Hlášení porušení zabezpečení osobních údajů

PhDr. Mgr. Monika Puškinová

Mgr. Alice Kubů Frýbová

Vydáno:

Cílem článku je představit hlášení porušení zabezpečení osobních údajů jako jednu z nejvýznamnějších povinností, kterou zavádí nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Tato povinnost je pro školy zásadní, protože školy pracují s vysoce osobními údaji1) a zvláštními kategoriemi osobních údajů2) dětí, které jsou podle GDPR považovány za zranitelné subjekty. Dále je zřejmé, že neoprávněný přístup k těmto údajům může mít dalekosáhlé důsledky.

Hlášení porušení zabezpečení osobních údajů
Mgr.
Alice
Frýbová
právnička společnosti Holubová advokáti, s. r. o.
PhDr. Mgr.
Monika
Puškinová
Ph.D.
právník a specialista na školskou legislativu
Co se rozumí zabezpečením osobních údajů?
Ve smyslu čl. 24 a čl. 32 GDPR lze chápat zabezpečení osobních údajů jako stav systémů a služeb zpracování osobních údajů, které trvale vykazují tyto vlastnosti: důvěrnost, integrita, dostupnost a odolnost.
Pro praxi škol lze s trochou zjednodušení konstatovat, že důvěrnost bude zajištěna, pokud přístup do systémů (např. do školní matriky) a ke službám zpracování osobních údajů (např. k poskytování osobních údajů) v listinné nebo elektronické podobě mají pouze určené, odpovědné osoby, a to pouze v nutném rozsahu.
Toho lze dosáhnout např. tím, že škola používá
-
systém různých úrovní oprávnění přístupu do systémů a ke službám zpracování osobních údajů (např. třídní učitel má přístup ke všem osobním údajům žáků třídy zaznamenávaným ve školní matrice, ostatní učitelé mají přístup pouze k hodnocení žáka ze „svého“ vyučovacího předmětu),
-
přístup do systémů na základě „silných“ hesel,
-
přiměřenou autentizaci, identifikování fyzické osoby, které poskytuje osobní údaje (např. identifikování zákonných zástupců dítěte, žáka).
Integrita představuje přesnost, konzistentnost a důvěryhodnost systému a služeb zpracování osobních údajů, a to od zahájení zpracování osobních údajů školou až po zničení nebo výmaz osobních údajů. Zejména pomocí této vlastnosti systému a služeb zpracování osobních údajů škola zajišťuje, aby osobní údaje nebyly neoprávněně
-
zničeny (např. „vymazáním“ školní matriky vedené v elektronické podobě),
-
ztraceny (např. ztrátou osobní složky dítěte při přenášení dokumentace z jednoho místa na jiné; ztrátou pracovního notebooku, na kterém je vedena školní matrika),
-
změněny (např. tím, že se žák „nabourá“ do školní matriky a změní ve školní matrice známky).
Integrity může škola dosáhnout např. tím, že monitoruje přístupy do systémů a změny provedené v systémech (např. vedení evidence výpůjček dokumentů uložených ve spisovně; zaznamenávání skutečnosti, že určitá osoba v určitou dobu provedla opravu známky v třídním výkazu).
Dostupnost je chápána jako vlastnost systémů nebo služeb zpracování osobních údajů, která představuje pomyslnou „pojistku“ pro případ nefunkčnosti systému nebo nefunkčnosti nástrojů v určité fázi zpracování osobních údajů. Smyslem zajištění dostupnosti je zajištění záložního zdroje dat, resp. obnovení dat, nebo záložní služby zpracování osobních údajů.
Je pravděpodobné, že školy zajišťují dostupnost zejména
-
pravidelným zálohováním dat nebo
-
zpracováním dat na několika serverech.
Již z vlastního označení vlastnosti systémů nebo služeb zpracování osobních údajů je zřejmé, že odolností se rozumí stabilita a funkčnost systému nebo služeb zpracování osobních údajů i v případě, kdy se vyskytnou faktory, které mohou způsobit jejich selhání.
V praxi škol je obvykle odolnost systému nebo služeb zpracování osobních údajů zabezpečena tím, že je zajištěna odpovídající „antivirová“ a jiná bezpečnostní ochrana softwaru a hardwaru.
Co se rozumí porušením zabezpečení osobních údajů?
Definice porušení zabezpečení osobních údajů je uvedena v čl. 4 odst. 12 GDPR.
Článek 4 odst. 12 GDPR
