Vysvětlivky: GDPR - Nová právní úprava v podobě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), která nabývá účinnosti dne 25. 5. 2018. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“, přináší několik nových povinností, mezi něž patří ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu uvedené v článku 33.
Porušení zabezpečení osobních údajů podle GDPR
Vydáno:
14 minut čtení
Porušení zabezpečení osobních údajů podle GDPR
JUDr.
Eva
Janečková
Porušení zabezpečení
Z Nařízení tedy vyplývá nejen nutnost osobní údaje dostatečným způsobem zabezpečit, ale také nutnost zavést systém, který umožní detekci porušení zabezpečení jeho evidenci a který umožní i vyhodnocení a případné nahlášení v souladu s Nařízením.
Porušením zabezpečení je podle článku 4 odst. 12 Nařízení takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Porušení zahrnuje tři kategorie:
–
„Porušení důvěrnosti“ – v případě neoprávněného nebo náhodného poskytnutí nebo zpřístupnění osobních údajů.
–
„Porušení dostupnosti“ – v případě náhodné nebo neoprávněné ztráty přístupu nebo zničení osobních údajů.
–
„Porušení integrity“ – v případě neoprávněného nebo náhodného pozměnění osobních údajů.1)
V případě, že dojde k porušení zabezpečení, tedy k některému z výše uvedených stavů, a správce se o tom dozví, měl by se snažit případně nejen zvládnout a vyřešit, ale také vyhodnotit a zařadit do jedné z kategorií podle výše rizika:
–
porušení nepředstavující riziko,
–
porušení představující riziko,
–
porušení představující vysoké riziko.
Kritéria pro posouzení výše rizika
Základní kritéria pro posouzení výše rizika uvádí recitály 75 a 76 Nařízení. Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.
Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.
Vodítka WP 29
Přesnější kritéria pak stanovila WP 29 ve Vodítcích k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679, které byly schváleny dne 3. 10. 2017. V nich WP 29 uvádí, že při posuzování výše rizika by správce měl vzít v úvahu:
–
Typ porušení
Typ nastalého porušení může ovlivnit úroveň rizika pro jednotlivce. Například porušení důvěrnosti, kdy došlo ke zpřístupnění lékařských informací neoprávněným osobám, může pro jednotlivce mít jiné důsledky, než by mělo porušení spočívající v jejich ztrátě, kdy data už nejsou k dispozici vůbec.
–
Povaha, citlivost a objem osobních údajů
Při posuzování rizika je klíčovým faktorem druh a citlivost osobních údajů, které byly porušením ohroženy. Obvykle platí, že čím citlivější data, tím vyšší riziko pro dotčené lidi, avšak v úvahu by bylo dobré vzít také ostatní osobní údaje, které už o subjektu údajů jsou dostupné. Například je nepravděpodobné, že za běžných okolností může zpřístupnění jména a adresy jednotlivce způsobit podstatnou škodu. Pokud však dojde ke zpřístupnění jména a adresy adoptivního rodiče biologickému rodiči, mohou být následky pro adoptivního rodiče i dítě velmi závažné.
Některé druhy osobních údajů mohou zpočátku vypadat docela nevinně, přesto však by mělo být pečlivě zváženo, co tato data mohou o dotyčném jednotlivci vypovědět.
–
Snadnost identifikace jednotlivců
Podstatné pro zhodnocení je, jak snadné bude pro někoho s přístupem k napadeným osobním údajům identifikovat konkrétního jedince nebo propojit tyto údaje s dalšími informacemi za účelem jeho ztotožnění. Podle okolností by identifikace jednotlivce mohla být možná přímo z narušených osobních dat, bez nutnosti zvláštního zkoumání, nebo by přiřazení osobních údajů ke konkrétnímu jedinci mohlo být značně náročné, ale přesto by to však za jistých podmínek bylo možné. Identifikace na základě uniklých dat může být přímo nebo nepřímo možná, může však záležet na konkrétních souvislostech případu a na veřejné dostupnosti souvisejících osobních dat. Může to platit zejména pro případy porušení důvěrnosti a dostupnosti.
–
Závažnost důsledků pro jednotlivce
V závislosti na povaze porušení dotčených osobních údajů, například u zvláštní kategorie dat, může být potenciální škoda pro jednotlivce zvláště závažná, zejména pokud by porušení mohlo vést ke krádeži totožnosti nebo podvodu, tělesné újmě, psychické nepohodě, potupě nebo poškození pověsti. Dotýká-li se porušení osobních údajů zranitelných jednotlivců, může to pro ně představovat vyšší riziko újmy. Zvážit by bylo potřeba i trvání důsledků pro jednotlivce, kdy v případě dlouhodobých účinků může být dopad větší.
