Časté otázky k úniku osobních údajů (data breaches)


Porušení zabezpečení osobních údajů řeší oddíl 2, články 33-34 GDPR.

Pokud dojde k „porušení zabezpečení osobních údajů“, kterým se rozumí porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Představitel firmy (zodpovědná osoba) ohlásí jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, dozorovému úřadu [...], ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Jakmile představitel firmy zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu.

Dozorovému úřadu, kterým je nezávislý orgán veřejné moci zřízený státem. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, je třeba, oznámit toto porušení bez zbytečného odkladu těmto fyzickým osobám.

Obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. Zatímco v některých členských státech včetně České republiky dozorové úřady pokuty ukládají, v jiných členských státech EU (např. Dánsko) tomu tak dosud není. Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč, přičemž v minulosti (do 31. prosince 2004) dosahovala dvojnásobku. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby. Horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se (z trestu).

[odpověď převzata z https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=23799]

Představitel firmy (zodpovědná osoba), jakmile zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

Pověřenec pro ochranu osobních údajů spolupracuje s dozorovým úřadem a působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování a případně vede konzultace v jakékoli jiné věci.

Regulátor nebude nic omlouvat, ale bude přihlížet k míře závažnosti a opakování přestupku, k chování při hlášení data breaches, ke spolupráci s regulátorem při řešení situace a k velikosti firmy při udělování sankce.