Odpověď
Porušení zabezpečení osobních údajů nastává, když údaje, za něž vaše společnost/organizace nese odpovědnost, postihne bezpečnostní incident vedoucí k porušení důvěrnosti, dostupnosti nebo integrity. Pokud k tomu dojde a je pravděpodobné, že porušení znamená riziko pro práva a svobody dotčené osoby, vaše společnost/organizace to musí ohlásit dozorovému úřadu bez zbytečného odkladu a přinejmenším do 72 hodin poté, co jste se o porušení dozvěděli. Pokud je vaše společnost/organizace zpracovatelem údajů, musí každé porušení zabezpečení osobních údajů ohlásit správci údajů.
Pokud porušení zabezpečení osobních údajů znamená vysoké riziko pro dotčené osoby, měly by být i ony informovány, s výjimkou případů, kdy neexistují účinná technická a organizační ochranná opatření, která byla zavedena, nebo další opatření, která jsou zárukou, že se toto riziko již pravděpodobně neprojeví.
Pro organizaci je životně důležité zavést vhodná technická a organizační opatření, aby nedocházelo k možnému porušení zabezpečení osobních údajů.
Příklady
Organizace musí informovat úřad pro ochranu osobních údajů a příslušné osoby
Došlo k vyzrazení osobních údajů zaměstnanců textilní společnosti. Údaje obsahovaly osobní adresy, rodinný stav, měsíční mzdu a čerpání zdravotní péče každého ze zaměstnanců. V takovém případě musí textilní společnost o porušení informovat dozorový úřad. Vzhledem k tomu, že takové osobní údaje zahrnují citlivé údaje, například zdravotnické údaje, musí společnost informovat také zaměstnance.
Zaměstnanec nemocnice se rozhodne zkopírovat osobní údaje pacientů na CD a zveřejní je na internetu. Nemocnice na to přijde o několik dní později. Jakmile to nemocnice zjistí, má 72 hodin na to, aby informovala dozorový úřad, a vzhledem k tomu, že osobní údaje obsahují citlivé informace, například to, zda má pacient rakovinu, zda se jedná o těhotnou ženu apod., musí informovat i pacienty. V tomto případě by mohly nastat pochybnosti, zda nemocnice zavedla náležitá technická a organizační ochranná opatření. Pokud by skutečně zavedla náležitá ochranná opatření (např. šifrování osobních údajů), riziko by se pravděpodobně neprojevilo a nemocnice by nemusela informovat pacienty.
Společnost musí informovat klienty a ti možná potom musí informovat úřad pro ochranu osobních údajů a příslušné osoby
Cloudová služba ztratí několik pevných disků obsahujících osobní údaje náležící několika klientům. Jakmile porušení zjistí, musí tyto klienty informovat. Její klienti musí informovat úřad pro ochranu osobních údajů a příslušné osoby v závislosti na údajích, které byly zpracovatelem údajů zpracovány.
Odkazy
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.