Dňa 24. júna 2013 bolo prijaté nariadenie Komisie (EÚ) č. 611/2013 o opatreniach uplatniteľných na oznamovanie prípadov porušenia ochrany osobných údajov na základe smernice Európskeho Parlamentu a Rady 2002/58/ES o súkromí a elektronických komunikáciách, ktoré je právne záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch. Toto nariadenie nadobudlo účinnosť dňa 25. augusta 2013.
Nariadenie stanovuje kedy poskytovateľ verejne dostupnej elektronickej komunikačnej služby (napr. telekomunikačné spoločnosti, ISP, poskytovatelia emailových služieb) musí porušenie ochrany osobných údajov oznámiť
- príslušným vnútroštátnym orgánom a aj
- účastníkom a dotknutým jednotlivcom (len v určitých prípadoch).
Pojem porušenie osobných údajov je vymedzený v smernici o súkromí a elektronických komunikáciách ako porušenie bezpečnosti, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu nedovolené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, ukladajú alebo inak spracúvajú v súvislosti s poskytovaním verejne dostupnej elektronickej komunikačnej služby v Únii.
Oznamovanie príslušnému vnútroštátnemu orgánu
Poskytovatelia sú povinný oznamovať príslušnému vnútroštátnemu orgánu všetky prípady porušenia ochrany osobných údajov. Poskytovatelia preto nemajú diskrečnú právomoc rozhodnúť, či príslušnému vnútroštátnemu orgánu porušenie oznámi alebo nie.
Poskytovateľ je povinný oznámiť porušenie ochrany osobných údajov príslušnému vnútroštátnemu orgánu v zásade najneskôr do 24 hodín po zistení porušenia ochrany osobných údajov, ak je to uskutočniteľné.
Za zistenie porušenia ochrany osobných údajov sa pokladá situácia, keď poskytovateľ nadobudol vedomosť o tom, že došlo k narušeniu bezpečnosti, ktoré viedlo k zneužitiu osobných údajov, dostačujúcu na to, aby mohol podať zmysluplné oznámenie podľa požiadaviek v nariadení.
Do oznámenia určeného príslušnému vnútroštátnemu orgánu poskytovateľ zahrnie informácie stanovené v prílohe I. nariadenia.
Príslušný vnútroštátny orgán poskytne všetkým poskytovateľom usadeným v dotknutom členskom štáte bezpečný elektronický prostriedok na oznamovanie porušení ochrany osobných údajov a informácie o postupoch prístupu k nemu a jeho používania.
Príslušným orgánom v Slovenskej republike je Telekomunikačný úrad SR. Oznámenie porušenia ochrany osobných údajov je možné urobiť prostredníctvom tejto webstránky.
Oznámenie účastníkovi alebo jednotlivcovi
Ak je pravdepodobné, že porušenie ochrany osobných údajov nepriaznivo ovplyvní osobné údaje alebo súkromie účastníka alebo jednotlivca, poskytovateľ okrem oznámenia porušenia vnútroštátnemu orgánu povinný oznámiť takéto porušenie aj účastníkovi alebo jednotlivcovi.
To, či porušenie ochrany osobných údajov pravdepodobne nepriaznivo ovplyvní osobné údaje alebo súkromie účastníka alebo jednotlivca, sa posúdi so zohľadnením najmä týchto okolností:
1. povaha a obsah dotknutých osobných údajov, predovšetkým ak ide o finančné informácie, osobitné kategórie údajov uvedené v článku 8 ods. 1 smernice 95/46/ES, ako aj lokalizačné údaje, internetové logovacie súbory, záznamy o prezeraných webových stránkach, údaje o elektronickej pošte a zoznamy jednotlivých hovorov;
2. pravdepodobné dôsledky porušenia ochrany osobných údajov pre dotknutého účastníka alebo jednotlivca, najmä ak by porušenie mohlo viesť ku krádeži alebo zneužitiu identity, fyzickej ujme, psychickému utrpeniu, poníženiu alebo poškodeniu povesti, ako aj
3. okolnosti porušenia ochrany osobných údajov, najmä ak boli údaje odcudzené alebo ak poskytovateľ vie, že údaje má v držbe neoprávnená tretia strana.
Oznámenie účastníkovi alebo jednotlivcovi sa vykoná bez zbytočného odkladu po zistení porušenia ochrany osobných údajov.
Do oznámenia určeného účastníkovi alebo jednotlivcovi poskytovateľ zahrnie informácie stanovené v prílohe II nariadenia. Jazyk oznámenia určeného účastníkovi alebo jednotlivcovi musí byť jasný a ľahko zrozumiteľný. Poskytovateľ nesmie využiť oznámenie ako príležitosť na propagáciu alebo reklamu nových ani doplnkových služieb
Keď poskytovateľ, ktorý má priamy zmluvný vzťah s koncovým užívateľom, ani napriek vynaloženému primeranému úsiliu nie je schopný v lehote bez zbytočného odkladu identifikovať všetkých jednotlivcov, ktorých by sa pravdepodobne mohlo nepriaznivo dotknúť dané porušenie ochrany osobných údajov, môže v uvedenej lehote informovať týchto jednotlivcov prostredníctvom inzercie uverejnenej v hlavných celoštátnych alebo regionálnych médiách. Takáto inzercia obsahuje informácie uvedené v prílohe II, v prípade potreby v stručnej forme. Poskytovateľ v takom prípade pokračuje v primeranom úsilí identifikovať daných jednotlivcov a oznámiť im informácie uvedené v prílohe II čo najskôr.
Keď poskytovateľ využíva iného poskytovateľa na vykonanie časti služby, pokiaľ ide napríklad o účtovné alebo riadiace úlohy, tento iný poskytovateľ, ktorý nemá žiadny priamy zmluvný vzťah s koncovým užívateľom, by nemal mať povinnosť podávať oznámenia v prípade, že dôjde k porušeniu ochrany osobných údajov. Namiesto toho by mal upozorniť a informovať poskytovateľa, s ktorým má priamy zmluvný vzťah. Malo by to platiť aj v rámci veľkoobchodného poskytovania elektronických komunikačných služieb, keď veľkoobchodný poskytovateľ v zásade nemá priamy zmluvný vzťah s koncovým užívateľom.
Týmto nariadením došlo k harmonizácií oznamovacej povinnosti poskytovateľov, čo možno hodnotiť pozitívne. Vítané je najmä jasné a presné definovanie toho, čo sa od poskytovateľov požaduje. Pozitívum sú taktiež rozumné a pragmatické postupy stanovené nariadením pre oznamovanie porušenia ochrany osobných údajov. Nariadenie taktiež oslobodzuje od nutnosti informovať užívateľov, ktorých dáta boli riadne kódované alebo inak chránené, aby sa stali nečitateľnými pre všetky osoby bez oprávneného prístupu k nim, čo je vhodným ústupkom tým poskytovateľom, ktorí prijali vhodné opatrenia na zaistenie bezpečnosti dát zákazníkov, a to najmä tých, ktoré sú citlivej povahy.
Týmto by sme Vás zároveň chceli požiadať o zaslanie oznámia porušenia ochrany osobných údajov v prípade, že Vám bude nejaké doručené.