Existuje mnoho způsobů, jakými mohou být data ve vaší firmě ohrožena. Ať už by se jednalo o cílený útok počítačových hackerů, vir či obyčejné lidské selhání. Víte, jak na nepříjemnou situaci reagovat, abyste nebyli podle nařízení GDPR navíc ještě pokutováni?
Tik-tak. Hra o čas začíná
Pokud už dojde k nemilé situaci, kdy mohou být osobní data ohrožena, je nutné situaci pečlivě vyhodnotit a zároveň je základní povinností každého správce ohlásit takovou událost Úřadu pro ochranu osobních údajů bez zbytečného odkladu, ideálně však do 72 hodin od okamžiku, kdy se o ní dozví. Pokud se chcete vyhnout případnému popotahování úřady, je rozhodně ve vašem zájmu začít incident vyšetřovat.
Všechno stojí a padá na komunikaci
Ve chvíli, kdy jste vyhodnotili situaci jako potenciální porušení zabezpečení osobních údajů, začíná běžet již výše zmiňovaných 72 hodin pro posouzení jeho dopadů. Jestliže máte dostatečně proškolené zaměstnance, pravděpodobně tato situace nebude až tak nezvládnutelná. Ujistěte se, že každý ve firmě ví, komu je třeba možnou hrozbu ohlašovat a jaké okolnosti si má při tom zaznamenat. Rozhodně je lepší nahlásit více než méně.
Ne vždy ale vzniká ohlašovací povinnost. Když selhání vyhodnotíte jako porušení bez pravděpodobných rizik pro práva a svobody fyzických osob, pak hlásit nemusíte. Určit míru a následky porušení může být oříšek. Do značné míry záleží na tom, jaké osobní údaje byly porušeny a které kategorie subjektů se týkají. Vyšší míru ochrany totiž mají například veškeré údaje o dětech. Těžko také můžete srovnávat únik informací o zdravotním stavu s únikem emailů pro zasílání newsletteru.
Co přesně musím ohlásit?
Tak předně byste měli uvést popis povahy porušení a uvést, které kategorie údajů byly zasaženy. Je potřeba taky co nejpřesněji odhadnout počet postižených osob. Úřad po vás bude chtít informaci o kontaktním místě v rámci vaší společnosti. Správce by měl úřad obeznámit s odhadovanými důsledky tohoto porušení a s popisem nápravných opatření, která za účelem jejich zmírnění přijal. Každý případ porušení (a to i ten, který nepodléhá ohlašovací povinnosti vůči úřadu), musí správce zdokumentovat a nastavit opatření, aby se toto pochybení už neopakovalo.
Odpovědnosti se jen tak nezbavíte
Jestli jste si mysleli, že zodpovědnost hodíte na externistu, který pro vás údaje zpracovává, zklameme vás. V situaci, kdy pro vás osobní údaje zpracovává externí subjekt, musí tento externista vzniklý incident bez zbytečného odkladu ohlásit pouze vám jakožto správci. Vy pak přebíráte veškerou zodpovědnost a musíte vše vyšetřit, vyhodnotit a případně ohlásit událost úřadu.
Pouhým ohlášením ale nic nekončí
Dalo by se říct, že to nejhorší máte za sebou. Bohužel je tady ještě jedna nepříjemná situace, kterou budete muset vyřešit. V určitých případech je totiž nutné kontaktovat přímo postižený subjekt údajů. Obvykle je však tento krok nutný opravdu jen v případech, kdy je riziko újmy na právech a svobodách skutečně vysoké. Snažte se kontaktovat přímo danou osobu, protože pouhým zveřejněním zprávy na webu tuto povinnost nesplníte.
Dostali jste se do nepříjemné situace, kdy ve vaší firmě došlo k ohrožení osobních dat? Pokud si chcete být jisti, že situaci řešíte správně, neváhejte se na nás obrátit, rádi s vámi vše probereme.
