• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Existuje formulár pre nahlásenie úniku osobných údajov?

Áno, existuje formulár pre nahlásenie úniku osobných údajov, a jeho využitie je kľúčovým krokom pri zabezpečení súladu s nariadením GDPR (General Data Protection Regulation). Každý prevádzkovateľ alebo sprostredkovateľ spracúvajúci osobné údaje je povinný oznámiť porušenie ochrany údajov dozorujúcemu orgánu, pokiaľ je pravdepodobné, že dané porušenie predstavuje riziko pre práva a slobody fyzických osôb.

Únik osobných údajov môže mať rôzne formy – od hackerských útokov cez neúmyselné odoslanie údajov nesprávnej osobe až po stratu fyzických nosičov dát. Ohlásenie takéhoto incidentu je mimoriadne dôležité – jednak zákonne, ale aj z pohľadu zníženia reputačného rizika a budovania dôvery u klientov. Slovenský Úrad na ochranu osobných údajov (ÚOOÚ) poskytuje prevádzkovateľom špecifický online formulár, prostredníctvom ktorého je možné tento proces jednoducho a efektívne zvládnuť.

V tomto článku sa podrobne pozrieme na to, ako vyzerá postup nahlasovania úniku, kedy je nutné ho nahlásiť, čo by mal formulár obsahovať a ako sa pripraviť na možné kontroly zo strany ÚOOÚ. Zároveň ponúkneme odporúčania pre prevenciu a správne nastavenie bezpečnostných opatrení.

Čo je to únik osobných údajov a prečo je dôležité ho nahlásiť?

Únik osobných údajov je udalosť, pri ktorej dôjde k neoprávnenému prístupu, odhaleniu, strate, poškodeniu alebo zničeniu osobných údajov. Podľa nariadenia GDPR je každý prevádzkovateľ povinný nahlásiť takéto porušenie do 72 hodín od jeho zistenia, pokiaľ môže mať negatívny dopad na práva a slobody dotknutých osôb.

Medzi najčastejšie formy únikov patrí:

  • Strata alebo odcudzenie notebooku s osobnými údajmi
  • Neúmyselné rozoslanie e-mailu nesprávnym príjemcom
  • Zlyhanie technického systému vedúce k úniku údajov
  • Hackerstký útok na databázu spoločnosti

Nahlásenie porušenia je dôležité nielen na splnenie zákonnej povinnosti, ale aj ako forma transparentnosti a ochrany reputácie organizácie. Včasné a správne nahlásenie môže znížiť výšku pokuty alebo sankcie zo strany úradu a preukázať ochotu prevádzkovať svoje procesy v súlade s legislatívou.

Kto má povinnosť nahlásiť únik?

Povinnosť nahlásiť únik údajov má prevádzkovateľ osobných údajov, t. j. subjekt, ktorý určuje účel a prostriedky spracúvania osobných údajov. V mnohých prípadoch môže byť do procesu spracovania zapojený aj sprostredkovateľ – teda firma alebo jednotlivec, ktorý údaje spracúva na základe zmluvy s prevádzkovateľom.

Rozdelenie zodpovednosti podľa GDPR:

  • Prevádzkovateľ – nahlasuje únik úradu a niekedy aj dotknutým osobám
  • Sprostredkovateľ – má povinnosť bezodkladne informovať prevádzkovateľa

Je dôležité mať v zmluvných vzťahoch nastavene jasné mechanizmy oznamovania incidentov medzi prevádzkovateľom a sprostredkovateľom, aby sa dodržala lehota 72 hodín.

Akým spôsobom sa únik osobných údajov nahlasuje?

Na Slovensku sa únik osobných údajov nahlasuje prostredníctvom formulára zverejneného na oficiálnej stránke Úradu na ochranu osobných údajov SR (dataprotection.gov.sk).

Spôsoby nahlásenia:

  • Elektronicky – vyplnením formulára priamo na webstránke úradu cez eID alebo portál slovensko.sk
  • E-mailom – zaslaním vyplneného pdf formulára na oficiálnu e-mailovú adresu ÚOOÚ
  • Poštou – fyzickým doručením na adresu úradu

Najčastejšie využívaná forma je elektronická, ktorá je najrýchlejšia a najpružnejšia.