Pro účely tohoto nařízení se rozumí: „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Zjednodušeně řečeno, jedná se o situace, kdy není dodržena jedna z výše uvedených zásad integrity, důvěrnosti nebo dostupnosti osobních údajů. Příklady situací, ve kterých dochází nebo nedochází k porušení zabezpečení osobních údajů, jsou shrnuty v následující tabulce.
Jedná se o porušení zabezpečení osobních údajů Nejedná se o porušení zabezpečení osobních údajů 
  • Učitel zapomene ve vlaku tašku s „osobní složkou dítěte“, která obsahuje zvláštní kategorie osobních údajů; následkem je nejen náhodná a protiprávní ztráta osobních údajů jako taková, ale i možný neoprávněný přístup k osobním údajům
  • Žák "uhodne" přístupové heslo pedagoga do školního informačního systému a pozmění v něm známky3), tzn. že dojde k protiprávní změně uložených osobních údajů
  • neoprávněný přístup k osobním údajům zpracovávaným v elektronické podobě4)
  • "Běžná" ztráta líče od budovy školy, v budově jsou v listinné podobě uloženy spisy žáků, kterým jsou poskytovány poradenské služby; správce (škola) s vysokou pravděpodobností vyloučil, že k neoprávněnému přístupu k osobním údajům došlo (např. prověřil tuto skutečnost ze záznamu kamerového systému)
Jak postupovat v případě porušení zabezpečení osobních údajů?
Jako komentář níže uvedeného schématu je vhodné postupně odpovědět na otázky v něm uvedené.
1. Došlo k porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 GDPR?
Jak již bylo uvedeno výše, škola by měla určit,
-
zda k porušení zabezpečení vůbec došlo a
-
zda se porušení zabezpečení týká osobních údajů.
Je však zřejmé, že pověřená osoba (zpravidla ředitel nebo pověřenec) musí vyjít z určitých „vstupních informací“5). Následně je může prověřit, posoudit a určit, zda došlo, nebo nedošlo k porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 GDPR, a koordinovat další postup.
Z tohoto důvodu lze doporučit, aby škola (správce) stanovila pravidlo (např. v interním předpisu), podle kterého je zaměstnanec povinen ohlašovat pověřené osobě jakékoli podezření, že došlo k porušení zabezpečení osobních údajů (např. i ztrátu klíče od vstupních dveří do budovy školy).
Jestliže pověřená osoba podezření na porušení zabezpečení osobních údajů vyhodnotí a dospěje k závěru, že k porušení zabezpečení osobních údajů nedošlo, není nutné situaci z hlediska povinností vyplývajících z GDPR dále řešit.
Naopak jestliže pověřená osoba dospěje k závěru, že k porušení zabezpečení osobních údajů došlo, je nutné, aby škola jakýkoli případ porušení zabezpečení osobních údajů zdokumentovala a současně přijala nápravná opatření.
Článek 33 odst. 5 GDPR
Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
V praxi to znamená, že škola je povinna vést interní evidenci, ve které bude zaznamenán
-
každý jednotlivý případ porušení zabezpečení osobních údajů,
-
účinky daného porušení zabezpečení osobních údajů a
-
přijatá nápravná opatření.
2. Jsou s tímto porušením spojena rizika pro práva a svobody subjektu údajů?
Pokud škola dojde k závěru, že k porušení zabezpečení osobních údajů došlo, a zapíše je do evidence, je dalším krokem posouzení, zda je toto porušení nutné hlásit Úřadu pro ochranu osobních údajů (dále jen „Úřad“). Přitom je nutné, aby škola určila, zda je, nebo není pravděpodobné, že by porušení zabezpečení osobních údajů mělo za následek riziko pro práva a povinnosti fyzických osob.
V tomto ohledu by měla škola zvažovat, jestli bude mít porušení zabezpečení pro subjekty údajů za následek fyzickou, hmotnou či nehmotnou újmu, jako je
-
ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv,
-
diskriminace,
-
krádež nebo zneužití identity,
-
finanční ztráta,
-
neoprávněné zrušení,
-
ztráta pseudonymizace6),
-
poškození pověsti,
-
jakékoli jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob7).
