“ a racionálne pristúpiť k jeho riešeniu za pomoci vašej GDPR dokumentácie a interných smerníc, ktoré máte vypracované presne na vašu firmu. Tieto incidenty by pri aplikácii dostatočných technických a personálnych opatrení nemali nastať, avšak sú súčasťou relatívne bežnej praxe u mnohých firiem. Nariadenie GDPR teda rieši túto situáciu tým, že je potrebné začať minimálne tým, že s bezpečnostným incidentom „vyjdete na povrch“. Teda nebudete ho tajiť. Ak nenahlásite bezpečnostný incident v prípadoch, kedy vám táto povinnosť z jeho povahy vyplýva, bude na túto skutočnosť prihliadať Úrad na ochranu osobných údajov (ďalej len „Úrad“) pri ukladaní pokuty a stanovovaní jej výšky. V zmysle ustanovenia čl. 83 GDPR, pojednávajúceho o Všeobecných pravidlách ukladania správnych pokút, pri rozhodovaní o uložení správnej pokuty a jej výške v každom jednotlivom prípade Úrad náležite zohľadní aj spôsob, akým sa o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili a ak áno, v akom rozsahu.

Preto, ak vám vznikne povinnosť oznámiť bezpečnostný incident, radšej tak vykonajte. Mnohí podnikatelia majú obavu z toho, že ak oznámia bezpečnostný incident, budú čeliť reputačnému riziku a medializácii. A práve tu sa dostávame do situácie, kedy vzniká o dôvod viac na to, aby ste správne posúdili, či vám povinnosť na oznámenie bezpečnostného incidentu vznikla alebo nie.

Povinnosť oznámiť bezpečnostný incident je ustanovená v čl. 33 a 34 nariadenia GDPR.

  

Článok je skrátený, viac informácií nájdete v príspevku


ODPORÚČAME: 

Súvisiace odborné články

Súvisiace vzory zmlúv a právnych podaní

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2018, všetky práva vyhradené