Oznámenie porušenia ochrany osobných údajov dozornému orgánu

Nariadenie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („GDPR“) zavádza novú dôležitú povinnosť pre prevádzkovateľov, a to notifikáciu dozornému orgánu v prípade porušenia ochrany osobných údajov.

1.      Čo znamená „porušenie ochrany osobných údajov“?

Pod porušením ochrany osobných údajov sa rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.

Porušenie je teda chápané veľmi široko a zahŕňa v podstate každú neoprávnenú manipuláciu s osobnými údajmi. Nemusí ísť len o výslovné zneužitie resp. „únik“ osobných údajov, ale porušením je rovnako aj ich strata alebo zmena.

2.      Účel notifikácie

Zavedenie inštitútu notifikácie porušenia ochrany osobných údajov (de facto „samonahlásenia“ porušenia zo strany prevádzkovateľa) sa môže javiť pomerne kontroverzné. Prevádzkovatelia budú musieť sami upozorňovať dozorné orgány na porušenia (ktoré v mnohých prípadoch nastanú v dôsledku zanedbania ich povinností v zmysle GDPR), čím riskujú uloženie sankcie.

V dnešnej dobe spojenej s vysokou rýchlosťou a vysokým objemom spracúvania osobných údajov a veľkým rizikom ich zneužitia vo veľkom rozsahu je však potrebné, aby porušenia boli včas odhalené, nahlásené a následne čo najviac obmedzené ich nepriaznivé dôsledky. GDPR uvádza ako možné dôsledky porušenia napr. stratu kontroly nad svojimi osobnými údajmi, diskrimináciu, krádež totožnosti alebo podvod, finančnú stratu, neoprávnenú reverznú pseudonymizáciu, poškodenie dobrého mena a stratu dôvernosti osobných údajov chránených profesijným tajomstvom.

Zároveň môže mať táto povinnosť priaznivý účinok v tom, že prevádzkovateľov bude motivovať, aby prijali opatrenia (niektoré z nich sú spomenuté nižšie), ktorými zamedzia riziku pre práva a slobody dotknutých osôb aj v prípade, aj v prípade, ak dôjde k porušeniu – za takých okolností notifikácia dozornému orgánu nie je potrebná.

3.      Na ktoré prípady porušenia ochrany sa vzťahuje notifikácia dozornému orgánu?

Úprava GDPR je postavená na princípe, že notifikácia sa vzťahuje na každé porušenie, ktoré nie je možné zaradiť pod výnimku. Touto výnimkou sú prípady keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.

Pojem „riziko pre práva a slobody fyzických osôb“ je veľmi všeobecný a bude potrebný jeho upresňujúci výklad, či už zo strany súdov, dozorných orgánov a Európskeho výboru pre ochranu údajov. Každopádne je možné vykonať určité prvotné generalizácie.

V prvom rade GDPR nerozlišuje medzi tým, akých osobných údajov sa porušenie týka. To znamená, že riziko pre práva a slobody fyzických osôb nenastane len v prípade zásahu do osobitných kategórií osobných údajov (údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, biometrické údaje, atď.) alebo iných „citlivých“ osobných údajov. Riziko pre práva a slobody fyzických osôb sa rovnako vzťahuje napr. aj na únik údajov týkajúcich sa nákupných preferencií dotknutých osôb alebo iných údajov, ktoré fyzické osoby nepovažujú za „citlivé“.

Ďalej je potrebné poznamenať, že k riziku pre práva a slobody fyzických osôb by za štandardných okolností nemalo dôjsť v nasledovných prípadoch:

(i)      ak sú „uniknuté“ osobné údaje pseudonymizované alebo šifrované a neoprávnené osoby, ktoré získajú k takýmto údajom prístup, ich nevedia priradiť ku konkrétnym fyzickým osobám;

(ii)       zničené alebo zmenené osobné údaje sú zálohované a je ich možné z tejto zálohy obnoviť.

Je teda vhodné odporučiť (pre prípady, keď je to možné a efektívne) osobné údaje pseudonymizovať, šifrovať a zálohovať. Týmto spôsobom je možné zamedziť riziku pre práva a slobody fyzických osôb a tým pádom aj potrebe notifikácie dozorným orgánom.

4.      Dokedy je potrebné realizovať notifikáciu dozornému orgánu?

V zmysle príslušnej úpravy GDPR musí byť notifikácia porušenia ochrany osobných údajov realizovaná bez zbytočného odkladu potom, ako sa prevádzkovateľ o porušení dozvedel. GDPR uvádza aj maximálnu lehotu, a to najneskôr do 72 hodín potom, ako sa prevádzkovateľ dozvedel o porušení. Ak dôjde k omeškaniu, je potrebné ho zdôvodniť.

V prípade potreby je možné notifikáciu vykonať aj postupne, t.j. po jednotlivých etapách.

5.      Aké informácie je potrebné dozornému orgánu notifikovať?

Minimálny rozsah notifikovaných informácií zahŕňa:

(i)               údaje týkajúce sa povahy samotného porušenia, vrátane kategórií a počtu dotknutých osôb a dotknutých záznamov;

(ii)             kontaktné údaje, na ktorých možno získať ďalšie informácie;

(iii)           opis následkov porušenia a

(iv)            opis opatrení na zmiernenie dôsledkov porušenia.

6.      Aké sú ďalšie povinnosti spojené s porušením ochrany osobných údajov?

Každé porušenie ochrany osobných údajov nemusí mať za následok notifikáciu dozornému orgánu (viď výnimka spomenutá vyššie). Pri každom porušení je však prevádzkovateľ povinný toto porušenie zdokumentovať, a to vrátane jeho následkov a prijatých opatrení na nápravu?

7.      Možné sankcie v prípade neoznámenia porušenia

V prípade, ak prevádzkovateľ neoznámi porušenie ochrany osobných údajov (alebo poruší iné povinnosti spojené s notifikáciou), hrozí mu pokuta až do výšky 10.000.000 EUR resp. 2% globálneho ročného obratu za minulý rok (podľa toho, ktorá suma je vyššia).

Je však potrebné poznamenať, že napriek tomu, že horná hranica výšky pokuty pôsobí pomerne odstrašujúcu, konkrétna výška pokuty závisí od špecifických podmienok porušenia a vo väčšine prípadov sa pokuta nebude pohybovať v okolí tejto hornej hranice.

Tento článok slúži len ako všeobecná informácia a nenahrádza právne poradenstvo v konkrétnej veci.