V praxi škol je nutné k porušení zabezpečení přistupovat nanejvýš obezřetně a zkoumat možné důsledky každého jednotlivého porušení zabezpečení vzhledem ke konkrétním subjektům údajů. GDPR nepřímo přiznává dítěti větší ochranu než dospělému8) a vzhledem k nízkému věku lze předpokládat, že porušení zabezpečení osobních údajů dítěte bude mít za následek větší riziko než porušení zabezpečení stejných osobních údajů dospělého.
Vedle toho, jaký subjekt byl porušením zabezpečení dotčen, je třeba také zkoumat, jaký typ osobních údajů byl porušením zabezpečení dotčen. Je nutné důsledně rozlišovat, zda se porušení zabezpečení týká
-
běžných údajů (např. ztráta seznamu třídy),
-
vysoce osobních údajů (za vysoce osobní údaj lze např. považovat skutečnost, že žákovi je poskytována poradenská služba), nebo
-
zvláštní kategorie osobních údajů (např. údaj o sociální situaci nebo údaje o zdravotním stavu žáka).
Ohlášení Úřadu není nutné, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.9)
Pokud je pravděpodobné, že by porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob, GDPR stanovuje povinnost ohlásit toto porušení Úřadu10). V tomto směru je pro školy významná rychlá komunikace mezi zaměstnanci (např. informatikem školy) a ředitelem, resp. pověřencem. Důvod spočívá v tom, že ohlášení porušení zabezpečení musí být provedeno do 72 hodin od okamžiku, kdy se o něm jakýkoliv zaměstnanec školy dozvěděl.
Autorky doporučují školám, aby porušení zabezpečení vysoce osobních a zvláštních kategorií osobních údajů vždy považovaly za porušení, se kterým jsou spojena rizika pro práva a svobody fyzických osob. Lze proto dále doporučit, aby školy uvedená porušení zabezpečení osobních údajů zásadně ohlašovaly Úřadu.
3. Jak porušení zabezpečení hlásit Úřadu?
Jak již bylo uvedeno, porušení zabezpečení je nutné ohlásit Úřadu do 72 hodin od chvíle, kdy se škola o porušení dozvěděla. Pokud tak činí později, musí zpoždění zdůvodnit.
Úřad zveřejnil způsob ohlašování porušení zabezpečení. Z důvodu zajištění rychlosti ohlašování se má podávat
-
buď e-mailem na adresu posta@uoou.cz, nebo
-
do datové schránky: qkbaa2n.
Jelikož školy disponují datovou schránkou, lze doporučit, aby ohlášení porušení zabezpečení školy prováděly prostřednictvím datové schránky.
Ohlášení musí obsahovat
a)
popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
b)
jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace,
c)
popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
d)
popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
V některých případech bude prospěšné poskytnout i další podrobnosti. Typickým případem bude uvedení jména/názvu zpracovatele osobních údajů (např. název školního informačního systému), je-li u kořene porušení, jelikož to může mít dopad na další školy využívající stejného zpracovatele osobních údajů. Současně platí, že Úřad si může v každém případě vyžádat další podrobnosti v rámci svého šetření.
Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. V praxi může docházet k situaci, kdy dojde k porušení zabezpečení (např. krádež spisu). Toto porušení je nahlášeno Úřadu v bodech a) až c) uvedených výše. Poté správce přijme opatření (do budoucna budou údaje uložené v uzamykatelných skříňkách), které následně, tzn. po lhůtě 72 hodin, nahlásí Úřadu11). Stejně tak by školy neměly otálet s ohlašováním, pokud nedisponují přesnými informacemi, např. nevědí přesný počet dotčených subjektů údajů. Jestliže je jasné, že došlo k porušení zabezpečení osobních údajů, ale ještě není znám rozsah, bezpečnou cestou je ohlašovat Úřadu informace postupně.
4. Jsou s porušením zabezpečení osobních údajů spojena vysoká rizika pro subjekty údajů?
Ve výjimečných případech bude třeba vedle ohlášení Úřadu ohlásit porušení též subjektům údajů. Typicky se bude jednat o ztráty celých spisů obsahujících zvláštní kategorie osobních údajů či „vykradení“ celé databáze údajů.
Uvedená povinnost vyplývá z čl. 34 odst. 1 GDPR.
Článek 34 odst. 1 GDPR
Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
