Nové nařízení o ochraně osobních údajů, které je účinné pro celou Evropskou unii od 25. května 2018, popisuje jednotlivé povinnosti správců a zpracovatelů údajů. Jednou z nich je povinnost ohlašovat bezpečnostní incidenty na poli ochrany osobních údajů.
Příručka pro přípravu malých a středních firem na GDPR přináší ve spojitosti s touto problematikou praktické příklady z firemního života.
Příklady z praxe, kdy došlo k bezpečnostním incidentům
V životě firem dochází k tzv. bezpečnostním incidentům i několikrát denně. Může se jednat o zapomenuté či bez dozoru ponechané pracovní flashdisky na konferencích či jednáních, bez dozoru ponechané papírové dokumenty, vyhazování dokumentů obsahujících osobní údaje do košů, ač by měly být skartovány, možné ztráty či zapomenutí služebních telefonů nebo počítačů.
Hlásit Úřadu pro ochranu osobních údajů se ale nemají incidenty, u kterých je vznik rizika nepravděpodobný (pokud někdo na chvíli opustí flashdisk v jednací místnosti nebo odejde od počítače na dobu kratší, než je opětovné zaheslování počítače).
Doporučení firmám
Je však vhodné, aby vaše firma zavedla vzhledem k zaměstnancům, klientům i zpracovatelům údajů jasnou povinnost hlášení jakýchkoli relevantních bezpečnostních incidentů (ztráta pracovního notebooku, ztráta jiného nosiče nezašifrovaných dat apod.), a to nejlépe standardizovaným způsobem (online, ve formuláři) a nejlépe s povinností hlásit incident okamžitě poté, co nastane – jedině tak se totiž může vyhnout možnému postihu za nesplnění této své povinnosti.
V praxi se sice může stát, že se správce údajů o porušení bezpečnosti dat vůbec nedozví (a nemůže jej tedy ohlásit dozorovému úřadu ani oznámit dotčeným subjektům údajů), pak to ale svědčí o tom, že mohl zanedbat některé své jiné povinnosti , zejména povinnost podniknout všechna organizační a technická opatření k zabezpečení údajů.
Porušení bezpečnosti údajů se musí hlásit
V případě jakéhokoli porušení zabezpečení údajů – tedy i v případech, kdy fyzicky nenastal únik dat, avšak pouze byla porušena jejich bezpečnost a je pravděpodobné riziko pro práva a svobody subjektu údajů – musí správce údajů bez zbytečného odkladu, nejpozději do 72 hodin, hlásit tento incident dozorovému orgánu a v případě, že je pravděpodobné, že o tomto incidentem vznikne vysoké riziko pro práva a svobody fyzických osob-subjektů údajů, pak je nutné hlásit jej i dotčeným subjektům údajů.
Další praktické příklady o aplikaci GDPR
- Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR?
- Po výběrovém řízení si ponechali životopisy neúspěšných uchazečů. Co na to GDPR?
- Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR?
- Nechce být obtěžován telefonáty pro průzkum trhu. Firma musí námitku akceptovat
- Ukončil ve firmě pracovní poměr. Které údaje o něm může zaměstnavatel uchovat?