Európsky výbor pre ochranu údajov (EDPB) po ukončení verejnej konzultácie, v marci prijal konečnú verziu usmernení o oznamovaní porušení ochrany osobných údajov podľa GDPR. Ide už o druhú verziu dokumentu. Predchádzajúca prvá verzia bola prijatá ešte v októbri 2022.
Medzi aktualizácie patrí zmenu v bode 73, v ktorom sa uvádza, že samotná prítomnosť zástupcu v členskom štáte neznamená spustenie systému jednotného kontaktného miesta. Z tohto dôvodu sa porušenie bude musieť oznámiť každému dozornému orgánu, ktorého dotknuté osoby majú bydlisko v danom členskom štáte. Za toto (tieto) oznámenie (oznámenia) zodpovedá prevádzkovateľ.
Aj keď sa vás možno situácia ohľadom zástupcu v členskom štáte netýka, usmernenie obsahuje množstvo zaujímavých príkladov a stojí za jeho prečítanie.
Definícia hovorí, že porušenie ochrany osobných údajov je také porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim. Pričom platí, že každé jedno porušenie je potrebné vyhodnotiť a zdokumentovať. V prípade, ak je pravdepodobné, že porušenie povedie k riziku pre práva a slobody jednotlivcov, potom je potrebné ho oznámiť dozornému orgánu.
A ak vplyvom porušenia dochádza k vysokému riziku pre práva a slobody jednotlivcov, potom je nevyhnutné takéto porušenie oznámiť aj samotným dotknutým osobám.
Bezpečnostné incidenty, ktoré zasiahnu osobné údaje, prevádzkovatelia vyhodnocujú s ohľadom na porušenie dôvernosti, dostupnosti a integrity spracúvaných údajov. Najčastejšie je to práve atribút dôvernosti, ktorý býva incidentom narušený a má zásadný negatívny dopad na dotknuté osoby.
Celý dokument je zatiaľ dostupný len v anglickom jazyku a môžete si ho prečítať po kliknutí na tento odkaz.
Kým ho však bude možné prevziať aj v slovenskom jazyku, členovia GDPR Academy si môžu už dnes prečítať jeho neoficiálny preklad. Po prihlásení sa vám zobrazí nižšie.