Kedy prevádzkovateľ oznamuje porušenie ochrany osobných údajov?

Porušenie ochrany osobných údajov oznamuje prevádzkovateľ úradu bezodkladne, najneskôr však do 72 hodín po tom, ako sa o porušení ochrany osobných údajov dozvedel;  oznamovaciu povinnosť nemá, ak vyhodnotí, že nie je pravdepodobné, že porušenie ochrany osobných údajov, ktoré zaznamenal vo svojom prostredí, povedie k riziku pre práva a slobody fyzickej osoby. Posúdenie, či porušenie povedie k riziku pre práva a slobody fyzickej osoby neodkladne vykoná prevádzkovateľ vyhodnotením zisteného porušenia.

K podrobnejším informáciám o postupe prevádzkovateľa pri vyhodnocovaní bezpečnostného incidentu a jeho možných dopadov je možné sa dočítať v Usmernení WP 29 o oznámení porušenia ochrany osobných údajov podľa nariadenia 2016/679 dostupné v slovenskom jazyku alebo v anglickom jazyku.

Oznámením si prevádzkovateľ plní povinnosť voči dozornému orgánu v oblasti ochrany a spracúvania osobných údajov. V prípade, ak by prevádzkovateľ porušenie ochrany osobných údajov neoznámil a v prípadnom konaní o ochrane osobných údajov by sa preukázalo, že tak mal urobiť, mohol by toto jeho zanedbanie povinnosti vyhodnotiť úrad ako priťažujúcu okolnosť. Tiež je možné, najmä ak sa jedná o pretrvávajúce porušenie ochrany osobných údajov, ktorá trvá aj v čase jeho oznámenia úradu, aby prevádzkovateľovi úrad poskytol rady, ako zamedziť vzniku väčších škôd, prípadne u inak pomohol v riešení bezpečnostného incidentu, prípadne mu úrad nariadil, aby o porušení notifikoval dotknuté osoby, nakoľko on sám to doposiaľ nevykonal.

Obsahom oznámenia majú byť informácie s dostatočnou výpovednou hodnotou, aby  z nich bolo možné pre úrad získať základné a čiastočne aj doplnkové informácie o porušení ochrany osobných údajov, aby bolo možné posúdiť závažnosť rizika pre práva fyzických osôb s cieľom minimalizovať prípadné škody, ktoré vznikli alebo môžu vzniknúť v dôsledku bezpečnostného incidentu na právach dotknutých osôb.

Požadované informácie pre oznámenie porušenia ochrany osobných údajov sú obsahom formulára.

Prevádzkovateľ oznámi porušenie ochrany osobných údajov prostredníctvom formulára, ktorý je pre tento účel  dostupný na webovom sídle úradu.

Za nesplnenie si povinnosti oznámiť úradu porušenie ochrany osobných údajov podľa čl. 33 GDPR (§ 40 zákona) je možné prevádzkovateľovi podľa čl. 83 ods. 4 písm. a) GDPR (§ 104 ods. 1 písm. a) zákona) uložiť pokutu až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. 

V prípade otázok súvisiacich s oznámením porušenia ochrany osobných údajov úradu je možné sa obrátiť na:   

Úrad na ochranu osobných údajov Slovenskej republiky
Hraničná 12,
820 07 Bratislava
E-mail: statny.dozor@pdp.gov.sk

Legislatíva:

• NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znená zákona č. 221/2019 Z. z.
• Anglická verzia Zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov