Stručně: Paragraf 41 zákona o zpracování osobních údajů stanoví povinnost spravujícího orgánu ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů, pokud není riziko pro práva a svobody subjektu údajů nízké, a to bez zbytečného odkladu.
§ 41 Ohlašování porušení zabezpečení osobních údajů Úřadu
(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké.
(2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení.
(3) V ohlášení podle odstavce 1 spravující orgán uvede, pokud jsou mu tyto údaje známy, alespoň
a) popis povahy porušení zabezpečení osobních údajů,
b) kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká,
c) jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů,
d) popis pravděpodobných důsledků porušení zabezpečení osobních údajů a
e) popis opatření přijatých nebo navržených spravujícím orgánem k nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních údajů.
(4) Skutečnosti podle odstavce 3, které mu nebyly v době ohlášení známy, spravující orgán doplní bez zbytečného odkladu poté, co se o nich dozví.
(5) Skutečnosti podle odstavce 3 sdělí spravující orgán též osobě nebo orgánu jiného členského státu Evropské unie, který osobní údaje poskytl nebo obdržel.
(6) Spravující orgán vede o každém porušení zabezpečení osobních údajů, jeho důsledcích a přijatých nápravných opatřeních dokumentaci, kterou uchovává nejméně 3 roky.
Výklad
Stručně
Paragraf 41 zákona o zpracování osobních údajů stanoví povinnost spravujícího orgánu ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů, pokud není riziko pro práva a svobody subjektu údajů nízké, a to bez zbytečného odkladu.
Co to znamená v praxi
Povinnost ohlášení: Pokud dojde k porušení zabezpečení osobních údajů (např. únik dat, neoprávněný přístup), musí spravující orgán tuto událost oznámit Úřadu pro ochranu osobních údajů.
Lhůta pro ohlášení: Ohlášení musí proběhnout bez zbytečného odkladu, ideálně do 72 hodin od zjištění porušení. Pokud je lhůta překročena, je nutné zdůvodnit prodlení.
Obsah ohlášení: V ohlášení je potřeba uvést podrobnosti o povaze porušení, počtu dotčených subjektů a záznamů, kontaktní údaje pro další informace, pravděpodobné důsledky a přijatá nebo navržená opatření.
Dokumentace: Spravující orgán musí vést záznamy o každém porušení, jeho důsledcích a nápravných opatřeních a uchovávat je nejméně 3 roky.
Na co si dát pozor
Nízké riziko: Povinnost ohlášení odpadá pouze v případě, že je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké. Posouzení tohoto rizika je klíčové.
Včasnost: Zpoždění ohlášení nad 72 hodin je nutné odůvodnit, což může být předmětem kontroly.
Kompletnost informací: Je důležité shromáždit co nejvíce informací o porušení, aby ohlášení bylo co nejpřesnější a nejúplnější. Chybějící informace je nutné doplnit bez zbytečného odkladu.
Mezinárodní spolupráce: Pokud byly osobní údaje poskytnuty nebo obdrženy od orgánu jiného členského státu EU, je nutné mu sdělit stejné informace jako Úřadu.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.