Nariadenie 2016/679 o ochrane fyzických osôb pri
spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („GDPR“) zavádza novú dôležitú povinnosť
pre prevádzkovateľov, a to notifikáciu
dozornému orgánu v prípade porušenia ochrany osobných údajov.
1.
Čo znamená „porušenie ochrany
osobných údajov“?
Pod porušením ochrany osobných
údajov sa rozumie porušenie bezpečnosti,
ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene,
neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo
inak spracúvajú, alebo neoprávnený prístup k nim.
Porušenie je teda chápané veľmi
široko a zahŕňa v podstate každú neoprávnenú manipuláciu s osobnými
údajmi. Nemusí ísť len o výslovné zneužitie resp. „únik“ osobných údajov,
ale porušením je rovnako aj ich strata alebo zmena.
2.
Účel notifikácie
Zavedenie inštitútu notifikácie
porušenia ochrany osobných údajov (de facto „samonahlásenia“ porušenia zo
strany prevádzkovateľa) sa môže javiť pomerne kontroverzné. Prevádzkovatelia
budú musieť sami upozorňovať dozorné orgány na porušenia (ktoré v mnohých prípadoch
nastanú v dôsledku zanedbania ich povinností v zmysle GDPR), čím
riskujú uloženie sankcie.
V dnešnej dobe spojenej s vysokou
rýchlosťou a vysokým objemom spracúvania osobných údajov a veľkým rizikom
ich zneužitia vo veľkom rozsahu je však potrebné, aby porušenia boli včas
odhalené, nahlásené a následne čo najviac obmedzené ich nepriaznivé
dôsledky. GDPR uvádza ako možné dôsledky porušenia napr. stratu kontroly nad
svojimi osobnými údajmi, diskrimináciu, krádež totožnosti alebo podvod,
finančnú stratu, neoprávnenú reverznú pseudonymizáciu, poškodenie dobrého mena
a stratu dôvernosti osobných údajov chránených profesijným tajomstvom.
Zároveň môže mať táto povinnosť
priaznivý účinok v tom, že prevádzkovateľov bude motivovať, aby prijali
opatrenia (niektoré z nich sú spomenuté nižšie), ktorými zamedzia riziku
pre práva a slobody dotknutých osôb aj v prípade, aj v prípade, ak
dôjde k porušeniu – za takých okolností notifikácia dozornému orgánu nie
je potrebná.
3.
Na ktoré prípady porušenia ochrany
sa vzťahuje notifikácia dozornému orgánu?
Úprava GDPR je postavená na princípe,
že notifikácia sa vzťahuje na každé porušenie, ktoré nie je možné zaradiť pod
výnimku. Touto výnimkou sú prípady keď
nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre
práva a slobody fyzických osôb.
Pojem „riziko pre práva a slobody
fyzických osôb“ je veľmi všeobecný a bude potrebný jeho upresňujúci
výklad, či už zo strany súdov, dozorných orgánov a Európskeho výboru pre
ochranu údajov. Každopádne je možné vykonať určité prvotné generalizácie.
V prvom rade GDPR nerozlišuje
medzi tým, akých osobných údajov sa porušenie týka. To znamená, že riziko pre
práva a slobody fyzických osôb nenastane len v prípade zásahu do
osobitných kategórií osobných údajov (údaje, ktoré odhaľujú rasový alebo
etnický pôvod, politické názory, biometrické údaje, atď.) alebo iných „citlivých“
osobných údajov. Riziko pre práva a slobody fyzických osôb sa rovnako vzťahuje
napr. aj na únik údajov týkajúcich sa nákupných preferencií dotknutých osôb
alebo iných údajov, ktoré fyzické osoby nepovažujú za „citlivé“.
Ďalej je potrebné poznamenať, že k riziku
pre práva a slobody fyzických osôb by za štandardných okolností nemalo
dôjsť v nasledovných prípadoch:
(i) ak
sú „uniknuté“ osobné údaje pseudonymizované alebo šifrované a neoprávnené osoby, ktoré získajú k takýmto údajom prístup, ich nevedia priradiť ku konkrétnym
fyzickým osobám;
(ii) zničené
alebo zmenené osobné údaje sú zálohované a je ich možné z tejto zálohy
obnoviť.
Je teda vhodné odporučiť (pre prípady,
keď je to možné a efektívne) osobné údaje pseudonymizovať, šifrovať a zálohovať.
Týmto spôsobom je možné zamedziť riziku pre práva a slobody fyzických osôb
a tým pádom aj potrebe notifikácie dozorným orgánom.
4.
Dokedy je potrebné realizovať
notifikáciu dozornému orgánu?
V zmysle príslušnej úpravy
GDPR musí byť notifikácia porušenia ochrany osobných údajov realizovaná bez zbytočného odkladu potom, ako sa
prevádzkovateľ o porušení dozvedel. GDPR uvádza aj maximálnu lehotu, a to
najneskôr do 72 hodín potom, ako sa
prevádzkovateľ dozvedel o porušení. Ak dôjde k omeškaniu, je potrebné
ho zdôvodniť.
V prípade potreby je možné
notifikáciu vykonať aj postupne, t.j. po jednotlivých etapách.
5.
Aké informácie je potrebné
dozornému orgánu notifikovať?
Minimálny rozsah notifikovaných
informácií zahŕňa:
(i)
údaje
týkajúce sa povahy samotného porušenia, vrátane kategórií a počtu dotknutých
osôb a dotknutých záznamov;
(ii)
kontaktné
údaje, na ktorých možno získať ďalšie informácie;
(iii)
opis
následkov porušenia a
(iv)
opis
opatrení na zmiernenie dôsledkov porušenia.
6.
Aké sú ďalšie povinnosti spojené s porušením
ochrany osobných údajov?
Každé porušenie ochrany osobných
údajov nemusí mať za následok notifikáciu dozornému orgánu (viď výnimka
spomenutá vyššie). Pri každom porušení je však prevádzkovateľ povinný toto
porušenie zdokumentovať, a to vrátane jeho následkov a prijatých opatrení
na nápravu?
7.
Možné sankcie v prípade neoznámenia
porušenia
V prípade, ak prevádzkovateľ
neoznámi porušenie ochrany osobných údajov (alebo poruší iné povinnosti spojené
s notifikáciou), hrozí mu pokuta až do výšky 10.000.000 EUR resp. 2%
globálneho ročného obratu za minulý rok (podľa toho, ktorá suma je vyššia).
Je však potrebné poznamenať, že napriek
tomu, že horná hranica výšky pokuty pôsobí pomerne odstrašujúcu, konkrétna
výška pokuty závisí od špecifických podmienok porušenia a vo väčšine
prípadov sa pokuta nebude pohybovať v okolí tejto hornej hranice.
Tento článok slúži len
ako všeobecná informácia a nenahrádza právne poradenstvo v konkrétnej
veci.