GDPR Academy

Ako zistíme, či je porušenie potrebné oznámiť úradu?

Otázka: Keď sa niečo stane a dôjde k bezpečnostnému incidentu, ako ho máme vyhodnotiť? Ako zistíme, že incident je alebo nie je potrebné oznamovať Úradu na ochranu osobných údajov?


Odpoveď:
Všeobecné nariadenie o ochrane údajov sa porušeniam a povinnosti oznámenia venuje v čl. 33 a 34. V skratke by sme ich mohli zhrnúť takto:

  • ak nie je pravdepodobné, že porušenie povedie k riziku pre DO (dotknuté osoby) – potom ho prevádzkovateľ len interne zdokumentuje (teda vypracuje si záznam, ktorý si založí k povinnej GDPR dokumentácii),
  • ak je pravdepodobné, že porušenie povedie k riziku pre DO – prevádzkovateľ ho oznámi úradu, a to do 72 hodín
  • a ak je pravdepodobné, že porušenie povedie k vysokému riziku pre DO – prevádzkovateľ ho povinne oznámi dotknutým osobám a úradu

Dôležité teda je určiť či je pravdepodobná existencia rizika pre dotknuté osoba a ak áno, či je toto riziko vysoké.

Nám sa v praxi osvedčuje spôsob, keď každé porušenie ochrany osobných údajov vyhodnotíme samostatne, pričom použijeme postupy z týchto dvoch zdrojov:

  1. dokument usmernenie 01/2021 Európskeho výboru pre ochranu údajov (EDPB), ktoré obsahuje príklady porušení ochrany osobných údajov a
  2. dokument odporúčania pre metodiku posudzovania závažnosti porušenia ochrany osobných údajov od Agentúry Európskej únie pre bezpečnosť sietí a informácií (ENISA).

Prvý dokument obsahuje príklady rôznych porušení. Ich hodnotenie prebieha na základe narušenia …

Tento článok si môžete prečítať celý po prihlásení

Prihláste sa, alebo si objednajte prístup. Práve teraz je tu ďalších
0
Otázok a odpovedí
0
Dokumentov na stiahnutie
0
Online GDPR kurzy

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.