Dle GDPR je správce osobních údajů povinen bez zbytečného odkladu ohlásit dozorovému úřadu každý případ porušení zabezpečení osobních údajů, který může představovat riziko pro práva a svobody fyzických osob. V určitých případech je nezbytné oznámit takový incident i osobám, kterých se porušení zabezpečení osobních údajů týká.
Tato povinnost se dotýká téměř všech správců osobních údajů bez ohledu na jejich velikost nebo odvětví. Porušení zabezpečení osobních údajů může mít různé podoby, a to od náhodného či protiprávního zničení nebo ztráty osobních údajů až po jejich neoprávněné zpřístupnění či únik.
Vzhledem k tomu, že nařízení pro ohlášení případu porušení zabezpečení osobních údajů stanovuje poměrně krátkou lhůtu, je ideální, aby byl proces ohlašování nastaven předem. Taktéž je třeba mít předem nastaveny procesy pro prevenci těchto incidentů (technická a organizační opatření k zabezpečení osobních údajů), pro jejich detekci a vyhodnocení a následně i pro řešení incidentů a minimalizaci jejich dopadů.
Naše služba zahrnuje samotnou právní analýzu daného úniku osobních údajů, vyhodnocení, zda je nutné jej ohlásit dozorovému úřadu či dotčeným subjektům a přípravu tohoto ohlášení. Dále provedeme revizi vašich interních postupů pro ohlašování úniků a doporučíme vám, jak dále postupovat.
Správce by měl být schopen prokázat, že přijal vhodná technická a organizační opatření, která zajišťují důvěrnost osobních údajů, které zpracovává a odolnost jejich ochrany. Správně nastavený proces pro ohlašování úniku osobních údajů představuje důkaz o souladu interních postupů s GDPR i o náležité péči při ochraně dat.