5. Jak porušení zabezpečení ohlásit subjektům údajů?
Oznámení je velmi podobné oznámení, které je škola povinna učinit vůči Úřadu. V tomto oznámení škola uvede
a)
popis povahy porušení zabezpečení (jednoduše řešeno – popis toho, co se stalo),
b)
jméno a kontaktní údaje pověřence pro ochranu osobních údajů,
c)
popis pravděpodobných důsledků porušení,
d)
popis opatření přijatých nebo navržených pro řešení případu včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Může se stát, zejména v případě rozsáhlého porušení zabezpečení (např. požár spisovny), že by zjišťování každého jednotlivého subjektu údajů (např. každého jednotlivého žáka, jehož osobní spis byl ve spisovně uložen a je zničen) a oznamování porušení zabezpečení každému jednotlivému subjektu údajů přestavovalo pro školu neúměrné úsilí. Pro tuto situaci GDPR předpokládá, že lze o porušení zabezpečení osobních údajů učinit veřejné oznámení12).
V čl. 34 odst. 3 písm. a) a b) však GDPR stanoví další výjimky, kdy není nutné i přes vysoké riziko porušení zabezpečení hlásit přímo nebo vůbec postiženým subjektům údajů. Uvedené výjimky jsou spojeny s následujícími situacemi:
a)
škola zavedla náležitá technická a organizační opatření ještě před případem porušení zabezpečení, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup,
b)
ihned po incidentu škola zjistila, že vysoké riziko pro práva a svobody jednotlivců se již pravděpodobně neprojeví; např. škola podnikla patřičné kroky vůči „zloději“ údajů dříve, než s nimi mohl dále neoprávněně nakládat.
Závěr
Povinnost hlásit porušení zabezpečení osobních údajů je jednou z významných povinností, která pro školy vyplývá z GDPR. Lze doporučit, aby škola zajistila vhodné a včasné předávání informací mezi zaměstnanci školy, bez kterého tuto povinnost nelze splnit.
1) Jako „vysoce osobní“ se v článku chápou osobní údaje, které nespadají do zvláštní kategorie osobních údajů (viz čl. 9 GDPR) a které současně představují osobní údaje, se kterými je spojen větší potenciál způsobené újmy.
2) Podle dřívější terminologie „citlivými údaji“.
3) K uvedenému incidentu došlo ve skutečnosti. Viz Mladík se naboural do systému školy, žákům změnil známky. Tn.cz [online]. [cit. 2019-01-28]. Dostupné z: http://tn.nova.cz/clanek/mladik-se-naboural-do-systemu-skoly-zakum-menil-znamky.html.
4) K uvedenému incidentu došlo ve skutečnosti, kdy ve volně dostupné aplikaci České školní inspekce InspIS SET bylo po dobu minimálně několika hodin možné, aby neoprávněné osoby měly přístup k následujícím údajům: jméno a příjmení žáka, třída, název testu, ke kterému byl žák zaregistrován. V některých případech byla u názvu testu uvedena i poznámka „SVP“. Viz Vyjádření k problematice osobních údajů žáků v rámci přípravy výběrového zjišťování 2018. ČŠI [online]. [cit. 2019-01-28]. Dostupné z: https://www.csicr.cz/cz/Aktuality/Vyjadreni-k-problematice-osobnich-udaju-zaku-v-ram.
5) Je zřejmé, že problematickým aspektem se jeví vůbec vědomí o tom, že k porušení zabezpečení došlo. Lze si snadno představit, že např. ztrátu dokumentů ze spisovny školy škola zjistí (v nejlepším případě) při provádění každoročního skartačního řízení. Skutečnost, že někdo zkopíroval z informačního systému údaje žáka, škola zpravidla nezjistí vůbec nebo až po dlouhé době. Při evidování uvedených porušení zabezpečení osobních údajů bude pro školu důležité identifikovat důvod, proč ke zjištění porušení zabezpečení došlo po dlouhé době a zda bylo možné v případě přijetí vhodných opatření tuto dobu zkrátit.
6) Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.
7) Viz bod 85 odůvodnění GDPR.
8) Například čl. 6 odst. 1 písm. f) a čl. 8 GDPR.
9) Viz čl. 33 odst. 1 GDPR.
10) Tamtéž.
11) Viz Ohlašování případů porušení zabezpečení. ÚOOÚ [online]. [cit. 2019-01-28]. Dostupné z: https://www.uoou.cz/ohlasovani-pripadu-poruseni-zabezpeceni/d-30181.
12) Viz čl. 34 odst. 3 písm. c) GDPR.

