dnes je 26.10.2020

Input:

Zabezpečení osobních údajů v souladu s GDPR

15.5.2018, Zdroj: Úřad pro ochranu osobních údajů (http://www.uoou.cz/)

Jakým způsobem musí správce zabezpečit osobní údaje? Kdy je povinen v případě potíží oznámit tuto situaci Úřadu pro ochranu osobních údajů? Na tyto a další otázky Vám odpoví následující příspěvek

Jak musí správce zabezpečit osobní údaje?

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační. Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.

Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.

 

Co se rozumí porušením zabezpečení osobních údajů?

Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.

 

Kdy a co musí správce při bezpečnostním incidentu ohlásit Úřadu pro ochranu osobních údajů?

Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.

Například používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tudíž i zbavit správce nutnosti případ ohlásit dozorovému úřadu. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.

V oznámení správce subjektu údajů musí popsat povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky a též musí sdělit kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven.

Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.

Pracovní skupiny WP29 vydala k ohlašování porušení zabezpečení osobních údajů své pokyny. Jejich neoficiální český překlad je v rubrice Schválené pokyny.

 

Kdy a co musí správce při