Jaké povinnosti má správce osobních údajů k jejich řádnému zabezpečení? Co když dojde k porušení zabezpečení?
Z nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, obecné nařízení o ochraně osobních údajů, tzv. GDPR plyne povinnost pro správce osobních údajů tyto řádně zabezpečit. Smyslem zabezpečení osobních údajů je primárně ochrana před neoprávněnými operacemi s daty. Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením.
To, jaká opatření správce musí přijmout, záleží na posouzení rizika, které dané zpracování představuje, na stavu techniky a na nákladech na zavedení jednotlivých opatření.
Možné prvky bezpečnostních opatření:
- fyzické zabezpečení dat prostřednictvím datových center,
- síťová zabezpečení přenosu dat,
- pojištění dat,
- zálohování veškerých dat a souborů,
- monitoring dat,
- minimalizace osob majících přístup.
Nařízení GDPR uvádí i možnost zabezpečení prostřednictvím pseudonymizace a šifrování osobních údajů.
Pseudonymizace osobních údajů znamená, že osobní údaje jsou zpracovány tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací. Dodatečné informace musí být uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.
Šifrování dat je proces, kterým se nezabezpečená data převádí za pomoci kryptografie na data šifrovaná, čitelná pouze pro majitele dešifrovacího klíče. Šifrování dat slouží k jejich ochraně proti nežádoucímu zjištění třetí osobou.
Pseudonymizaci či šifrování osobních údajů je nutné použít pouze v odůvodněných případech, kdy tyto prostředky mají opodstatnění. NENÍ TO POVINNÉ, JAK SI MYLNĚ NĚKTEŘÍ MYSLÍ! Nařízení tuto povinnost nezakládá, pouze ji uvádí jako možnost zabezpečení osobních údajů.
Porušení zabezpečení osobních údajů – kdy k němu dochází?
Jde o jednání, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Povinnost správce při porušení zabezpečení:
A) OHLÁŠENÍ ÚŘADU
Správce osobních údajů má povinnost ohlásit příslušnému dozorovému úřadu, tj. Úřadu pro ochranu osobních údajů, tzv. případy porušení zabezpečení osobních údajů. Tuto povinnost nemá vždy, musí prvně vyhodnotit situaci, a pokud zjistí, že existuje vysoké riziko zásahu do práv a svobod fyzických osob, je povinnost ohlášení dána. Bagatelní záležitosti, které jsou nerizikové nemusí správce hlásit.
Správce musí porušení ohlásit bez zbytečného odkladu nejpozději však do 72 hodin od doby, kdy se o porušení dozvěděl.
B) OHLÁŠENÍ SUBJEKTU ÚDAJŮ
V případě vysokého rizika pro samotné subjekty údajů, má správce povinnost oznámit porušení údajů jim samotným.
Správce by měl subjektu poskytnout následující informace:
- popis povahy porušení,
- kontaktní údaje pověřence správce, byl-li pověřen,
- popis pravděpodobných důsledků porušení,
- popis přijatých bezpečnostních a technických opatření.
Oznamovat porušení správce nemusí, pokud:
- zajistil náležitá bezpečnostní a technická opatření,
- správce ihned po incidentu přijal taková opatření, že je vysoce nepravděpodobné, že se riziko ohrožení práv a svobod jednotlivce projeví,
- kontaktovat jednotlivce by vyžadovalo nadměrné úsilí.
C) DOKUMENTACE
O každém porušení musí správce vést dokumentaci, a to bez ohledu na to, zda bylo ohlášeno. Kromě dalšího je třeba uchovávat informace jako příčiny, popis, co se stalo a jaké osobní údaje byly dotčeny, důsledky porušení a především správcem přijatá nápravná opatření.
Kritéria pro určení míry rizika porušení
Kategorie osobních údajů
Je důležité určit kategorii údajů, které byly porušením získány. Vyšší riziko budou představovat například údaje ze zdravotní dokumentace pacientů či únik údajů, které umožní vstup na internetové bankovnictví konkrétních subjektů.
Počet dotčených subjektů
Počet je též důležitým kritériem. Je logické, že čím více subjektů je dotčeno, tím vyšší riziko porušení představuje.
Způsob narušení údajů
Důležitou roli hraje také to, zda došlo k narušení osobních údajů nedbalostně či úmyslně. Je logické, že v případě úmyslného útoku proti osobním údajům je riziko vyšší.