• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Dokedy je potrebné nahlásiť únik osobných údajov?

Únik osobných údajov predstavuje vážne narušenie ochrany súkromia jednotlivcov a môže mať závažné právne, finančné a reputačné dôsledky pre organizácie. V zmysle všeobecného nariadenia o ochrane údajov (GDPR) je každá organizácia povinná oznámiť porušenie ochrany osobných údajov orgánu dohľadu – ktorým je na Slovensku Úrad na ochranu osobných údajov – ak je pravdepodobné, že dôjde k ohrozeniu práv a slobôd dotknutých osôb. Táto notifikácia musí byť vykonaná v prísnom časovom rámci – do 72 hodín od objavenia úniku.

Preto je nevyhnutné vedieť, kedy a za akých podmienok je potrebné nahlásiť porušenie. V nasledujúcom článku sa pozrieme na všetky aspekty oznamovacej povinnosti vrátane povahy úniku, lehoty 72 hodín, výnimiek z notifikácie, ako aj na konkrétny postup a dôsledky nesplnenia tejto zákonnej povinnosti. Tento prehľad vo forme FAQ vám pomôže zorientovať sa v právnej úprave a zabezpečiť, že vaša organizácia bude schopná konať rýchlo, správne a v súlade s legislatívou.

Čo je to únik osobných údajov?

Únikom osobných údajov (anglicky data breach) rozumieme incident, pri ktorom dôjde k narušeniu bezpečnosti vedúcemu k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo prístupu k osobným údajom, ktoré boli prenášané, uchovávané alebo inak spracúvané.

Medzi bežné príklady úniku patria:

  • Odoslanie e-mailu s osobnými údajmi nesprávnemu príjemcovi
  • Krádež alebo strata zariadenia obsahujúceho údaje (notebook, USB kľúč)
  • Neoprávnený prístup cez hekerský útok
  • Neúmyselné sprístupnenie údajov na internete

Nie každý incident musí byť katastrofický, ale všetky vyžadujú posúdenie ich závažnosti a potenciálneho dopadu na dotknuté osoby.

Kedy je potrebné nahlásiť únik osobných údajov?

Podľa GDPR je potrebné nahlásiť incident do 72 hodín od jeho zistenia, ak je pravdepodobné, že dôjde k ohrozeniu práv a slobôd fyzických osôb. Kľúčovým kritériom je teda posúdenie dopadu úniku na dotknuté osoby.

Príklady, kedy je hlásenie povinné:

  • Únik zdravotných záznamov pacienta
  • Zverejnenie loginov, hesiel a kontaktných údajov zákazníkov
  • Odoslanie výplatných pások všetkým zamestnancom omylom

Príklady, kedy hlásenie nie je potrebné:

  • Údaje boli šifrované a nemohli byť dešifrované neoprávnenou osobou
  • Únik sa týkal len anonymizovaných dát
  • Neoprávnený prístup bol rýchlo zistený a odstránený bez kompromitácie údajov

Prečo platí lehota 72 hodín a čo zahŕňa?

Lehota 72 hodín od objavenia porušenia je v GDPR stanovená ako maximálny časový rámec na informovanie orgánu dohľadu. V rámci tejto lehoty sa neočakáva vyčerpávajúca správa; dôležité je oznámenie samotného incidentu s dostupnými informáciami.

Dôležité je si uvedomiť, že:

  • Lehota beží od okamihu, kedy prevádzkovateľ zistí, že došlo k úniku údajov, nie od reálneho dátumu úniku.
  • Je možné predložiť doplňujúce informácie postupne, ak nie sú hneď dostupné.

Toto časové obmedzenie má za cieľ podporiť rýchlu reakciu a minimalizovať dopad incidentu. V prípade neoznámenia môže úrad ukladať vysoké pokuty až do výšky 10 miliónov EUR alebo 2 % z celkového ročného obratu.

Kto je zodpovedný za nahlásenie úniku údajov?

