• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Ako definovať únik osobných údajov podľa GDPR?

Únik osobných údajov je podľa nariadenia GDPR (General Data Protection Regulation) definovaný ako porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo prístupu k osobným údajom. Tento jav môže mať vážne dôsledky na súkromie jednotlivcov, a preto je dôležité, aby každá organizácia vedela, ako únik osobných údajov identifikovať, nahlásiť a riešiť.

V súčasnosti sa s osobnými údajmi pracuje prakticky vo všetkých sektoroch – od zdravotníctva, cez bankovníctvo až po e-shopy. Preto je potrebné venovať tejto téme primeranú pozornosť, najmä ak hrozí porušenie základných práv dotknutých osôb. Tento článok odpovie na najčastejšie otázky týkajúce sa úniku osobných údajov z pohľadu GDPR. Zameriame sa na to, ako únik definovať, aké sú jeho typy, kto je zaň zodpovedný a čo robiť v prípade jeho výskytu.

Čo je považované za únik osobných údajov?

GDPR v čl. 4 ods. 12 definuje únik osobných údajov ako porušenie bezpečnosti, ktoré vedie k:

  • náhodnému alebo nezákonnému zničeniu osobných údajov,
  • strate osobných údajov,
  • zmenám osobných údajov,
  • neoprávnenému sprístupneniu alebo prístupu k týmto údajom.

Tieto incidenty môžu vzniknúť v dôsledku technických chýb, ľudskej nepozornosti alebo zámerného útoku. Niekedy ide o zdanlivo neškodné situácie, ako je zaslanie e-mailu nesprávnemu príjemcovi, inokedy o vážne úniky, napríklad pri kybernetických útokoch.

Príklady únikov osobných údajov

Medzi najčastejšie prípady patria:

  • Strata alebo krádež notebooku obsahujúceho osobné údaje bez šifrovania
  • Neoprávnený prístup k databázam cez slabé heslá
  • Odoslanie e-mailu s prílohami obsahujúcimi osobné údaje nesprávnemu adresátovi
  • Hackerské útoky získavajúce údaje z webových stránok

Typy únikov osobných údajov

Únik údajov môže prebiehať rôznymi spôsobmi. Na účely identifikácie a správneho vyhodnotenia incidentu, GDPR rozlišuje tri základné typy únikov:

1. Dôvernosť údajov narušená

K tomuto typu úniku dochádza, keď sa údaje dostanú k neoprávneným osobám – napríklad zamestnancovi, ktorý nemá oprávnenie ich vidieť, alebo tretím subjektom mimo organizáciu.

2. Dostupnosť údajov narušená

Ide o situácie, keď sú údaje dočasne alebo trvalo nedostupné – napríklad po útoku ransomvérom, ktorý zašifruje databázu. Obnovenie údajov môže byť náročné alebo nemožné bez záloh.

3. Integrita údajov narušená

Znamená to, že údaje boli neoprávnene zmenené. Napríklad ak sú hodnoty v databáze prepísané, môže to viesť k chybným výstupom alebo nesprávnemu rozhodovaniu na základe modifikovaných údajov.

Aké údaje spadajú pod pojem „osobné údaje“?

Pre pochopenie únikov je kľúčové rozlišovať, ktoré údaje sú podľa GDPR osobnými údajmi. Osobné údaje sú akékoľvek informácie, ktoré sa týkajú identifikovateľnej fyzickej osoby.

Medzi osobné údaje patria napríklad:

  • Meno a priezvisko
  • E-mailová adresa
  • Telefónne číslo
  • IP adresa
  • Geolokačné údaje
  • Číslo občianskeho preukazu
  • Biometrické údaje
  • Údaje o zdravotnom stave

Aj pseudonymizované údaje môžu byť považované za osobné, ak je možné ich spojiť späť s konkrétnou osobou.

Aké sú povinnosti prevádzkovateľa pri úniku údajov?