Související dokumenty

Pracovní situace

Shrnutí základních legislativních změn ovlivňujících činnost škol a školských zařízení ve školním roce 2017/2018
GDPR - pro školy
Evidenční list dítěte nepřijatého k předškolnímu vzdělávání
Kamerové systémy v mateřské škole
Ochrana osobních údajů v praxi poradenských pracovníků
Poskytování osobních údajů školami Policii ČR
Předávání osobních údajů žáků pojišťovnám
Metodická pomůcka k aplikaci GDPR ve školství - vydaná MŠMT
GDPR: Jak zjistit, že škola (ne)potřebuje souhlas?
Kritéria výběru externího pověřence pro ochranu osobních údajů
Obecné nařízení o ochraně osobních údajů ve školách a školských zařízeních – charakteristika, podmínky legálního zpracování osobních údajů, informační povinnost správce
Informační povinnost školy nebo školského zařízení – příklady
Souhlas se zpracováním osobních údajů ve školách - nejčastější situace
Bezpečnost osobních údajů podle zákona o ochraně osobních údajů
Zveřejnění údaje o platu
Narušování online výuky
Informační povinnost správce v případě, že osobní údaje nebyly získány od subjektu údajů
Záznamy o činnostech zpracování a školní jídelny
Záznamy o činnostech zpracování a školní družiny
Záznamy o činnostech zpracování - základní školy

Poradna

GDPR
Jmenování ředitele
Zveřejňování fotografií
Cestovní náklady v případě cesty na soutěž - odborná poradna, odpověď na dotaz
Zahraniční výjezd ředitele školy - odborná poradna, odpověď na dotaz
Cestovní náhrady při cestě na školení - odborná poradna, odpověď na dotaz
Čipy ve školní jídelně - odborná poradna, odpověď na dotaz
Volby do školské rady
Dohoda o výkonu práce z domova
Úplata za zájmové vzdělávání
Směrnice
Pracovní náplň
Nekomunikace
Zřizovatel
Doplňková činnost
Zástup
Pracovnělékařské služby
Jmenování ředitelky
Poplatky školní družina
Vychovatelka ŠD