Vznik povinnosti ohlásit porušení zabezpečení osobních údajů dle GDPR a výjimky z ní

13. 9. 2020

Dle GDPR mají všichni správci osobních údajů povinnost ohlašovat porušení zabezpečení osobních údajů, a to nejpozději do 72 hodin. V tomto článku popíšu, jaký je účel ohlašovací povinnosti, v jakých případech ohlašovací povinnost vzniká a jaké z ní existují výjimky.

Účel ohlašovací povinnosti

Primárním účelem vzniku ohlašovací povinnosti je vyrovnání informační asymetrie mezi správcem na jedné straně a dozorovým orgánem a subjektem údajů na straně druhé. Oproti ohlašování kybernetických bezpečnostních incidentů dle zákona o kybernetické bezpečnosti[1] zaměřeného na ochranu veřejných (nedistributivních) práv je účelem ohlašování porušení zabezpečení osobních údajů především ochrana konkrétního člověka a jeho osobnosti, soukromí a práva na informační určení.

Shodně se zákonem o kybernetické bezpečnosti slouží i ohlašovací povinnost dle GDPR k tomu, aby dozorové orgány získávaly informace o tom, jaká jsou v praxi uplatňovány bezpečnostní opatření, jaká je jejich efektivita či jaké jsou aktuální hrozby. Dozorové orgány tak získávají cenné podklady k případným úpravám své rozhodovací praxe.

 

Obsah pojmu porušení zabezpečení osobních údajů

Porušením zabezpečení osobních údajů (dále též jen „porušení zabezpečení“) se dle čl. 4 odst. 12 GDPR rozumí náhodné nebo protiprávní zničení, ztráta, změna či neoprávněné poskytnutí nebo zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů. Vzhledem k tomu, že porušení zabezpečení je pro ohlašovací povinnost zcela zásadním pojmem, je vhodné se pečlivěji zabývat jeho obsahem, konkrétně pojmy zničení, ztráta, změna a neoprávněné poskytnutí nebo zpřístupnění osobních údajů.

  • V případě zničení osobní údaje neexistují, nebo již neexistují ve formě, která by mohla správci sloužit k naplnění stanoveného účelu (např. v důsledku shoření listiny či serveru).
  • Pojem ztráta osobních údajů by se měl vykládat tak, že osobní údaje mohou stále existovat, ale správce nad nimi ztratil kontrolu, přístup nebo je již nedrží (např. ztráta notebooku či trvalá ztráta přístupových údajů ke cloudové službě).
  • Změnou je myšlen stav, kdy jsou osobní údaje poškozeny, kompromitovány, nebo již nejsou úplné (např. částečné poškození pevného disku či nevratný přepis údajů v databázi).
  • A konečně, neoprávněné poskytnutí nebo zpřístupnění může zahrnovat zveřejnění osobních údajů příjemcům, kteří nemají oprávnění přistupovat k těmto údajům nebo jakákoliv jiná forma zpracování, která porušuje GDPR.[2]

Dle jazykového výkladu však do rozsahu pojmu ztráta nespadá dočasná nedostupnost osobních údajů (např. krátkodobý výpadek cloudových služeb či zašifrování dat v důsledku útoku ransomware, kdy jsou napadená data bezodkladně obnovena ze zálohy). Z toho lze učinit závěr, že ke vzniku ohlašovací povinnosti z důvodu ztráty osobních údajů musí jít o trvalou ztrátu kontroly nad osobními údaji (dostupnosti). Toto potvrzuje ÚOOÚ v aktuálních poznatcích o ohlašování porušení zabezpečení.[3] Pokud došlo k úspěšné obnově osobních údajů po útoku ransomware bez dalších vážných přetrvávajících důsledků, nepředstavuje taková událost zpravidla riziko pro subjekty údajů a nevyžaduje ohlašování ÚOOÚ. I když správce dosáhne úplné obnovy osobních údajů ze zálohy, je třeba ještě zjistit, zda útočník nezískal k osobním údajům přístup, tedy zda nedošlo k porušení jejich důvěrnosti.

