Úřad pro ochranu osobních údajů

Oznamovatel je poskytovatel veřejně dostupných služeb elektronických komunikací, který je v přímém smluvním vztahu s koncovým uživatelem a v rámci poskytované služby došlo k narušení bezpečnosti osobních údajů.

Jiný poskytovatel je poskytovatel veřejně dostupných služeb elektronických komunikací, který není v přímém smluvním vztahu s koncovým uživatelem, ale je smluvně vázán k poskytnutí části služeb elektronických komunikací jinému poskytovateli veřejně dostupných služeb elektronických komunikací.

Narušením bezpečnosti osobních údajů se rozumí bezpečnostní událost, která vede k neoprávněnému přístupu nebo k neoprávněné nebo nahodilé změně, zničení, vyzrazení či ztrátě osobních údajů zpracovávaných v souvislosti s poskytováním veřejně dostupné služby elektronických komunikací.

Zjištěním narušení bezpečnosti osobních údajů se rozumí situace, kdy oznamovatel získá dostatečné informace o tom, že došlo k bezpečnostní události, která měla za následek narušení osobních údajů, aby bylo možno podat opodstatněné oznámení o narušení bezpečnosti osobních údajů Úřadu pro ochranu osobních údajů.

Údaje se považují za nesrozumitelné, pokud opatření učiněná podnikatelem poskytujícím veřejně dostupnou službu elektronických komunikací před narušením bezpečnosti osobních údajů zajistí, že dotčené údaje nejsou srozumitelné pro nikoho, kdo k nim nemá oprávněný přístup. Tuto skutečnost je nutno prokázat Úřadu pro ochranu osobních údajů v rámci podání oznámení o narušení bezpečnosti osobních údajů.

údaje se považují za nesrozumitelné¹ jestliže:

• byly bezpečně zašifrovány normalizovaným algoritmem, klíč použitý k dešifrování údajů nebyl žádným narušením bezpečnosti ohrožen a byl vytvořen tak, aby nemohl být dostupnými technickými prostředky odhalen nikým, kdo k němu nemá právo přístupu,
• byly nahrazeny svou zahašovanou hodnotou vypočítanou pomocí normalizované kryptografické hašovací funkce s klíčem; klíč použitý k hašování údajů nebyl ohrožen žádným narušením bezpečnosti a byl vytvořen tak, aby nemohl být dostupnými technickými prostředky odhalen nikým, kdo k němu nemá právo přístupu.

Údaje nejsou v držení třetí strany zejména, pokud při narušení bezpečnosti osobních údajů došlo ke zničení souborů nebo znepřístupnění souborů (v ostatních případech lze oprávněně přepokládat, že by soubory mohly být v držení třetí strany).

Citlivé údaje jsou údaje vypovídající o národnostním, rasovém nebo etnickém původu, o členství v odborových organizacích, o odsouzení za trestný čin, o sexuálním životě, genetické údaje, údaje o politických postojích, o náboženství a filozofickém přesvědčení, o zdravotním stavu a citlivé biometrické údaje. 

Údaje, které mohou způsobit zneužití nebo krádež identity jsou kombinací údajů (např. některé z údajů jméno, příjmení, tituly, adresa bydliště, datum narození, rodné číslo, číslo řidičského průkazu, číslo sociálního pojištění, číslo kreditní karet, hesla – PIN, apod.), které umožňují vydávat se za osobu, jejíž data byla získána, a činit na její úkor kroky, které ji mohou poškodit.

Fyzická újma například ublížení na zdraví, loupež, vydírání, nebezpečné pronásledování.

Morální ujma například pomluva, ponížení, poškození pověsti, ztížení uplatnění apod.

---

¹ Komise (EU) může po konzultaci s příslušnými vnitrostátními orgány prostřednictvím pracovní skupiny zřízené podle článku 29, Evropskou agenturou pro bezpečnost sítí a informací a evropským inspektorem ochrany údajů zveřejnit orientační seznam vhodných technických ochranných opatření v souladu s platnými postupy.