–
Zvláštní charakteristiky jednotlivce
Porušení může postihnout osobní údaje týkající se dětí nebo dalších zranitelných jednotlivců, kteří tak mohou být vystaveni vyššímu riziku nebezpečí. Mohou existovat i další faktory související s jednotlivcem, které mohou ovlivnit úroveň dopadu porušení.
–
Počet dotčených jednotlivců
Porušení může postihnout jen jednoho nebo několik jednotlivců anebo také několik tisíc, ne-li více. Obecně řečeno, čím vyšší počet dotčených jednotlivců, tím větší dopad porušení může mít. Porušení však může mít závažný dopad i jen na jednoho člověka, podle povahy ohrožených osobních údajů a souvislostí, za kterých se tak stalo.
–
Zvláštní charakteristiky správce
Povaha a role správce a jeho činnosti mohou ovlivňovat výši rizika, které jednotlivcům hrozí následkem porušení. Například zpracování zvláštních kategorií osobních údajů ve zdravotnickém zařízení bude ve srovnání s distribučním seznamem nějakých novin představovat větší ohrožení pro jednotlivce v případě porušení zabezpečení jeho osobních údajů.
–
Obecné skutečnosti
Při posuzování pravděpodobného rizika následkem porušení by měl správce vzít v potaz kombinaci závažnosti možného dopadu do práv a svobod jednotlivců a pravděpodobnost, že se tak vůbec stane. Je jasné, že jsou-li důsledky porušení závažnější, je i riziko vyšší a podobně, kde je pravděpodobnost události vyšší, je také riziko zvýšené. V případě pochybností by správce měl upřednostnit opatrnost a případ ohlásit.2)
Po provedení vyhodnocení je třeba podniknout další kroky.
Porušení dle míry rizika
–
Nerizikové porušení
Pokud správce dojde k závěru, že je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, není nutné porušení hlásit, nicméně je nutné jej zaznamenat.
V praxi obecních úřadů mezi neriziková porušení bude obvykle náležet zapomenuté přístupové heslo sdílení účtů mezi uživateli, porušení důvěrnosti například prozrazením informací dalším zaměstnancům úřadu.
–
Porušení představující riziko
Představuje-li porušení zabezpečení osobních údajů riziko, stanoví článek 33 Nařízení povinnost ohlásit tato porušení dozorovému úřadu, a to do 72 hodin od okamžiku, kdy se o něm dozvěděl. Podle názoru WP 29 je nutné za počáteční okamžik, od něhož se začne počítat 72 hodin, považovat okamžik, kdy správce získá dostatečný stupeň jistoty, že došlo k bezpečnostnímu incidentu vedoucímu k ohrožení osobních údajů. Bude to záviset na okolnostech konkrétního porušení. V některých případech bude hned zkraje poměrně jasné, že došlo k porušení, zatímco jindy může trvat nějaký čas, než se zjistí, že osobní data jsou ohrožena.
Správce samozřejmě může průběžně provádět šetření, nicméně základní šetření by mělo být provedeno co nejrychleji.
Je na odpovědnosti správce a zpracovatele zavést vhodná opatření umožňující předcházet případem porušení, reagovat na ně a řešit je a zde je několik praktických kroků, které by měli v každém případě učinit:
-
Informace o všech s bezpečností souvisejících událostech by měly být směrovány na odpovědnou osobu nebo osoby pověřené řešením incidentů, zjišťováním výskytu porušení a posuzováním rizika.
-
Mělo by být posouzeno riziko, které má porušení za následek pro jednotlivce (pravděpodobnost nulového rizika, rizika nebo vysokého rizika), a měly by o tom být informovány příslušné útvary v organizaci.
-
Ohlášení případu dozorovému úřadu a případně informování dotčených jednotlivců by mělo být provedeno, je-li vyžadováno.
-
Správce by současně měl podniknout kroky ke zvládnutí případu porušení a odstranění jeho následků.3)
Bude-li šetření porušení zabezpečení trvat delší dobu, je možné postupné ohlašování. Článek 33 odst. 4 Nařízení říká, že není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. V první fázi správce ohlásí vznik porušení a dodatečné informace poskytne až následně.
