Porušení zabezpečení osobních údajů

Stručný návod Úřadu pro oblast ohlášení porušení zabezpečení osobních údajů v souladu s obecným nařízením (GDPR).

Jaké případy je třeba ohlašovat?

Je třeba ohlašovat jakékoliv porušení zabezpečení osobních údajů, které může mít za následek riziko pro práva a svobody fyzických osob.

Typickým příkladem je kybernetický útok na počítačovou síť, ve které jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Může jít také např. o ztrátu listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace).

Před samotným  ohlášením Úřad doporučuje správci seznámit se s Pokyny k ohlašování případů porušení zabezpečení osobních údajů podle nařízení (EU) 2016/679 pracovní skupiny WP29 (současného Evropského sboru pro ochranu osobních údajů) a s Pokyny č. 01/2021 k příkladům týkajícím se ohlašování porušení zabezpečení osobních údajů (verze k veřejné diskuzi).

Pro posouzení každého ohlášení a další postup Úřadu je stěžejní, zdali a jaká opatření k zabezpečení osobních údajů správce přijal před vznikem incidentu, a jaká opatření k nápravě, resp. k minimalizaci nežádoucích účinků, správce přijal bezprostředně po zjištění porušení zabezpečení, tj. ještě před jeho ohlášením Úřadu. Vhodným preventivním opatřením je např. zaheslování elektronických dokumentů obsahujících osobní údaje, logování přístupů, zálohování evidencí s osobními údaji, dostatečné technické zabezpečení evidencí proti kybernetickým útokům či pravidelná školení osob jednajících z pověření správce v oblasti ochrany osobních údajů.

Došlo-li např. ke zpřístupnění osobních údajů neoprávněnému adresátovi, je vhodným okamžitým opatřením žádost o neprodlené smazání osobních údajů. Posouzení, zda je namístě i případné personální opatření vůči zaměstnanci (event. jinou osobou jednající z pověření správce), který nejednal v souladu s pokyny správce, při jím prováděném zpracování osobních údajů, nespadá do působnosti Úřadu, ale je v personální pravomoci správce osobních údajů. Hlavním adresátem povinností vyplývajících z nařízení (EU) 2016/679 je především správce, proto za soulad zpracování osobních údajů v souladu s právními předpisy odpovídá správce, nikoli jednotliví jeho zaměstnanci. 

Jaké případy není třeba ohlašovat?

Ohlašovat není třeba případy, u nichž je nepravděpodobné, že by porušení mělo za následek riziko pro dotčené osoby. Může jít např. o momentální nemožnost dohledat listinný dokument, který byl nebo měl být součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byl vytištěn z počítače, ve kterém je taková evidence vedena, přičemž je nepravděpodobné, že se dostal do nepovolaných rukou, ale jde spíše o jeho momentální chybné založení.

Veškeré případy porušení zabezpečení osobních údajů (tj. i ty, které nepodléhají povinnosti ohlášení) včetně přijatých nápravných opatření je však správce povinen dokumentovat.  

Co musí ohlášení obsahovat?

Ohlášení musí obsahovat:

a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn.: zejména ve vztahu vůči subjektům údajů);

d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. 

Komu se ohlášení zasílá?

Správce osobních údajů ohlašuje případ dozorovému úřadu, kterým je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, Praha 7. 

Použít však může i elektronickou formu, kdy vyplněný formulář Ohlášení porušení zabezpečení osobních údajů dle GDPR po vyplnění a uložení zašle na e-mail: posta@uoou.gov.cz nebo do datové schránky: qkbaa2n.  

Zpracovatel ohlašuje případ příslušnému správci, který činí ohlášení dozorovému úřadu. 

Do kdy je třeba ohlášení učinit, kým a jak?

Správce ohlašuje případ bez zbytečného odkladu. Správce případ ohlásí Úřadu, pokud možno do 72 hodin od okamžiku, kdy se o něm dověděl. Pokud není ohlášení Úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. 

Správce zasílá Úřadu ohlášení na adresu elektronické pošty, e-mail: posta@uoou.gov.cz nebo do datové schránky: qkbaa2n.

Byl-li správcem jmenován pověřenec, k jehož úkolům patří spolupráce s dozorovým úřadem, může být vypracování ohlášení úkolem tohoto pověřence. Odpovědnost za splnění povinnosti ohlásit Úřadu porušení zabezpečení však nese správce.
Zpracovatel zasílá ohlášení správci na dohodnuté kontaktní údaje správce.

Kdy je třeba případ oznámit lidem, u nichž k porušení zabezpečení jejich osobních údajů došlo?

Je to třeba, když je pravděpodobné, že případ bude mít za následek vysoké riziko pro práva a svobody dotčených osob.

Může jít např. o případ porušení zabezpečení osobních údajů v bankovním systému, v jehož důsledku by mohlo dojít k majetkové újmě klientů banky, stejně tak ale může jít o porušení zákonem uložené povinnosti mlčenlivosti či kybernetický útok, během něhož byly odcizeny přístupové údaje těchto osob.

V případě zvláštní kategorie osobních údajů (např. jde-li o genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu, údaje vypovídající o sexuálním životě, o náboženském vyznání nebo o politických názorech), které jsou nařízením (EU) 2016/679 zvýšeně chráněny, lze zpravidla předpokládat i vysoké riziko zásahu do práv a svobod dotčených osob, pokud v důsledku porušení zabezpečení došlo ke ztrátě jejich dostupnosti, nebo k porušení jejich integrity, a též pokud v důsledku incidentu již došlo nebo potenciálně mohlo dojít ke ztrátě jejich důvěrnosti.  

Oznámení dotčeným fyzickým osobám musí obsahovat popis povahy porušení zabezpečení, a přinejmenším tyto informace:

a) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

b) popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn.: zejména ve vztahu vůči dotčeným fyzickým osobám);

c) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Kopii oznámení případu porušení zabezpečení dotčeným subjektům údajů je vhodné připojit jako přílohu k ohlášení Úřadu.

Jaké jsou výjimky z povinnosti oznámit takový případ těmto lidem?

Oznámení dotčeným osobám se nevyžaduje jestliže:

a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených výše.

Mám v souvislosti s porušením zabezpečení osobních údajů povinnosti i vůči jiným orgánům?

V případě, že jste jednou z povinných osob dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, konkrétně pak správcem či provozovatelem významného informačního systému, informačního systému základní služby či informačního nebo komunikačního systému kritické informační infrastruktury a jako správce osobních údajů vyplňujete formulář pro ohlášení porušení zabezpečení osobních údajů dle GDPR, můžete mít povinnost i k hlášení kybernetického bezpečnostního incidentu vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Formulář hlášení kybernetického bezpečnostního incidentu NÚKIB naleznete zde.

V případě, že jste některou z ostatních povinných osob dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, tedy poskytovatelem digitální služby nebo orgánem nebo osobou zajišťující významnou síť a jako správce osobních údajů vyplňujete formulář pro ohlášení porušení zabezpečení osobních údajů dle GDPR, můžete mít povinnost hlásit kybernetický bezpečnostní incident CSIRT.CZ. Formulář hlášení kybernetického bezpečnostního incidentu CSIRT.CZ naleznete zde.