Ohlášení porušení zabezpečení osobních údajů (data breach)

Hlavní informace

Úřad pro ochranu osobních údajů (dále jen ÚOOÚ) posoudí vaše ohlášení porušení zabezpečení osobních údajů z hlediska obsahových i formálních náležitostí

Typickým příkladem je kybernetický útok na počítačovou síť, ve které jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. 

Může jít také např. o ztrátu listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace).

V případě neúplných informací vás ÚOOÚ vyzve k doplnění ohlášení. 

Poté zhodnotí, zda byla přijata adekvátní opatření před vznikem předmětného proušení zabezpečení a posoudí též následně přijatá opatření k minimalizaci škodlivých následků.

Týká se vás to pokud

Jste správcem osobních údajů a došlo k porušení zabezpečení osobních údajů, které může mít za následek riziko pro práva a svobody fyzických osob.

Kdy službu řešit

Porušení zabezpečení osobních údajů ohlašujete bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvíte. 

Pokud není ohlášení učiněno do 72 hodin, musíte současně s ním uvést důvody tohoto zpoždění.

Vyřízení služby

Co potřebujete pokud službu řešíte

K podání ohlášení je vhodné využít formulář dostupný na webových stránkách ÚOOÚ. Ohlášení lze sepsat též volnou formou.

Ohlášení musí přinejmenším obsahovat:

  • popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn.: zejména ve vztahu vůči subjektům údajů),
  • popis opatření, která jste přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. 
Před samotným ohlášením ÚOOÚ doporučuje správci osobních údajů seznámit se s Pokyny k ohlašování případů porušení zabezpečení osobních údajů podle nařízení (EU) 2016/679 pracovní skupiny WP29 (současného Evropského sboru pro ochranu osobních údajů) a s Pokyny č. 01/2021 k příkladům týkajícím se ohlašování porušení zabezpečení osobních údajů.

Kde a jak službu řešit

Ohlášení můžete zaslat poštou nebo doručit osobně na adresu:

Úřad pro ochranu osobních údajů

Kolik budete platit

None

Doplňující informace

Jaký má služba benefit

  1. V důsledku ohlášení porušení zabezpečení osobních údajů je realizována ochrana práv fyzických osob dle obecného nařízení o ochraně osobních údajů. 
  2. Dochází ke zvýšení povědomí správců osobních údajů o povinnostech v souvislosti se zabezpečením osobních údajů. 
  3. Správce si ujasní, k jakému bezpečnostnímu incidentu konkrétně došlo, co bylo jeho příčinou, jakým způsobem se dotkl subjektů údajů a jaká organizační a technická opatření je nutné přijmout, aby se obdobný incident neopakoval.

Možnosti odvolání

None

Legislativa

Sankce

None

Časté dotazy

Kde je možné nalézt další informace k porušení zabezpečení osobních údajů?

Informace k problematice porušení zabezpečení osobních údajů můžete nalézt na webu ÚOOÚ v sekci Porušení zabezpečení osobních údajů.