Stručně: Paragraf stanoví, že spravující orgán musí bez zbytečného odkladu oznámit subjektu údajů porušení zabezpečení jeho osobních údajů, pokud je vysoké riziko neoprávněného zásahu do jeho práv a svobod.
§ 42 Oznamování porušení zabezpečení osobních údajů subjektu údajů
(1) Spravující orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů, pokud je riziko neoprávněného zásahu do práv a svobod subjektu údajů plynoucí z tohoto porušení vysoké.
(2) V oznámení spravující orgán uvede alespoň údaje uvedené v § 41 odst. 3 písm. a) a c) až e).
(3) Pokud by oznámení subjektu údajů podle odstavce 1 vyžadovalo nepřiměřené úsilí, spravující orgán oznámení vhodným způsobem zveřejní.
(4) Spravující orgán není povinen porušení zabezpečení osobních údajů oznámit, pokud
a) provedená technická a organizační opatření zajišťují, že dotčené osobní údaje nelze zneužít, nebo
b) následná opatření spravujícího orgánu významně snížila riziko neoprávněného zásahu do práv a svobod subjektu údajů.
(5) O existenci vysokého rizika neoprávněného zásahu do práv a svobod subjektu údajů nebo o splnění podmínek podle odstavce 4 může rozhodnout také Úřad.
(6) Spravující orgán porušení zabezpečení osobních údajů neoznámí, popřípadě oznámí pouze částečně, pokud by oznámením došlo k ohrožení podle § 28 odst. 2.
HLAVA IV
Výklad
Stručně
Paragraf stanoví, že spravující orgán musí bez zbytečného odkladu oznámit subjektu údajů porušení zabezpečení jeho osobních údajů, pokud je vysoké riziko neoprávněného zásahu do jeho práv a svobod.
Co to znamená v praxi
Pokud dojde k narušení bezpečnosti osobních údajů a hrozí vysoké riziko poškození práv nebo svobod dotčené osoby, musí jí spravující orgán o této události bezodkladně dát vědět.
V oznámení musí být uvedeny alespoň informace o povaze porušení, kontaktní údaje na pověřence pro ochranu osobních údajů (pokud existuje), pravděpodobné důsledky porušení a přijatá nebo navrhovaná opatření k řešení situace.
Pokud by přímé oznámení každému subjektu údajů bylo příliš náročné, může spravující orgán informaci zveřejnit vhodným způsobem, například na svých webových stránkách.
Spravující orgán nemusí oznámení provést, pokud již přijal taková opatření, která znemožňují zneužití dat, nebo pokud následnými kroky významně snížil riziko pro dotčené osoby.
Na co si dát pozor
Úřad pro ochranu osobních údajů může rozhodnout o tom, zda existuje vysoké riziko neoprávněného zásahu, nebo zda byly splněny podmínky pro neoznámení.
Oznámení se neprovádí, nebo se provede pouze částečně, pokud by tím došlo k ohrožení podle § 28 odst. 2 (například ohrožení bezpečnosti státu, veřejné bezpečnosti, obrany, předcházení, vyšetřování, odhalování či stíhání trestných činů).
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.