Čo znamená § 40 – