z právní praxe ní osobních údajů jednotlivce, které byly již dříve veřejně dostupné.9 V případech porušení zabezpečení osobních údajů, kdy určité riziko pro práva a svobody fyzických osob existuje, však ohlašovací povinnost ve smyslu čl. 33 GDPR vzniká, a správce musí bezpečnostní incident nejpozději do 72 hodin po těchto zjištěních ohlásit dozorovému úřadu. Hrozí-li, že riziko bude vysoké, musí správce informovat (až na výjimky uvedené v čl. 34 odst. 3 GDPR) bez zbytečného odkladu také samotný subjekt údajů. Ačkoli je správci dána povinnost porušení zabezpečení osobních údajů ohlašovat dozorovému úřadu, GDPR nestanovuje výslovně povinnost správce porušení zabezpečení aktivně zjišťovat. Tato povinnost se však dá dovodit z čl. 32 GDPR, dle kterého jsou správce i zpracovatel povinni zavést vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající konkrétnímu riziku. A právě mezi taková opatření by mohl spadat také systém detekce bezpečnostních incidentů.10 V neposlední řadě je třeba podotknout, že ohlášením případu porušení zabezpečení osobních údajů povinnosti správce nekončí. Čl. 33 odst. 5 GDPR dále správci ukládá, aby veškeré případy porušení zabezpečení osobních údajů řádně dokumentoval. Dokumentace musí být vedena skutečně o všech případech porušení zabezpečení; tedy i o těch, u nichž správce vyhodnotil, že nebudou mít za následek riziko pro práva a svobody fyzických osob a která tedy dozorovému úřadu ohlašovat nemusí.11 Kromě skutečností týkajících se daného porušení a jeho účinků musí správce v dokumentaci uvést rovněž přijatá nápravná opatření. Cílem této povinnosti je patrně připravit podklady pro dozorový úřad a ulehčit mu případné šetření bezpečnostního incidentu. Povinnost ohlašovat porušení zabezpečení dozorovému úřadu dle čl. 33 odst. 1 GDPR se vztahuje pouze na správce a nikoli na zpracovatele osobních údajů. Zpracovateli je však v čl. 33 odst. 2 GDPR uloženo, aby případné zjištění porušení zabezpečení osobních údajů hlásil bez zbytečného odkladu správci. Nad rámec této povinnosti GDPR dále stanovuje, že je třeba ve zpracovatelské smlouvě (příp. jiným právním aktem podle práva Unie nebo členského státu) stanovit povinnost zpracovatele být nápomocen správci při zajišťování povinnosti ohlašovat porušení zabezpečení dozorovému úřadu.12 Tuto povinnost je vhodné ve zpracovatelské smlouvě nejen stanovit, ale také ji blíže rozvést a určit konkrétní způsoby této nápomoci. 102
Závěr Dle GDPR musí mít správce osobních údajů zavedeny procesy identifikace bezpečnostních incidentů, resp. případů porušení zabezpečení osobních údajů. Lhůta pro ohlášení případu porušení zabezpečení osobních údajů činí 72 hodin od okamžiku, kdy se správce o porušení zabezpečení dozvěděl. Tento okamžik však nelze bez dalšího ztotožňovat s okamžikem, kdy se správce dozvěděl o prvních informacích týkajících se bezpečnostního incidentu. Počátek předmětné lhůty je vhodné spíše spojovat s okamžikem, kdy po celkovém posouzení dostupných údajů dospěl správce k závěru, že konkrétní událost je bezpečnostním incidentem, který má za následek porušení zabezpečení osobních údajů. Pro snadnější určení tohoto okamžiku je vhodné procesy identifikace bezpečnostních incidentů formalizovat – přes fázi sběru dat o potencionálních bezpečnostních incidentech až po fázi posouzení těchto dat za účelem potvrzení
bezpečnostního incidentu. Pokud budou tyto procesy vhodně nastaveny a nebude při jejich realizaci docházet ke zbytečným odkladům, měla by se výše zmíněná 72hodinová lhůta počítat až od konečného potvrzení porušení zabezpečení osobních údajů. Správce nemůže výše zmíněné povinnosti obcházet tak, že by zcela rezignoval na identifikaci bezpečnostních incidentů, nebo tím, že by jejich ověřování neúměrně prodlužoval.
Mgr. Červinková Barbora, koncipientka advokátní kanceláře Císař, Češka, Smutný Mgr. Bc. Tupec Radek, koncipient advokátní kanceláře Císař, Češka, Smutný
Poznámky: 1 Z anglického General Data Protection Regulation. 2 Dle čl. 51 odst. 1 GDPR je dozorovým úřadem jeden nebo i více nezávislých orgánů veřejné moci pověřených monitorováním uplatňování GDPR s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř EU. V České republice bude funkci dozorového úřadu vykonávat Úřad pro ochranu osobních údajů. 3 Čl. 4 odst. 12 GDPR. 4 WP29 je pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů. WP29 byla zřízena čl. 29 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Jedná se o nezávislou skupinu, která má poradní funkci. V rámci své činnosti vydává WP29 stanoviska a doporučení, která mj. upřesňují výklad některých pojmů GDPR. Směrnice 95/46/ ES bude na základě čl. 94 GDPR s účinkem ode dne 25. května 2018 zrušena a pracovní skupina WP29 bude nahrazena Evropským sborem pro ochranu osobních údajů zřízeným na základě GDPR. 5 Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679, WP29. Dostupné z: https://www. uoou.cz/assets/File.ashx?id_org=200144 & id_ dokumenty=27694 [cit. 10. 12. 2017]
EPRAVO.CZ Magazine | 1/2018 | www.epravo.cz
6 Bod 87 odůvodnění k GDPR. 7 Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679, WP29. Dostupné z: https://www. uoou.cz/assets/File.ashx?id_org=200144 & id_ dokumenty=27694 [cit. 10. 12. 2017] 8 Dle čl. 33 odst. 1 GDPR není třeba hlásit takové případy porušení zabezpečení osobních údajů, u nichž je nepravděpodobné, že by toto porušení mělo za následek rizika pro práva a svobody fyzických osob. Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679, WP29. Dostupné z: https://www.uoou.cz/assets/File. ashx?id_org=200144 & id_dokumenty=27694 [cit. 10. 12. 2017] 9 Vodítka k ohlašování případů porušení zabezpečení osobních údajů podle Nařízení 2016/679, WP29. Dostupné z: https://www. uoou.cz/assets/File.ashx?id_org=200144 & id_ dokumenty=27694 [cit. 10. 12. 2017] 10 NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ, B., TOMÍŠEK, J. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s. 11 NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ, B., TOMÍŠEK, J. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. 544 s. 12 Čl. 28 odst. 3 písm. f) GDPR.