Obsah formulára pre nahlásenie úniku

Formulár na nahlásenie porušenia obsahuje viacero kľúčových sekcií, ktoré majú za cieľ poskytnúť úradu čo najpresnejšie údaje na vyhodnotenie incidentu.

Základné časti formulára:

  1. Identifikácia prevádzkovateľa
  2. Dátum a čas porušenia
  3. Opis incidentu (čo sa stalo, ako k tomu došlo)
  4. Povaha údajov (aké údaje boli dotknuté, kategórie osôb)
  5. Možné dôsledky pre dotknuté osoby
  6. Opatrenia na zmiernenie následkov a prevenciu
  7. Kontaktná osoba pre doplňujúce informácie

Tieto sekcie je potrebné vyplniť čím podrobnejšie. Ak nie sú v čase nahlásenia známe všetky okolnosti, možno doplnenia zaslať neskôr.

Kedy nie je treba hlásiť únik?

Nie každý incident s údajmi automaticky musí byť nahlásený. GDPR stanovuje, že nahlásenie nie je potrebné, ak je pravdepodobné, že porušenie nepredstavuje riziko pre práva a slobody fyzických osôb.

Príklady, keď nahlásenie nie je nutné:

  • Napríklad ak bol dokument s údajmi odoslaný omylom v rámci internej siete, ale bol neotvorený vymazaný a zabezpečený
  • Pri technickej chybe, ktorá neumožnila prístup osobám mimo autorizovaných pracovníkov

Dôležité je odvodiť riziko pre dotknuté osoby a niekedy si tento posudok zaznamenať v internom registri porušení, aj keď sa incident nenahlásil.

Povinnosť informovať dotknuté osoby

Okrem notifikácie Úradu môže byť organizácia povinná informovať aj samotných dotknutých jednotlivcov. Toto sa však vyžaduje len v prípade, že porušenie môže viesť k vysokému riziku pre práva a slobody fyzických osôb.

Informovanie dotknutej osoby musí obsahovať:

  • Jasný a zrozumiteľný opis incidentu
  • Možné dôsledky
  • Odporúčania, ako sa chrániť (zmena hesiel, monitorovanie účtu a pod.)
  • Kontaktné údaje zodpovednej osoby (napr. DPO)

Ak organizácia urobila primerané technické opatrenia (napr. šifrovanie údajov), môže byť táto oznamovacia povinnosť voči dotknutým osobám vyňatá.

Odporúčania pre prevenciu únikov

Prevencia je vždy lepšia než riešenie následkov. Preto by každá organizácia mala mať implementované bezpečnostné, organizačné a technické opatrenia na ochranu údajov.

Odporúčané opatrenia:

  • Zabezpečenie systémov (firewally, antivírusy, aktualizácie softvéru)
  • Školenia pre zamestnancov o ochrane údajov
  • Interná politika hlásenia bezpečnostných incidentov
  • Pravidelné audity bezpečnosti
  • Pravidlá pre prácu s prenosnými zariadeniami a USB kľúčmi

Organizácie by si tiež mali pravidelne testovať svoj reakčný plán na incidenty (tzv. „incident response plan“), aby vedeli rýchlo reagovať v prípade porušenia.

Záver

Formulár na nahlásenie úniku osobných údajov je dostupný a jeho správne vyplnenie je nevyhnutné na splnenie povinností v súlade s GDPR. Okrem samotného nahlásenia je veľmi dôležité analyzovať incident, vyvodiť dôsledky a prijať opatrenia, ktoré zamedzia podobným porušeniam v budúcnosti.

Únik údajov sa môže stať aj tým najopatrnejším organizáciám. Dôležité je konať rýchlo, zodpovedne a transparentne. Funkčný systém prevencie v kombinácii s dobre pripraveným reakčným plánom je efektívnym prostriedkom na ochranu osobných údajov a udržanie dôvery verejnosti.