Nie, náhodné porušenie ochrany osobných údajov vás automaticky neospravedlňuje. Aj keď k úniku dôjde neúmyselne, neznamená to, že zodpovedná osoba sa vyhne právnym, organizačným alebo finančným dôsledkom. Ochrana osobných údajov je podľa nariadenia GDPR povinnosťou každého správcu či spracovateľa údajov, bez ohľadu na to, či dôjde k porušeniu z dôvodu ľudskej chyby, nedbanlivosti alebo útoku tretej strany.
V tomto článku sa podrobne pozrieme na to, čo sa považuje za náhodné porušenie ochrany osobných údajov, v akých prípadoch môže dôjsť k ospravedlneniu zo zákona alebo praxe, a aké kroky musia organizácie alebo jednotlivci podniknúť, ak dôjde k úniku údajov. Zameriame sa tiež na spôsob, ako zmierniť následky porušenia, ako vyhodnotiť mieru zodpovednosti a aké môžu byť sankcie zo strany dozorného orgánu (napr. Úrad na ochranu osobných údajov SR). Porozumenie tejto téme je kľúčové pre každého, kto prichádza do kontaktu s osobnými údajmi – či už ide o zamestnanca, živnostníka alebo majiteľa spoločnosti.
Čo je náhodné porušenie ochrany osobných údajov?
Náhodné porušenie predstavuje situáciu, keď dôjde k strate, zničeniu, zmene, neoprávnenému sprístupneniu alebo prístupu k osobným údajom v závislosti na neúmyselnej chybe alebo zanedbaniu. Môže sa to stať rôznymi spôsobmi:
- Odoslanie e-mailu nesprávnej osobe s priloženým citlivým súborom
- Uloženie údajov na nezabezpečené miesto (napr. verejný cloud)
- Neúmyselné vymazanie alebo zverejnenie databázy
- Zlyhanie techniky alebo softvéru, ktoré spôsobí únik údajov
Aj keď nedôjde k zlému úmyslu, porušenie ochrany údajov sa stále považuje za závažné, pokiaľ ovplyvní práva dotknutých osôb. GDPR nerozlišuje medzi úmyselným a neúmyselným porušením z hľadiska povinnosti nahlásiť udalosť a zabezpečiť nápravu.
Aké sú právne následky náhodného porušenia?
Podľa článku 33 GDPR je správca údajov povinný oznámiť akékoľvek porušenie ochrany osobných údajov príslušnému dozornému orgánu (v SR ide o Úrad na ochranu osobných údajov) do 72 hodín od zistenia incidentu, ak je pravdepodobné, že porušenie spôsobí riziko pre práva a slobody fyzických osôb.
Sankcie, ktoré môžu byť uložené
Napriek tomu, že porušenie bolo náhodné, môžu nastať rôzne druhy sankcií:
- Finančné pokuty: až do výšky 20 miliónov EUR, alebo 4 % z celkového ročného obratu (podľa toho, ktorá hodnota je vyššia)
- Napomenutie alebo zákaz spracúvania údajov: úrad môže obmedziť činnosti firmy, pokiaľ nie sú prijaté adekvátne opatrenia
Sankcie sú znižované, ak organizácia preukáže, že k porušeniu došlo náhodou, bez zámeru poškodiť či porušiť zákon, a ak podnikla okamžité kroky na nápravu a oznamovanie incidentu.
Za akých podmienok môže byť odpustenie zodpovednosti uvažované?
Nehoci náhodné porušenie predstavuje pochybenie, existujú okolnosti, ktoré môžu byť zohľadnené pri rozhodovaní o sankciách či ich úplnom odpustení:
- Organizácia mala zavedené primerané technické a organizačné opatrenia
- Došlo k okamžitému oznámeniu incidentu úradu aj dotknutým osobám
- Spoločnosť pravidelne školila svojich zamestnancov v oblasti ochrany údajov
- Šlo o drobný incident s minimálnym alebo žiadnym dopadom na práva jednotlivcov
Úrad bežne hodnotí mieru zanedbania vo svetle toho, čo bolo v konkrétnej situácii primerané a možné urobiť na predchádzanie incidentu.
Rozdiel medzi náhodným, technickým a systematickým porušením
Dôležité je odlíšiť jednotlivé typy porušení:
- Náhodné porušenie: izolovaný prípad zapríčinený chybnou konfiguráciou, ľudským faktorom alebo nepozornosťou
- Technické porušenie: zlyhanie softvérovej alebo hardvérovej infraštruktúry, napr. nezabezpečený server
- Systematické porušenie: opakované alebo chronicky sa objavujúce problémy bez zavedenia opatrení
Náhodné porušenie môže byť menšou záťažou – najmä ak je rýchlo napravené a vyčerpané dostupné opatrenia. Naopak systematické a dlhodobo prehliadané chyby ukazujú na slabú kultúru ochrany údajov.
Ako reagovať po zistení porušenia?
V prípade odhalenia náhodného porušenia ochrany údajov je potrebné dodržať presný postup:
1. Interné vyhodnotenie
- Identifikujte čo sa stalo, kedy a komu sa to stalo
- Zhodnoťte rozsah údajov, ktoré boli dotknuté
- Určte, či by mohlo dôjsť k ohrozeniu práv jednotlivcov
2. Nahlásenie incidentu
Ak porušenie pravdepodobne ohrozuje práva osôb, je povinné nahlásiť incident:
- Dozornému orgánu do 72 hodín
- Dotknutým osobám bez zbytočného odkladu, ak je pravdepodobnosť reálna
3. Dokumentácia
Všetky porušenia je potrebné evidovať – aj tie, ktoré nebolo potrebné nahlasovať. Tým sa preukazuje zodpovedný prístup a transparentnosť.
4. Zavedenie nápravných a preventívnych opatrení
- Zvýšenie bezpečnostných opatrení
- Školenie zamestnancov
- Úprava interných postupov a politiky spracovania údajov
Význam prevencie: Ako zabrániť náhodnému úniku údajov
Prevencia je najefektívnejší spôsob, ako minimalizovať riziko porušenia, ktoré môže stáť firmu peniaze aj dôveru klientov:
- Vykonávať pravidelné audity zabezpečenia údajov
- Používať šifrovanie a zabezpečené prístupové metódy
- Viesť zamestnancov k ochrane údajov praktickým školením
- Pravidelne aktualizovať softvér a opravy bezpečnostných chýb
- Stanoviť jasné zodpovednosti a pokyny pri práci s údajmi
Záver: Odpovedá náhoda za porušenie?
Aj keď môže ísť o náhodu, právny rámec chráni v prvom rade práva jednotlivcov, nie úmysly organizácie. Náhodné pochybenie preto neznamená nulovú zodpovednosť, no ak organizácia preukáže aktívnu prevenciu, promptné riešenie incidentu a spoluprácu s úradmi, je možné očakávať zmiernenie následkov alebo nižšiu sankciu. Vždy je lacnejšie a účinnejšie venovať sa prevencii než následkom porušenia – náhodného či nie.