Úřad pro ochranu osobních údajů zveřejnil neoficiální překlad vodítek pracovní skupiny WP29 pro ohlašování případů porušení zabezpečení osobních údajů. Vzhledem k tomu, že se jedná o vodítka s největšími dopady na správce a zpracování osobních údajů, připravili jsme pro Vás rozbor toho nejpodstatnějšího a přidáváme naše komentáře.
Povinnost hlásit incidenty pro všechny správce a zpracovatele
Obecné nařízení vytváří z ohlašování incidentů povinnost pro všechny správce, ledaže je nepravděpodobné, že by incident měl za následek riziko pro práva a svobody fyzických osob. Tuto povinnost mají i zpracovatelé, kteří musí jakékoliv porušení nahlásit svému správci. Správci a zpracovatelé by proto měli s předstihem plánovat a zavést postupy umožňující odhalit a bezodkladně zvládnout případ porušení - incident a posoudit riziko pro jednotlivce.
Komentář: Aby byl správce nebo zpracovatel schopen ohlašovat vzniklý incident, musí být vůbec schopen vyhodnotit, že došlo k nějaké události, která by mohla být incidentem. Takovou událost by měl také umět vyhodnocovat zda o incident skutečně jde nebo ne (podle zvolených metrik) a teprve pak může takový incident ohlásit. Z tohoto požadavku je patrné, že se chce od všech správců obdobný přístup řízení rizik jako je například definován Zákonem č. 181/2014 Sb. o kybernetické bezpečnosti (ZKB) - tedy přístup vycházející z managementu bezpečnosti informací dle ISO27001.
Správce a zpracovatel tedy musí udělat Analýzu rizik a musí zavést Systém řízení rizik, protože jinak jednoduše nemá co by úřadu hlásil.
Možné důsledky neohlášení incidentu - pokuta
Proces ohlášení dozorovému úřadu by měl být obsažen v plánu reakce na mimořádnou událost - incident. Jakýkoli plán reakce na porušení - incident by měl být zamřen na ochranu jednotlivců a jejich osobních údajů. Ohlašování případů porušení - incidentů by tedy mělo být vnímáno jako nástroj k posílení souladu ve vztahu k ochraně osobních údajů. Současně je třeba zmínit, že neoznámení případu porušení - incidentu, ať už jednotlivci nebo dozorovému úřadu, může podle článku 83 znamenat pro správce udělení pokuty.
Komentář: Pokud správce a zpracovatel neprovedou Analýzu rizik a nezavedou Systém řízení rizik, vystavují se v případě vniku incidentu riziku pokuty od orgánu dohledu.
Co je porušení zabezpečení osobních údajů - tedy incident?
"porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údaj "
Typy porušení zabezpečení osobních údajů:
- porušení důvěrnosti
- porušení dostupnosti
- porušení integrity
Komentář: Jedná se o výchozí metriky posuzování rizik v rámci ZKB nebo ISO27001.
Odpovědnost a vedení záznamů - nutná podmínka prokázání souladu
Ať už porušení je nebo není třeba ohlásit dozorovému úřadu, musí správce vést dokumentaci o veškerých případech, jak vysvětluje článek 33 , odst. 5:
"Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem."
Je zde vazba na zásadu odpovědnosti podle Obecného nařízení, článek 5, odst. 2. Správci jsou tak pobízeni k založení vnitřního registru případů porušení - událostí, bez ohledu na to, zda musí být ohlášeny.
Je třeba poznamenat, že nesplnění povinnosti řádně porušení - událost dokumentovat, může přivést dozorový úřad k uplatnění svých pravomocí podle článku 58 anebo uložit správní pokutu v souladu s článkem 83.
Komentář: Správce a zpracovatel musí evidovat všechny události s vlivem na zabezpečení osobních údajů. Správce a zpracovatel nemohou prokázat soulad s Obecným nařízením bez funkčního Systému řízení rizik.
Pověřenec - klíčový člověk správce a zpracovatele
Správce nebo zpracovatel budou mít pověřence pro ochranu osobních údajů (dále jen „pověřenec“), buď podle požadavku článku 37, nebo dobrovolně jako prvek osvědčené praxe. Článek 39 Obecného nařízení stanovuje pověřenci řadu povinných úkolů, nebrání však správci, aby případně uložil úkoly další.
V souvislosti s ohlašováním případů porušení je zvláště důležitý úkol spolupracovat s dozorovými úřady a působení jako kontaktní místo pro dozorový úřad a subjekty údajů. Dále je třeba poznamenat, že při ohlašování případu porušení zabezpečení dozorovému úřadu musí správce, podle článku 33 , odst. 3, písm. b) uvést jméno a kontaktní údaje svého pověřence nebo jiného kontaktního místa. Tyto skutečnosti znamenají, že pověřenec by měl hrát důležitou roli při ohlašování incidentu i během následného šetření dozorovým úřadem.
Komentář: Výběr vhodné osoby Pověřence je pro správce a zpracovatele klíčový. Pověřenec, by měl znát organizaci, mít odpovídající znalosti a odbornou zdatnost a měl by být ke správci a zpracovateli zcela loajální.
- Neoficiální překlad materiálu na stránkách ÚOOÚ naleznete zde.
Přiložené soubory