Pokud není možné oznámení učinit do 72 hodin, je přípustné učinit opožděné ohlášení. Podle okolností může správci nějaký čas trvat, než zjistí rozsah těchto porušení, a než aby ohlašoval každý případ jednotlivě, správce raději připraví smysluplné ohlášení reprezentující několik velmi podobných porušení s potenciálně růz-nými příčinami. Tento přístup může zpozdit ohlášení dozorovému úřadu za hranici 72 hodin od okamžiku, kdy se správce poprvé o těchto případech dozvěděl.
Takovýto postup by však měl být mimořádný a musí být odůvodněný.
V praxi obecních úřadů mezi riziková porušení bude obvykle náležet delší nefunkčnost systému (nedostupnost údajů),
modifikace
údajů většího rozsahu, v případě úmyslné modifikace
i modifikace
menšího rozsahu.–
Porušení představující vysoké riziko
Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu nejen dozorovému úřadu, ale také subjektu údajů. Primárně by k oznamování měly být užívány samostatné zprávy a neměly by je doprovázet další informace, jako pravidelné aktualizace, newslettery nebo standardní sdělení. Oznámení porušení tak bude jasné a transparentní.
WP 29 uvádí, že způsoby transparentní komunikace zahrnují přímé textování (například e-mail, SMS, přímá zpráva), výrazné bannery nebo oznámení na webových stránkách, komunikace poštou a nápadné reklamy v tištěných médiích. Oznámení skryté v tiskové zprávě nebo na korporátním blogu nepředstavují účinné prostředky oznámení případu jednotlivci. Správci by se také případně měli postarat, aby oznámení bylo k dispozici ve vhodných alternativních formátech a relevantních jazycích, aby jednotlivci poskytované informaci rozuměli.
Vzhledem k tomu, že v některých případech se oznamování bude týkat velkého počtu subjektů údajů, nabízí článek 34 odst. 3 písm. c) Nařízení, pokud by oznámení vyžadovalo nepřiměřené úsilí, možnost informovat subjekty údajů stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
Ať už je porušení zabezpečení vyhodnoceno jakkoli, je nutné respektovat článek 33 odst. 5 Nařízení, podle něhož správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, tedy i ty, které byly vyhodnoceny jako nerizikové; přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem, což odpovídá zásadě odpovědnosti správce.
Postup v rámci obecních úřadů
V praxi obecních úřadů mezi vysoce riziková porušení bude obvykle náležet fyzické zničení údajů, úmyslná
modifikace
většího rozsahu, prozrazení autentizačních údajů osobám, které nejsou uživateli informačního systému.Postup v rámci obecních úřadů by měl tedy vypadat následovně:
1.
Zaměstnanec v případě zjištění porušení zabezpečení osobních údajů informuje nadřízeného, který následně informuje pověřence pro ochranu osobních údajů.
2.
Pověřenec pro ochranu osobních údajů:
a)
vyhodnotí základní informace o narušení a
b)
rozhodne o klasifikaci narušení.
3.
Pokud bude situace vyhodnocena jako bezpečnostní událost, pověřenec pro ochranu osobních údajů posoudí, zda se jedná o událost nahodilou nebo opakovanou a navrhne nápravná opatření.
4.
Pověřenec pro ochranu osobních údajů společně s tajemníkem úřadu přijme rozhodnutí o povinnosti ohlášení události dozorovému úřadu a v případě vyhodnocení:
a)
rizika – provede ohlášení dozorovému úřadu,
b)
vysokého rizika – provede ohlášení dozorovému úřadu a oznámení subjektům údajů.
5.
Pověřenec pro ochranu osobních údajů společně s dalšími odpovědnými zaměstnanci vypracuje návrh kroků ke snížení dopadů na práva subjektů údajů.
6.
Pověřenec pro ochranu osobních údajů zpracuje dokumentaci týkající se porušení zabezpečení osobních údajů. Dokumentace musí obsahovat:
a)
veškeré skutečnosti, které se týkají příslušného porušení, včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů,
b)
jméno a kontaktní údaje pověřence pro ochranu osobních údajů,
c)
pravděpodobné dopady, důsledky porušení, a
d)
přijatá nápravná opatření, včetně opatření ke zmírnění následků porušení.
1) Stanovisku WP 29 č. 03/2014 k ohlašování případů porušení zabezpečení osobních dat.
2) Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení, schválené dne 3. 10. 2017, viz https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=29171.
3) Tamtéž.