Oznamovanie Bezpečnostných incidentov

Bezpečnostný incident

Oznamovanie Bezpečnostných incidentov

Naplnenie informačných povinností v prípade, ak nastane bezpečnostný incident:

Prevádzkovateľ je povinný oznámiť Úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel. To neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

Zmeškanie uvedenej lehoty, resp. nesplnenie oznamovacej povinnosti je prevádzkovateľ povinný náležite odôvodniť.

Oznámenie musí obsahovať najmä:

  • opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
  • kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
  • opis pravdepodobných následkov porušenia ochrany osobných údajov,
  • opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.

Prevádzkovateľ je povinný poskytnúť informácie v rozsahu, v akom sú mu známe v čase oznámenia. Ak v čase oznámenia nie sú prevádzkovateľovi známe všetky informácie, poskytne ich bezodkladne po tom, čo sa o nich dozvie.

Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.

Oznamovaciu povinnosť v čase vzniku bezpečnostného incidentu alebo hrozby vzniku bezpečnostného incidentu má i sprostredkovateľ voči prevádzkovateľovi, pričom je tak povinný vykonať bez zbytočného odkladu po tom, ako sa o danej skutočnosti dozvedel.

Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.

Medzi obligatórne náležitosti oznámenia vzniku bezpečnostného incidentu patrí jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia uvedené v čl. 33 ods. 3 nariadenia GDPR.

Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, Úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z vyššie uvedených podmienok.

Oznámenie sa nevyžaduje, ak:

  • prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
  • prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby,
  • by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.

Ak vás zaujímajú ďalšie povinnosti súvisiace s GDPR firmy, prečítajte si ostatné články na našom blogu!

BlogyOchrana osobných údajov