Zodpovednosť za oznámenie úniku má vždy prevádzkovateľ osobných údajov. V prípade, ak využíva sprostredkovateľa (napr. externá IT firma alebo účtovník), má sprostredkovateľ povinnosť oznámiť únik prevádzkovateľovi okamžite po jeho zistení.

Samotné oznámenie úradu však musí urobiť prevádzkovateľ. Dôležité je, aby mal prevádzkovateľ vopred pripravené vnútorné procesy riadenia incidentov, aby vedel promptne reagovať.

Aké informácie musí obsahovať ohlásenie o úniku údajov?

GDPR stanovuje minimálny rozsah údajov, ktoré musia byť pri nahlasovaní poskytnuté:

  • Popis povahy porušenia vrátane kategórií a počtu dotknutých údajov/osôb
  • Meno a kontakt na zodpovednú osobu alebo iný kontaktný bod
  • Popis možných následkov a rizík porušenia
  • Opatrenia, ktoré boli prijaté alebo navrhnuté na riešenie porušenia

Ak nie je možné predložiť všetky informácie naraz, môžu byť doplnené v ďalšej fáze, ale úvodná notifikácia musí byť vykonaná v stanovenej lehote.

Musí sa únik ohlásiť aj dotknutým osobám?

Áno – ak únik môže mať vysoké riziko pre práva a slobody osôb, prevádzkovateľ musí bezodkladne informovať aj dotknuté osoby.

Oznámenie musí byť:

  • Jasné, zrozumiteľné a napísané bežným jazykom
  • Obsahovať povahu porušenia a odporúčané kroky na minimalizáciu dopadu (napr. zmena hesla)
  • Uvádzať kontaktný bod na ďalšie otázky

Nie je potrebné informovať dotknuté osoby, ak boli prijaté opatrenia ako napríklad:

  • Šifrovanie údajov
  • Bez dodatočného rizika pre identifikáciu jednotlivca

Aký je odporúčaný postup pri zistení porušenia?

V prípade podozrenia na únik údajov by organizácia mala postupovať podľa nasledovných krokov:

1. Okamžité vyhodnotenie incidentu

Identifikujte typ úniku, rozsah a kategóriu osobných údajov. Zistite, či ide o osobné údaje aj v zmysle GDPR.

2. Vnútorné oznámenie zodpovednej osobe

Informujte zodpovednú osobu za ochranu údajov (DPO) alebo príslušnú osobu v organizácii.

3. Dokumentácia incidentu

Aj keď nemusí dôjsť k nahláseniu úradu, všetky porušenia musia byť internej evidované s dôkazmi o vyhodnotení.

4. Oznámenie úradu do 72 hodín

Ak je to potrebné, odošlite oznámenie s dostupnými informáciami.

5. Ochranné opatrenia

Prijmite nápravné kroky na zmiernenie následkov a prevenciu ďalších incidentov.

Aké sú následky nenahlásenia úniku údajov?

GDPR umožňuje uplatniť pokuty až do výšky 10 miliónov EUR alebo 2 % z ročného obratu za nesplnenie oznamovacích povinností. Okrem toho môžu nasledovať:

  • Reputačné škody
  • Strata dôvery zákazníkov
  • Možnosť žalôb zo strany dotknutých osôb
  • Kontrola a audit zo strany úradu

Aj v prípade, že únik nie je oznamovaný úradu, musí byť evidovaný interne, inak ide o porušenie dokumentačnej povinnosti.

Zhrnutie a odporúčania

Oznámenie úniku osobných údajov je vážna povinnosť, ktorá si vyžaduje pripravený vnútorný systém reakcie. Každá organizácia by mala:

  • Vyškoliť zamestnancov o tom, ako rozpoznať únik
  • Mať krízový plán a kontakty pripravené vopred
  • Pravidelne testovať a revidovať bezpečnostné opatrenia
  • Udržiavať dokumentáciu o všetkých bezpečnostných incidentoch

V prípade pochybností je lepšie incident nahlásiť ako riziko zamlčania. Účelná komunikácia s úradom môže zmierniť následky a preukázať snahu o ochranu práv dotknutých osôb.