Porušení zabezpečení osobních údajů podle GDPR

Z Nařízení tedy vyplývá nejen nutnost osobní údaje dostatečným způsobem zabezpečit, ale také nutnost zavést systém, který umožní detekci porušení zabezpečení jeho evidenci a který umožní i vyhodnocení a případné nahlášení v souladu s Nařízením.

Porušením zabezpečení je podle článku 4 odst. 12 Nařízení takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Porušení zahrnuje tři kategorie:

V případě, že dojde k porušení zabezpečení, tedy k některému z výše uvedených stavů, a správce se o tom dozví, měl by se snažit případně nejen zvládnout a vyřešit, ale také vyhodnotit a zařadit do jedné z kategorií podle výše rizika:

Základní kritéria pro posouzení výše rizika uvádí recitály 75 a 76 Nařízení. Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

Přesnější kritéria pak stanovila WP 29 ve Vodítcích k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679, které byly schváleny dne 3. 10. 2017. V nich WP 29 uvádí, že při posuzování výše rizika by správce měl vzít v úvahu:

Typ nastalého porušení může ovlivnit úroveň rizika pro jednotlivce. Například porušení důvěrnosti, kdy došlo ke zpřístupnění lékařských informací neoprávněným osobám, může pro jednotlivce mít jiné důsledky, než by mělo porušení spočívající v jejich ztrátě, kdy data už nejsou k dispozici vůbec.

Při posuzování rizika je klíčovým faktorem druh a citlivost osobních údajů, které byly porušením ohroženy. Obvykle platí, že čím citlivější data, tím vyšší riziko pro dotčené lidi, avšak v úvahu by bylo dobré vzít také ostatní osobní údaje, které už o subjektu údajů jsou dostupné. Například je nepravděpodobné, že za běžných okolností může zpřístupnění jména a adresy jednotlivce způsobit podstatnou škodu. Pokud však dojde ke zpřístupnění jména a adresy adoptivního rodiče biologickému rodiči, mohou být následky pro adoptivního rodiče i dítě velmi závažné.

Některé druhy osobních údajů mohou zpočátku vypadat docela nevinně, přesto však by mělo být pečlivě zváženo, co tato data mohou o dotyčném jednotlivci vypovědět.

Podstatné pro zhodnocení je, jak snadné bude pro někoho s přístupem k napadeným osobním údajům identifikovat konkrétního jedince nebo propojit tyto údaje s dalšími informacemi za účelem jeho ztotožnění. Podle okolností by identifikace jednotlivce mohla být možná přímo z narušených osobních dat, bez nutnosti zvláštního zkoumání, nebo by přiřazení osobních údajů ke konkrétnímu jedinci mohlo být značně náročné, ale přesto by to však za jistých podmínek bylo možné. Identifikace na základě uniklých dat může být přímo nebo nepřímo možná, může však záležet na konkrétních souvislostech případu a na veřejné dostupnosti souvisejících osobních dat. Může to platit zejména pro případy porušení důvěrnosti a dostupnosti.

V závislosti na povaze porušení dotčených osobních údajů, například u zvláštní kategorie dat, může být potenciální škoda pro jednotlivce zvláště závažná, zejména pokud by porušení mohlo vést ke krádeži totožnosti nebo podvodu, tělesné újmě, psychické nepohodě, potupě nebo poškození pověsti. Dotýká-li se porušení osobních údajů zranitelných jednotlivců, může to pro ně představovat vyšší riziko újmy. Zvážit by bylo potřeba i trvání důsledků pro jednotlivce, kdy v případě dlouhodobých účinků může být dopad větší.

Porušení může postihnout osobní údaje týkající se dětí nebo dalších zranitelných jednotlivců, kteří tak mohou být vystaveni vyššímu riziku nebezpečí. Mohou existovat i další faktory související s jednotlivcem, které mohou ovlivnit úroveň dopadu porušení.

Porušení může postihnout jen jednoho nebo několik jednotlivců anebo také několik tisíc, ne-li více. Obecně řečeno, čím vyšší počet dotčených jednotlivců, tím větší dopad porušení může mít. Porušení však může mít závažný dopad i jen na jednoho člověka, podle povahy ohrožených osobních údajů a souvislostí, za kterých se tak stalo.

Povaha a role správce a jeho činnosti mohou ovlivňovat výši rizika, které jednotlivcům hrozí následkem porušení. Například zpracování zvláštních kategorií osobních údajů ve zdravotnickém zařízení bude ve srovnání s distribučním seznamem nějakých novin představovat větší ohrožení pro jednotlivce v případě porušení zabezpečení jeho osobních údajů.

