Page contents Page contents Odpoveď K porušeniu ochrany údajov dochádza vtedy, keď údaje, za ktoré je vaša spoločnosť/organizácia zodpovedná, postihne bezpečnostný incident, ktorého dôsledkom je porušenie dôvernosti, dostupnosti alebo integrity. Ak sa tak stane a je pravdepodobné, že porušenie predstavuje riziko pre práva a slobody jednotlivca, musí to vaša spoločnosť/organizácia oznámiť orgánu dohľadu bez zbytočného odkladu a najneskôr do 72 hodín po tom, ako ste sa dozvedeli o porušení. Ak je vaša spoločnosť/organizácia spracovateľom údajov, každé porušenie ochrany údajov musí oznámiť prevádzkovateľovi. Ak porušenie ochrany údajov predstavuje vysoké riziko pre dotknutých jednotlivcov, v tom prípade by mali byť tiež informovaní (pokiaľ neboli zavedené účinné technické a organizačné opatrenia ochrany, aby sa zabezpečilo, že riziko by sa viac nemalo vyskytnúť). V rámci organizácie je zásadne dôležité zaviesť primerané technické a organizačné opatrenia s cieľom vyhnúť sa možnému porušeniu ochrany údajov. Príklady Organizácia musí oznámiť porušenie úradu na ochranu údajov a jednotlivcomZverejnili sa údaje zamestnancov textilnej spoločnosti. Údaje obsahovali osobné adresy, zloženie rodiny, mesačnú mzdu a lekárske hlásenia každého zamestnanca. V tomto prípade musí textilná spoločnosť informovať orgán dohľadu o porušení ochrany. Keďže osobné údaje zahŕňajú citlivé údaje, ako sú zdravotné údaje, spoločnosť to musí oznámiť aj zamestnancom. Zamestnanec nemocnice sa rozhodne, že skopíruje údaje pacientov na CD a zverejní ich online. Nemocnica to o niekoľko dní zistí. Hneď, ako to nemocnica zistí, má 72 hodín na to, aby informovala orgán dohľadu, a keďže osobné údaje zahŕňajú citlivé údaje, ako napr. to, či má pacient rakovinu, či je pacientka tehotná atď., musí o tom informovať aj pacientov. V tomto prípade by existovali pochybnosti o tom, či nemocnica vykonala primerané technické a organizačné ochranné opatrenia. Pokiaľ by skutočne vykonala primerané ochranné opatrenia (napr. šifrovanie údajov), riziko by sa pravdepodobne neobjavilo a bola by oslobodená od oznamovania pacientom. Spoločnosť musí oznámiť porušenie klientom, ktorí to potom môžu oznámiť úradu na ochranu údajov a jednotlivcomCloudová služba príde o niekoľko pevných diskov, ktoré obsahujú osobné údaje patriace viacerým klientom. Musí to oznámiť týmto klientom, hneď ako sa dozvie o porušení ochrany. Jej klienti to musia oznámiť úradu na ochranu údajov a jednotlivcom, v závislosti od údajov, ktoré spracúva spracovateľ údajov. Odkazy usmernenia Európskeho výboru pre ochranu údajov (EDPB) k oznamovaniu porušenia ochrany osobných údajov podľa nariadenia 2016/679 článok 4 ods. 12, článok 33 a 34 a odôvodnenia 85 – 88 GDPR Examples Organisation must notify the DPA and individuals The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well. A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients. Company must notify clients and they may then have to notify the DPA and individuals A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor. References EDPB Guidelines on Personal data breach notification under Regulation 2016/679 Article 4(12) and Articles 33 and 34 and Recitals (85) to (88) of the GDPR
