Úřad pro ochranu osobních údajů

Pokyny pro oznamovatele:

1. Za zjištění narušení bezpečnosti osobních údajů se považuje situace, kdy oznamovatel (poskytovatel veřejně dostupných služeb elektronických komunikací) získal dostatečné informace o tom, že došlo k bezpečnostní události, která měla za následek narušení osobních údajů tak, aby podal opodstatněné oznámení o narušení bezpečnosti osobních údajů Úřadu pro ochranu osobních (dále jen oznámení Úřadu).

2. Oznamovatelem je poskytovatel veřejně dostupných služeb elektronických komunikací, který je v přímém smluvním vztahu se subjektem údajů, jehož se narušení bezpečnosti osobních údajů týká.

3. V případě narušení bezpečnosti osobních údajů, které je způsobilé ovlivnit zvlášť závažným způsobem soukromí fyzické osoby, oznamovatel provádí oznámení o narušení bezpečnosti osobních údajů subjektům údajů (dále jen oznámení), které musí být předáno všem subjektům údajů, jichž se narušení bezpečnosti osobních údajů týká.

4. Oznámení musí být učiněno bez zbytečných odkladů po zjištění narušení bezpečnosti osobních údajů a nesmí být závislé na podání oznámení Úřadu.

5. Ve výjimečných případech, kdy oznámení může ohrozit řádné vyšetření narušení bezpečnosti osobních údajů, může oznamovatel, po získání souhlasu Úřadu pro ochranu osobních údajů, pozdržet oznámení, dokud Úřad pro ochranu osobních údajů neusoudí, že je možné oznámení provést.

6. Oznámení musí být napsáno srozumitelně a musí být snadno pochopitelné.

7. Oznamovatel nesmí využít oznámení jako příležitost k propagaci nebo nabídce nových služeb.

8. Oznámení by se mělo týkat pouze narušení bezpečnosti osobních údajů a nemělo by být spojeno s jinými informacemi.

9. Oznámení se provádí formou přímého oznámení nebo nepřímého oznámení.

10. Přímé oznámení je základní formou oznámení o narušení bezpečnosti osobních údajů subjektu údajů.

11. Přímé oznámení se provádí způsobem, který umožňuje rychlé předání informací subjektům údajů a je dle nejnovějších poznatků řádně zabezpečeno.

12. Pokud oznamovatel, ani přes vynaložené úsilí, není schopen bez zbytečných odkladů určit všechny subjekty údajů, které by narušením bezpečnosti osobních údajů mohly být nepříznivě ovlivněny, může bez zbytečných odkladů tyto subjekty údajů informovat prostřednictvím nepřímého oznámení (uveřejnění v hlavních celostátních nebo regionálních médiích). Nepřímé oznámení musí obsahovat stejné informace jako přímé oznámení, v případě potřeby mohou být tyto informace ve stručné formě. Pokud dojde k nepřímému oznámení, oznamovatel přesto pokračuje v úsilí vedoucím k identifikaci všech subjektů údajů, a co nejdříve učiní i přímé oznámení.

Oznámení o narušení bezpečnosti osobních údajů subjektu údajů musí obsahovat:

1. Identifikaci oznamovatele.
2. Označení a styčné informace kontaktního místa, kde lze získat bližší informace.
3. Souhrnnou zprávu o události, která způsobila narušení bezpečnosti osobních údajů.
4. Odhadované datum události.
5. Povahu a obsah dotčených osobních údajů.
6. Pravděpodobné důsledky narušení ochrany osobních údajů pro subjekt údajů (dotčeného jednotlivce nebo účastníka).
7. Okolnosti narušení bezpečnosti osobních údajů.
8. Opatření, jež oznamovatel přijal v souvislosti s narušením bezpečnosti osobních údajů.
9. Opatření doporučená oznamovatelem ke zmírnění možných nepříznivých účinků.