O nariadení GDPR sa dlho hovorilo ako o prelomovom predpise v oblasti ochrany osobných údajov, ktorý nielen zjednotí úpravu ochrany osobných údajov v celej Európskej únii, ale aj významne posilní ochranu osobných údajov fyzických osôb vo všeobecnosti a pokúsi sa zároveň aspoň udržať krok s technologickým vývojom súčasnosti .Jednou z povinností, ktorú prinieslo nové nariadenie GDPR je ohlasovanie prípadov kedy dôjde k porušeniu zabezpečenia a úniku osobných údajov. Viete kedy je to potrebné a ako nato?
Porušenie zabezpečenia osobných údajov
Za porušenie zabezpečenia sa podľa GDPR považuje porušenie, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu alebo neoprávnené poskytnutie alebo sprístupnenie prenášaných, uložených alebo inak spracovaných osobných údajov. Za zničenie je považovaný prípad, keď osobné údaje už neexistujú, prípadne nie v podobe, ktorá je na úžitok. U poškodenia ide o to, že dáta boli pozmenené alebo nie sú úplné, správca nad nimi stratil kontrolu, prístup alebo ich jednoducho nemá v držbe. Porušenia sú tiež rozdelené na:
- porušenie dôvernosti (neoprávnené alebo náhodné poskytnutie alebo sprístupnenie údajov),
- porušenie dostupnosti (náhodná alebo neoprávnená strata prístupu alebo zničenie údajov) a
- porušenie integrity znamenajúce neoprávnené alebo náhodné pozmenenie osobných údajov.
Povinnosť ohlasovať únik dát
Povinnosťou každého správcu, prípadne spracovateľa osobných údajov je ohlásiť prípad porušenia alebo únik údajov do 72 hodín od času, kedy zistil túto skutočnosť a to na Úrad na ochranu osobných údajov. Čo musí takéto ohlásenie obsahovať?
- opis charakteru daného prípadu porušenia bezpečnosti osobných údajov, vrátane, pokiaľ je to možné, kategórií a približného počtu dotknutých subjektov údajov a kategórií a približného množstva dotknutých záznamov osobných údajov,
- meno a kontaktné údaje povereníka pre ochranu osobných údajov alebo iného kontaktného miesta, ktoré môže poskytnúť bližšie informácie,
- opis pravdepodobných dôsledkov porušenia bezpečnosti osobných údajov,
- opis opatrení, ktoré správca prijal alebo navrhol na prijatie s cieľom vyriešiť dané porušenie zabezpečenia osobných údajov, vrátane prípadných opatrení na zmiernenie možných nepriaznivých vplyvov.
Vysoké pokuty
Výška pokút sa odvíja podľa závažnosti porušenia, ktorého sa správca údajov dopustil, a je tu mnoho okolností. Nariadenie neuvádza žiadne presné sumy, ale len maximálne sumy, ktoré môžu byť až do výšky 10 000 000 EUR a 2% z celosvetového obratu pre podniky pri menej závažných porušeniach alebo 20 000 000 EUR a 4% celkového ročného celosvetového obratu pre podniky pri závažných porušeniach povinností.
Mieru porušenie nemožno presne definovať
V nariadení GDPR sa píše, že nie je potrebné nahlasovať taký únik, kedy sa vlastne nič veľké nestalo, ale na druhú stranu nenahlásenie úniku, ktoré by mohlo zasiahnuť do súkromia ľudí, je priestupkom. Avšak to stále neznamená, že je potrebné nahlasovať každé porušenie. V istých, spravidla závažných, prípadoch, keď hrozí veľké riziko, že by sa informácie o porušení zabezpečenia mali oznámiť aj jednotlivcom, ktorých sa to týka. Posúdiť mieru rizika môžu správcovia podľa obsahu, ktorý spracúvajú.
Napríklad, či nimi uchovávané dáta neobsahujú osobitné kategórie osobných údajov, ako je napríklad zdravotný stav dotknutých osôb. Veľmi dôležitým meradlom je tiež objem spracovávaných dát. Vyhodnotenie je však na deklarantovi samotnom a nie je k tomu žiadny presný popis. Pre každého má určité riziko inú váhu a inú nebezpečnosť alebo mieru poškodenia.