Otázka: Keď sa niečo stane a dôjde k bezpečnostnému incidentu, ako ho máme vyhodnotiť? Ako zistíme, že incident je alebo nie je potrebné oznamovať Úradu na ochranu osobných údajov?
Odpoveď: Všeobecné nariadenie o ochrane údajov sa porušeniam a povinnosti oznámenia venuje v čl. 33 a 34. V skratke by sme ich mohli zhrnúť takto:
- ak nie je pravdepodobné, že porušenie povedie k riziku pre DO (dotknuté osoby) – potom ho prevádzkovateľ len interne zdokumentuje (teda vypracuje si záznam, ktorý si založí k povinnej GDPR dokumentácii),
- ak je pravdepodobné, že porušenie povedie k riziku pre DO – prevádzkovateľ ho oznámi úradu, a to do 72 hodín
- a ak je pravdepodobné, že porušenie povedie k vysokému riziku pre DO – prevádzkovateľ ho povinne oznámi dotknutým osobám a úradu
Dôležité teda je určiť či je pravdepodobná existencia rizika pre dotknuté osoba a ak áno, či je toto riziko vysoké.
Nám sa v praxi osvedčuje spôsob, keď každé porušenie ochrany osobných údajov vyhodnotíme samostatne, pričom použijeme postupy z týchto dvoch zdrojov:
- dokument usmernenie 01/2021 Európskeho výboru pre ochranu údajov (EDPB), ktoré obsahuje príklady porušení ochrany osobných údajov a
- dokument odporúčania pre metodiku posudzovania závažnosti porušenia ochrany osobných údajov od Agentúry Európskej únie pre bezpečnosť sietí a informácií (ENISA).
Prvý dokument obsahuje príklady rôznych porušení. Ich hodnotenie prebieha na základe narušenia …
Tento článok si môžete prečítať celý po prihlásení
Prihláste sa, alebo si objednajte prístup. Práve teraz je tu ďalších
Otázok a odpovedí
0
Dokumentov na stiahnutie
0
Online GDPR kurzy
0