Rozsah pojmu porušení zabezpečení je tedy velmi široký. Jako nejčastější příčiny porušení zabezpečení ÚOOÚ uvádí úmyslné či neúmyslné zneužití údajů zaměstnancem, neodbornou manipulaci s dokumentací, úspěšný phishingový útok, neoprávněný přístup do počítačového systému, selhání techniky (např. serveru), softwaru či krádež zařízení obsahujícího osobní údaje.[4] Má-li správce pochybnosti o tom, zda k porušení zabezpečení došlo, v každém případě doporučuji včasnou analýzu za účasti odborníků v oblasti IT i práva. Důvodem je velmi krátká lhůta pro splnění ohlašovací povinnosti.

 

Lhůta ke splnění ohlašovací povinnosti

GDPR správce zavazuje k provedení oznámení vůči ÚOOÚ bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl.[5] Na první pohled jde o jasně stanovenou povinnost, při bližším zkoumání však vyvstávají potíže. V některých případech bude od určení počátku běhu lhůty poměrně zřejmé (odeslání e-mailu s přiloženým souborem obsahujícím databázi zákazníků nesprávnému příjemci), zatímco v jiných případech může správci trvat dlouhou dobu, než porušení zabezpečení zjistí (např. při útoku ve formě Advanced Persistent Threat[6]).

Dle stanoviska WP29 se za okamžik, kdy se správce o porušení zabezpečení dozvěděl, má považovat okamžik, kdy správce získal dostatečnou jistotu o tom, že došlo k bezpečnostnímu incidentu, který vedl k narušení zabezpečení osobních údajů.[7] Pojem dostatečná jistota však do problematiky dle mého názoru příliš jasno nevnáší. Předpokládám, že ÚOOÚ a soudy budou počátek běhu lhůty pro splnění ohlašovací povinnosti posuzovat podobně jako počátek běhu subjektivní promlčecí lhůty práva na náhradu škody, a to ad hoc dle okolností daného případu. To však nepřináší příliš jistoty pro správce.

 

Výjimky z ohlašování porušení zabezpečení osobních údajů

GDPR z ohlašovací povinnosti stanoví výjimky. Správce například nemá povinnost ohlásit porušení zabezpečení subjektům údajů ÚOOÚ, pokud je nepravděpodobné, že by toto porušení pro subjekty údajů mohlo představovat riziko.[8] Správce též nemusí porušení zabezpečení ohlašovat, pokud přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví.[9]

Obě výše uvedené výjimky stojí a padají na správném vyhodnocení rizik. Rizika plynoucí z porušení zabezpečení musí správce posoudit vždy komplexně na základě veškerých údajů, kterými disponuje. I pokud by správce dospěl k závěru o nepravděpodobnosti rizika, musí být schopen prokázat, na základě jakých vstupných údajů a pomocí jakých metod k tomu dospěl. Veškerá svá rozhodnutí by měl správce dokumentovat a uchovávat pro případnou kontrolu ze strany ÚOOÚ. Bez ohledu na úroveň zjištěného rizika tedy na správci leží významná administrativní zátěž.

Hrozí-li vysoké riziko pro subjekty údajů, musí správce bez zbytečného odkladu kromě ÚOOÚ notifikovat i dotčené fyzické osoby. Oznámení dotčeným fyzickým osobám se nevyžaduje za situace, kdy správce dotčené osobní údaje zašifroval[10] nebo pokud přijal následná opatření, která zajistí, že se zvýšené riziko pro subjekty údajů pravděpodobně neprojeví. Tímto následným opatřením může být třeba vymazání obsahu iPhone pomocí služby Najít iPhone, či zajištění potvrzení adresáta o odstranění chybně doručeného e-mailu. Správce má i v tomto případě povinnost vše zdokumentovat. Ohlášení dotčeným fyzickým osobám též není nutné, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě musí správce tyto osoby informovat alespoň veřejným oznámením (např. na svých webových stránkách, v tisku apod.).

