Ohlašování je třeba provádět v případech, kdy dojde ke znepřístupnění (ztrátě dostupnosti, zašifrování) osobních údajů pacientů, a to napadením informačního systému škodlivým programem či jiným kybernetickým útokem. Jedná se také o případy dočasného znepřístupnění osobních údajů, kdy jsou tyto následně obnoveny ze zálohy.
Úřadu musí být dle čl. 33 GDPR ohlášeno jakékoli porušení zabezpečení osobních údajů správce. Výjimkou jsou jen případy, kdy je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Zdravotnická zařízení zpracovávají zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR, a to vždy minimálně v rozsahu údajů o zdravotním stavu. S ohledem na zvláštní režim ochrany, který GDPR těmto údajům přiznává, a s přihlédnutím k dosavadním poznatkům, můžeme konstatovat, že výše uvedená výjimka – možnost neohlásit incident Úřadu – nebude aplikovatelná.
V rámci provozu zdravotnického zařízení totiž nelze předpokládat, že incident s osobními údaji nebude mít za následek riziko pro práva a svobody fyzických osob. Úřad v této souvislosti připomíná, že ohlášení porušení zabezpečení musí být provedeno pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Proto též předpokládané následky musí být vyhodnocovány bezprostředně po zjištěném znepřístupnění osobních údajů.
Ohlášení porušení zabezpečení osobních údajů musí obsahovat
- povahu daného případu,
- pokud je to možné, tak kategorie a přibližný počet dotčených subjektů údajů,
- kategorie a přibližné množství dotčených záznamů osobních údajů,
- jméno a kontaktní údaje pověřence pro ochranu osobních údajů (příp. jiného kontaktního místa k poskytnutí bližších informací),
- popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
- popis opatření, která správce přijal nebo navrhl s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout výše uvedené informace současně, mohou být Úřadu poskytnuty postupně bez dalšího zbytečného odkladu. I přesto však musí být původní, i kdyby neúplné, ohlášení provedeno ve stanovené lhůtě. Využít lze formulář
Ohlášení porušení zabezpečení osobních údajů dle GDPR.
Úřad též připomíná povinnost správce dle čl. 34 GDPR oznámit případ porušení zabezpečení osobních údajů subjektům údajů, pokud je pravděpodobné, že tento případ bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Takové ohlášení může následně nařídit též Úřad, na základě vlastního posouzení případu.