Povinnosti prevádzkovateľa vyplývajú priamo z GDPR a súčasťou zodpovedného prístupu k ochrane údajov je aj správne nahlasovanie incidentov.

1. Povinnosť oznámiť únik úradu

Ak únik údajov pravdepodobne povedie k riziku pre práva a slobody fyzickej osoby, prevádzkovateľ je povinný nahlásiť únik do 72 hodín od jeho zistenia príslušnému dozornému orgánu (na Slovensku Úrad na ochranu osobných údajov).

2. Povinnosť informovať dotknuté osoby

Ak daný únik predstavuje vysoké riziko pre práva a slobody, musia byť o tom bez zbytočného odkladu informované dotknuté osoby. V tejto komunikácii musí byť jasne vysvetlené, čo sa stalo, aké sú potenciálne dôsledky a aké kroky boli prijaté na zabezpečenie údajov.

3. Vedenie záznamov o únikoch

Aj v prípadoch, keď nie je potrebné o incidente informovať úrad, musí sa únik zaznamenať v internej dokumentácii, kde sa uvedie:

  • Popis udalosti
  • Čas a spôsob zistenia
  • Pokiaľ možno kategórie a počet dotknutých údajov a osôb
  • Opatrenia prijaté na nápravu

Kto je zodpovedný za ochranu osobných údajov?

Za ochranu údajov je priamo zodpovedný prevádzkovateľ – teda subjekt, ktorý určuje účel a prostriedky spracúvania údajov. Môže ísť o firmu, inštitúciu alebo organizáciu, ktorá rozhoduje o tom, ako a prečo sa údaje spracúvajú.

V prípadoch, keď využíva na spracúvanie tretie strany (napr. IT firmy, cloudové služby), ide o sprostredkovateľov, ktorí musia mať zmluvne určené podmienky spracovania a povinnosti ochrany údajov.

V určitých prípadoch je nutné menovať aj zodpovednú osobu (DPO), obzvlášť ak je spracúvanie rozsiahle a pravidelné – typicky v zdravotníctve, verejnej správe alebo bezpečnostných službách.

Aké sú sankcie pri nenahlásení úniku?

GDPR umožňuje udeliť vysoké sankcie, ak prevádzkovateľ nesplní svoje povinnosti. Najčastejšími prehreškami sú:

  • Neohlásenie úniku do 72 hodín
  • Neposkytnutie pravdivých údajov dozornému orgánu
  • Neprijatie primeraných bezpečnostných opatrení

Výška pokuty môže dosiahnuť až 10 mil. eur alebo 2 % z celkového ročného obratu spoločnosti – podľa toho, čo je viac. V prípade závažného porušenia, ktoré sa dotkne veľkého množstva subjektov, môže byť sankcia ešte vyššia.

Prevencia a minimalizácia rizík

Najlepšou obranou proti úniku údajov je prevencia. Každá spoločnosť by mala implementovať robustnú stratégiu ochrany údajov, ktorá zahŕňa:

  • Šifrovanie uložených aj prenášaných údajov
  • Viacúrovňové overovanie používateľov
  • Pravidelný tréning zamestnancov v oblasti GDPR
  • Interné procesy na detekciu a reakciu na incidenty
  • Zálohovanie údajov a testovanie obnovy

Dôležitá je tiež kultúra bezpečnosti vo firme – aby každý zamestnanec vedel, čo robiť v prípade podozrivého správania alebo útoku.

Záver

Únik osobných údajov nie je len technickou chybou – je to udalosť, ktorá môže vážne poškodiť dôveru zákazníkov a reputáciu organizácie. GDPR kladie dôraz na prevencia, rýchlu reakciu a transparentnosť. Každý prevádzkovateľ by mal byť pripravený reagovať v súlade s pravidlami a chrániť osobné údaje ako cenný informačný kapitál. Definovanie, klasifikácia a správne nahlásenie úniku môže výrazne znížiť negatívne dopady a zároveň spĺňať zákonné povinnosti.