Pokud správce vyhodnotí, že porušení zabezpečení je třeba ohlásit ÚOOÚ, ale váhá, zda informovat i subjekty údajů, může požádat ÚOOÚ o stanovisko. ÚOOÚ však může správci nařídit, aby o porušení subjekty údajů informoval, i bez této žádosti.[11]

Dle GDPR lze rozlišovat následující kombinace ohlašovacích povinností, lhůt a výjimek:

Povinná osoba a adresát ohlášení

Lhůta

Výjimka

Správce ohlašuje dozorovému úřadu (čl. 33 odst. 1) Bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o porušení zabezpečení osobních údajů dozvěděl. Ohlášení se nevyžaduje, pokud je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob.
Zpracovatel ohlašuje správci (čl. 33 odst. 2) Bez zbytečného odkladu. Není.
Správce oznamuje subjektu údajů (čl. 34 odst. 1) Bez zbytečného odkladu. Oznámení se nevyžaduje, pokud

a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

 

 

 

Závěr

Ohlašovací povinnost tíží každého správce osobních údajů, tedy v podstatě každého podnikatele i neziskovou organizaci. Pojem porušení zabezpečení je velmi široký a zahrnuje velké množství životních situací. Tento článek měl přispět k pochopení účelu ohlašovací povinnosti, k rozboru obsahu klíčového pojmu porušení zabezpečení a představení výjimek z ohlašovací povinností.

Správcům lze doporučit, aby se připravili na okamžik, kdy získají podezření o tom, že jimi zpracovávané osobní údaje jsou nepřístupné, neoprávněně zveřejněné či poškozené. Správci by měli mít připravený postup vedoucí k rychlému vyšetření porušení zabezpečení, k jeho dokumentaci a k jeho ohlášení ÚOOÚ či subjektům údajů. Vhodné je zaměstnance proškolit a prostřednictvím pracovního řádu zavázat ke konkrétnímu postupu při detekci a ohlašování porušení zabezpečení.

Ve svých dalších článcích se budu detailněji zabývat určením počátku běhu lhůty pro splnění ohlašovací povinnosti (tedy určením vzniku skutečné jistoty správce o porušení zabezpečení) a obsahem ohlášení ÚOOÚ a dotčeným subjektům údajů.

 

[1] Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů

[2] Pokyny k oznamování porušení ochrany osobních údajů podle nařízení 2016/679 ze dne 3. 10. 2017, ve znění pozdějších předpisů [online]. iapp.org. [cit. 18. 9. 2020].  https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf.

[3] Poznatky Úřadu z ohlašování porušení zabezpečení osobních údajů [online]. Úřad pro ochranu osobních údajů. [cit. 13. 9. 2020]. https://www.uoou.cz/poznatky%2Duradu%2Dz%2Dnbsp%2Dohlasovani%2Dporuseni%2Dzabezpeceni%2Dosobnich%2Dudaju/d-37161

[4] Odbornost pověřenců nemocnic se zvyšuje, ÚOOÚ však stále eviduje řadu oznámení ze zdravotnictví [online]. Úřad pro ochranu osobních údajů. [cit. 13. 9. 2020]. https://www.uoou.cz/odbornost%2Dpoverencu%2Dnemocnic%2Dse%2Dnbsp%2Dzvysuje%2Duoou%2Dvsak%2Dstale%2Deviduje%2Dradu%2Doznameni%2Dze%2Dnbsp%2Dzdravotnictvi/d-37235

[5] Čl. 33 odst. 1 GDPR.

[6] Sofistikované kybernetické útoky zaměřené na významné státní či soukromé organizace vyznačující se svou dlouhodobostí a systematičností. Útočníci cílový systém vytrvale infiltrují pomocí pokročilých a adaptivních technik, čímž se tyto útoky odlišují od běžných druhů napadení. Pojmem Advanced Persistent Threat se někdy označují skupiny útočníků využívající tyto sofistikované metody.

[7] Guidelines on Personal data breach notification under Regulation 2016/679 [online]. European Commission. [cit. 13. 9. 2020]. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052

[8] Mezi tato rizika patří např. ztráta kontroly nad osobními údaji nebo omezení práv člověka, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím. Typicky tak nebude nutné ohlašovat porušení důvěrnosti osobních údajů, pokud byly zašifrovány dostatečně silnou šifrou. Pokud by však vedle důvěrnosti byla narušena i dostupnost osobních údajů (např. z důvodu neexistence záloh), nelze se na šifrování odvolat a je třeba vyhodnotit příslušné riziko.

[9] Například pokud správce identifikoval a změnil neoprávněně získaná hesla k uživatelským účtům dříve, než je útočníci stačili využít.

[10] Čl. 34 odst. 3 písm. a) GDPR.

[11] Čl. 34 odst. 4 a čl. 58 odst. 2 písm. e) GDPR.