Porušení zabezpečení osobních údajů v poradenských zařízeních

Povinnost hlásit porušení zabezpečení spočívá v povinnosti správců, tedy též právnických osob vykonávajících činnost poradenských zařízení, ohlašovat jakékoliv porušení zabezpečení osobních údajů, které může mít za následek riziko pro práva a svobody fyzických osob. Při realizaci této povinnosti by si měli správci položit následující otázky:

Nejprve by si měla poradenská zařízení ujasnit, zda došlo k porušení zabezpečení a zda se toto porušení dotýká osobních údajů. Porušením zabezpečení osobních údajů se rozumí takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. V praxi poradenských zařízení se může jednat např. o ztrátu spisu dítěte, který obsahuje citlivé osobní údaje, mající za následek buď ztrátu těchto údajů, nebo možný neoprávněný přístup k osobním údajům. Porušením zabezpečení osobních údajů však nebude běžná ztráta klíče od budovy školy, kde jsou v listinné podobě uloženy spisy žáků, kterým jsou poskytovány poradenské služby, pokud správce s vysokou pravděpodobností ví/očekává, že k neoprávněnému přístupu k osobním údajům nedošlo (např. prověřil tuto skutečnost ze záznamu kamerového systému).

Problematickým aspektem se tak jeví vůbec vědomí o tom, že k porušení zabezpečení došlo. Proto je vhodné poučit zaměstnance správce, že každé porušení zabezpečení (tedy i ztrátu klíče) je nutné bezodkladně hlásit řediteli, příp. pověřenci pro ochranu osobních údajů. Tuto povinnost lze formalizovat v interní směrnici či v jiném vnitřním dokumentu.

Na tomto místě autorky upozorňují, že správce je povinen vést evidenci veškerých porušení zabezpečení osobních údajů a na žádost ji předložit Úřadu pro ochranu osobních údajů (dále jen „Úřad“).

Dle čl. 33 odst. 1 Nařízení ohlášení případu není nutné, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (čl. 33 odst. 1 Nařízení). Při posouzení by měl správce zvažovat, jestli bude mít porušení pro subjekty údajů za následek fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace¹⁾, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob²⁾. V praxi poradenských zařízení je nutné k porušení přistupovat nanejvýš obezřetně, jelikož se porušení bude zpravidla týkat vysoce osobních údajů (za vysoce osobní údaj lze považovat i pouhou skutečnost, že žákovi je poskytována poradenská služba), údajů o sociální situaci nebo údajů o zdravotním stavu. Proto je při porušení zabezpečení riziko týkající se vzniku nehmotné újmy (diskriminace, poškození pověsti či společenské znevýhodnění) vyšší než např. v případě neoprávněného zveřejnění údajů ze školní matriky. Je tedy nutné u poradenských zařízení vycházet z předpokladu, že téměř všechna porušení zabezpečení osobních údajů představují takové riziko, které znamená ohlašovací povinnost.

Pokud dojde z jakéhokoli důvodu k porušení zabezpečení osobních údajů, které splňuje alespoň minimální míru rizikovosti, musí na to správce osobních údajů bez zbytečného odkladu, zpravidla však do 72 hodin, upozornit Úřad. V praxi bude obvyklé ujednání, že ohlášení na Úřad provádí pověřenec pro ochranu osobních údajů.

Článek 34 odst. 1 Nařízení uvádí, že pokud je pravděpodobné, že určitý případ porušení zabezpečení bude mít vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Pro praxi poradenských zařízení to znamená, že porušení zabezpečení osobních údajů je nutné hlásit primárně Úřadu, ale v některých případech též subjektům údajů. Typicky se bude jednat o ztráty celých spisů s citlivými údaji. Na druhou stranu ztráta zašifrovaného notebooku obsahujícího citlivé osobní údaje nesplní podmínku existence vysokého rizika pro subjekty údajů, proto nebude nutné tuto ztrátu oznamovat subjektu údajů. Nicméně určité riziko zde je, proto bude potřeba ohlásit daný případ Úřadu.

Ohlášení musí obsahovat:

Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. V praxi tak může docházet k situaci, kdy dojde k porušení zabezpečení (např. krádež spisu). Toto porušení je nahlášeno v bodech a) až c) na Úřad. Následně správce přijme opatření (do budoucna budou údaje uložené v zamykatelných skříňkách), které následně, tzn. po lhůtě 72 hodin, nahlásí na Úřad.

Hlášení porušení zabezpečení je novou povinností, kterou s sebou Nařízení přináší. Jako zásadní se autorkám jeví poučení zaměstnanců o povinnosti hlásit příslušné osobě (řediteli / zástupci ředitele / pověřenci pro ochranu osobních údajů) jakékoliv porušení zabezpečení osobních údajů. Tato osoba následně vede evidence všech porušení zabezpečení osobních údajů. Povinnost hlásit porušení zabezpečení v rámci organizace může být zaměstnancům uložena např. v interním předpise. Dalším krokem je vyhodnocení rizikovosti porušení zabezpečení a s ním spojená povinnost hlásit jej na Úřad, příp. též postiženým subjektům údajů.