Při posuzování pravděpodobného rizika následkem porušení by měl správce vzít v potaz kombinaci závažnosti možného dopadu do práv a svobod jednotlivců a pravděpodobnost, že se tak vůbec stane. Je jasné, že jsou-li důsledky porušení závažnější, je i riziko vyšší a podobně, kde je pravděpodobnost události vyšší, je také riziko zvýšené. V případě pochybností by správce měl upřednostnit opatrnost a případ ohlásit.²⁾

Po provedení vyhodnocení je třeba podniknout další kroky.

Pokud správce dojde k závěru, že je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, není nutné porušení hlásit, nicméně je nutné jej zaznamenat.

V praxi obecních úřadů mezi neriziková porušení bude obvykle náležet zapomenuté přístupové heslo sdílení účtů mezi uživateli, porušení důvěrnosti například prozrazením informací dalším zaměstnancům úřadu.

Představuje-li porušení zabezpečení osobních údajů riziko, stanoví článek 33 Nařízení povinnost ohlásit tato porušení dozorovému úřadu, a to do 72 hodin od okamžiku, kdy se o něm dozvěděl. Podle názoru WP 29 je nutné za počáteční okamžik, od něhož se začne počítat 72 hodin, považovat okamžik, kdy správce získá dostatečný stupeň jistoty, že došlo k bezpečnostnímu incidentu vedoucímu k ohrožení osobních údajů. Bude to záviset na okolnostech konkrétního porušení. V některých případech bude hned zkraje poměrně jasné, že došlo k porušení, zatímco jindy může trvat nějaký čas, než se zjistí, že osobní data jsou ohrožena.

Správce samozřejmě může průběžně provádět šetření, nicméně základní šetření by mělo být provedeno co nejrychleji.

Je na odpovědnosti správce a zpracovatele zavést vhodná opatření umožňující předcházet případem porušení, reagovat na ně a řešit je a zde je několik praktických kroků, které by měli v každém případě učinit:

Bude-li šetření porušení zabezpečení trvat delší dobu, je možné postupné ohlašování. Článek 33 odst. 4 Nařízení říká, že není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. V první fázi správce ohlásí vznik porušení a dodatečné informace poskytne až následně.

Pokud není možné oznámení učinit do 72 hodin, je přípustné učinit opožděné ohlášení. Podle okolností může správci nějaký čas trvat, než zjistí rozsah těchto porušení, a než aby ohlašoval každý případ jednotlivě, správce raději připraví smysluplné ohlášení reprezentující několik velmi podobných porušení s potenciálně růz-nými příčinami. Tento přístup může zpozdit ohlášení dozorovému úřadu za hranici 72 hodin od okamžiku, kdy se správce poprvé o těchto případech dozvěděl.

Takovýto postup by však měl být mimořádný a musí být odůvodněný.

V praxi obecních úřadů mezi riziková porušení bude obvykle náležet delší nefunkčnost systému (nedostupnost údajů), údajů většího rozsahu, v případě úmyslné i menšího rozsahu.

Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu nejen dozorovému úřadu, ale také subjektu údajů. Primárně by k oznamování měly být užívány samostatné zprávy a neměly by je doprovázet další informace, jako pravidelné aktualizace, newslettery nebo standardní sdělení. Oznámení porušení tak bude jasné a transparentní.

WP 29 uvádí, že způsoby transparentní komunikace zahrnují přímé textování (například e-mail, SMS, přímá zpráva), výrazné bannery nebo oznámení na webových stránkách, komunikace poštou a nápadné reklamy v tištěných médiích. Oznámení skryté v tiskové zprávě nebo na korporátním blogu nepředstavují účinné prostředky oznámení případu jednotlivci. Správci by se také případně měli postarat, aby oznámení bylo k dispozici ve vhodných alternativních formátech a relevantních jazycích, aby jednotlivci poskytované informaci rozuměli.

Vzhledem k tomu, že v některých případech se oznamování bude týkat velkého počtu subjektů údajů, nabízí článek 34 odst. 3 písm. c) Nařízení, pokud by oznámení vyžadovalo nepřiměřené úsilí, možnost informovat subjekty údajů stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Ať už je porušení zabezpečení vyhodnoceno jakkoli, je nutné respektovat článek 33 odst. 5 Nařízení, podle něhož správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, tedy i ty, které byly vyhodnoceny jako nerizikové; přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem, což odpovídá zásadě odpovědnosti správce.

V praxi obecních úřadů mezi vysoce riziková porušení bude obvykle náležet fyzické zničení údajů, úmyslná většího rozsahu, prozrazení autentizačních údajů osobám, které nejsou uživateli informačního systému.

Postup v rámci obecních úřadů by měl tedy vypadat následovně: