Otázka: K spracúvaniu osobných údajov využívame služby externého dodávateľa – sprostredkovateľa. Jeho servery boli zasiahnuté bezpečnostným incidentom. Toto porušenie ochrany údajov však postihlo aj osobné údaje našich zamestnancov, ktoré sprostredkovateľ pre nás spracúva a uchováva. Od kedy sa začína počítať lehota pre oznámenie porušenia? Od času, kedy došlo k zisteniu incidentu u sprostredkovateľa?
Odpoveď: Porušenie ochrany osobných údajov je typ bezpečnostného incidentu, ktorý vedie k náhodnému, nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.
Aj keď porušenie nastalo u sprostredkovateľa, povinnosť jeho oznámenia príslušným subjektom je na pleciach prevádzkovateľa. Zodpovedá zaň.
Preto, ak je pravdepodobné, že porušenie povedie k riziku pre práva a slobody dotknutých osôb, potom je povinnosťou prevádzkovateľa oznámiť porušenie Úradu na ochranu osobných údajov, a to najneskôr do 72 hodín po tom, čo sa o porušení dozvedel. Pričom “sa dozvedel” si vykladáme tak, že ..