Porušení nařízení GDPR po hackerském útoku
V souvislosti s nárůstem četnosti hackerských útoků Úřad pro ochranu osobních údajů upozorňuje na povinnosti subjektů (např. města a obce) spravujících osobní údaje, které jsou obsaženy v obecném nařízení EU o ochraně osobních údajů - GDPR.
"V případě, kdy dojde k úspěšnému hackerskému útoku a budou odcizeny osobní údaje, může to pro postižený subjekt (správce osobních údajů) znamenat i porušení obecného nařízení o ochraně osobních údajů. Rád bych proto vyzval všechny, kterých se taková situace může potenciálně týkat, např. města, obce, zdravotnická zařízení a další, aby včas provedly odpovídající revizi svých systémů a procesů zabezpečení, a přijaly odpovídající preventivní opatření pro efektivní ochranu a zabezpečení osobních údajů, které spravují. Pokud k porušení přesto dojde, je nutné to neprodleně ohlásit našemu úřadu," říká Jiří Kaucký, předseda Úřadu pro ochranu osobních údajů.
Obecné nařízení představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie. Jeho smyslem je ochrana občanů proti neoprávněnému zacházení s jejich daty a osobními údaji.
Úřad pro ochranu osobních údajů pro správce připravil základní přehled povinností (Desatero zpracování pro správce), které jim při zpracování osobních údajů ukládá obecné nařízení o ochraně osobních údajů.
V případě, kdy dojde k porušení zabezpečení osobních údajů je prvotní a klíčovou povinností správce takový incident neprodleně ohlásit Úřadu pro ochranu osobních údajů.
Pro odpovídající ohlášení lze využít i on-line formulář Ohlášení porušení zabezpečení osobních údajů podle GDPR.
Desatero zpracování pro správce
Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.
Jak zacházet s osobními údaji:
- Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou
- Každé zpracování údajů musí být založeno na některém ze základních důvodů - právních titulů pro zpracování, nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby
- Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů
- Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování
- Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit, každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů
- Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními - v míře odpovídající rizikovosti zpracování
- Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci
- Zpracování nesmí nadměrně zasahovat do soukromí - správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců, zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů
- Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat, delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů - státní statistická služba, nemocenské a důchodové pojištění apod.
- V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR), předávat osobní údaje mimo EU lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů
Článek Úřad pro ochranu osobních údajů ze dne úterý 3. května 2022
Další články od Úřad pro ochranu osobních údajů
Seznamy majitelů datových schránek budou odstraněny ze systému otevřených dat
Pozor na phishing po telefonu jménem ÚOOÚ
Porušení nařízení GDPR po hackerském útoku
Mapování využití cloudových služeb ve veřejném sektoru
Jak se bránit nevyžádanému telemarketingu
Změna právní úpravy pro cookies
Výklad nových pravidel pro marketingové hovory
Při povinném testování se zaměstnavatel dostává do role správce osobních údajů
Pokuty za spam do soukromých datových schránek
Měření teploty zaměstnanců z pohledu ochrany osobních údajů
Stanovisko Evropského sboru pro ochranu osobních údajů
Zpracování osobních údajů a jejich ochrana v době pandemie koronaviru
Jak na zpracování osobních údajů získaných prostřednictvím kamer a videozařízení
Pokyny Evropského sboru ke kamerovým systémům
Nevyžádaný telemarketing - prevence a obrana
Reakce ÚOOÚ na podnět dTestu ke shromažďování dat o poloze uživatelů
Jak odstranit osobní údaje získané z veřejných rejstříků ze soukromých databází na internetu
Pokuta 1,5 milionu korun za nedostatečné zabezpečení osobních dat
Přímý elektronický marketing v éře GDPR
Cookies a jejich košer použití v éře GDPR
Priority ÚOOÚ v legislativním procesu návrhu zákona o zpracování osobních údajů
Pokuta 3,6 mil. Kč pro T-Mobile za nedostatečnou ochranu zákaznických dat
Zákaznické karty: veřejná diskuse na webu ÚOOÚ
Jarní konference evropských komisařů ochrany dat a soukromí
Moje soukromí, nekoukat, nešťourat
Lhůta uchování čísla mobilu při nákupu SMS jízdenky se zkracuje z 10 let na 3 měsíce
ÚOOÚ připomenul Den ochrany osobních údajů
ÚOOÚ připomenul Den lidských práv
Kamerový systém v boji proti zakázané pouliční prostituci v Chomutově
Úřad pro ochranu osobních údajů varuje
Evropská cena pro Úřad pro ochranu osobních údajů
Vyjádření ÚOOÚ k instalaci kamerového systému v prostorách nemocnice v Jihlavě
