Jak musí správce zabezpečit osobní údaje?

Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s Obecným nařízením. Každý správce tak bude muset přijmout adekvátní bezpečnostní opatření a u každého správce takové opatření může být, právě s ohledem na povahu, rozsah a účely zpracování, odlišné.

Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.
 

Co se rozumí porušením zabezpečení osobních údajů?

Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.
 

Kdy a co musí správce při bezpečnostním incidentu ohlásit Úřadu pro ochranu osobních údajů?

Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Právě používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tudíž i zbavit správce nutnosti případ ohlásit dozorovému úřadu. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.

V oznámení správce subjektu údajů musí popsat povahu porušení zabezpečení, přijatá opatření, pravděpodobné důsledky a též musí sdělit kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven.

Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.
 

Kdy a co musí správce při bezpečnostním incidentu oznámit subjektu údajů?

V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví. Povinnost oznámit bezpečnostní incident subjektu údajů správci nenastane ani tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.
 

Jak se určí riziko porušení zabezpečení?

Při určování rizika porušení zabezpečení bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (např. údaje o zdravotním stavu), případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv (např. únik přihlašovacích údajů do elektronického bankovnictví).

Dalším rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku. Určení rizika porušení zabezpečení se tak musí provést komplexně, nikoli izolovaně a vyšlé riziko následně určí eventuální povinnost oznámit porušení zabezpečení Úřadu pro ochranu osobních údajů nebo i oznámit subjektu údajů.
 

Musí být vždy osobní údaje u správce v šifrované nebo pseudonymizované podobě?

Šifrování ani pseudonymizace nejsou výslovnou podmínkou zpracování osobních údajů. Jsou bezpečnostním prvkem, který i v některých případech může správci zlepšit jeho postavení v případě úniků těchto údajů, jelikož v takovém případě se na něj nemusí (v závislosti na případu, neznamená to, že pokaždé) vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu, resp. jej oznamovat subjektu údajů. Vždy je však nutné míru rizika posoudit a to i v případě, že byla použita pseudonymizace či šifrování.

Lze proto doporučit správcům, jejichž povaha zpracování osobních údajů jim to umožňuje, uchovávat (zpracovávat) údaje v šifrované či pseudonymizované podobě, k čemuž i Obecné nařízení nabádá.