Jak se chovat dojde-li k data breach – porušení zabezpečení osobních údajů
8. 4. 2024
Mgr. Igor Pieš
GDPR a osobní údaje
Ochrana osobních údajů je v dnešní rychle se rozvíjející digitální době mimořádně důležitá, ne zřídka dochází k pokusům o porušení zabezpečení osobních údajů, pro které se v praxi běžně užívá pojem data breach. Mnohdy je však tento pojem zaměňován s pojmem data leak, tedy únikem dat.
Pojmem data breach se rozumí porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Data leak naopak představuje neúmyslné odhalení citlivých informací, které může vést k jejich zneužití. Zjednodušeně lze říci, že data leak je obvykle nehoda, zatímco k data breach může dojít z různých důvodů včetně úmyslného jednání, nedbalosti či pochybení. Pevný rámec pro předcházení takovým situacím a pro ochranu práv jednotlivců na ochranu osobních údajů poskytuje obecné nařízení o ochraně údajů (GDPR).
Podle nařízení GDPR jsou správci a zpracovatelé osobních údajů povinni zavést technická a organizační opatření k účinnému zabezpečení osobních údajů. Správci jsou v první řadě odpovědni za zavedení postupů, které se uplatní při předcházení incidentům (technicko-organizační opatření k zabezpečení osobních údajů), dále za zavedení postupů, které pomohou detekovat a vyhodnotit případný incident a nakonec postupů a opatření k řešení incidentu, minimalizaci negativních následků a ohlašování na příslušná místa.
V případě porušení zabezpečení údajů ukládá GDPR správci konkrétní povinnosti, které je povinen splnit pod hrozbou sankce. Správce musí takový incident ohlásit dozorovému úřadu (Úřad pro ochranu osobních údajů) do 72 hodin od okamžiku, kdy se o porušení dozvěděl. Dojde-li k porušení zabezpečení údajů na straně zpracovatele, je povinen tuto skutečnost bezodkladně oznámit správci. Představuje-li porušení zabezpečení údajů vysoké riziko pro práva a svobody dotčených subjektů, je správce povinen tuto skutečnost oznámit rovněž jim. Z této povinnosti však GDPR stanovuje výjimky, jako např. situaci, kdy správce přijal následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví, aj. V neposlední řade je správce povinen dokumentovat všechna porušení bez ohledu na jejich závažnost, a zaznamenávat skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.
Vzhledem k tomu, že se v digitálním prostředí stále více prosazuje komplexní ochrana osobních údajů, je velmi důležité pochopit a dodržovat nařízení GDPR, včetně ustanovení týkajících se porušení zabezpečení osobních údajů. Upřednostněním ochrany dat a zavedením proaktivních opatření mohou společnosti účinně omezit rizika, chránit práva jednotlivců a dodržovat soulad s právními normami.
V rámci našich služeb jsme schopni klientům zajistit právní podporu takřka okamžitě, aby byly veškeré lhůty dodrženy. Rovněž běžně pomáháme s navazujícím poradenstvím při zajištění bezpečnosti dat.
Další podobné články
Kontrolní plán Úřadu pro ochranu osobních údajů pro rok 2024
Úřad pro ochranu osobních údajů („ÚOOÚ“) je ústředním správním úřadem pro oblast ochrany osobních údajů, jenž primárně dohlíží na dodržování…
Inspekce úřadů v praxi: co byste měli vědět?
Společnosti se nezřídka stávají předmětem různých typů inspekcí a kontrol, z nichž každá má vlastní soubor předpisů a postupů – od kontrol Státního…
Dohody o nepřetahování zaměstnanců
Rádi bychom Vás upozornili na stále se více do popředí dostávající no-poaching dohody neboli dohody o nepřetahování zaměstnanců, které jsou z pohledu ochrany hospodářské…
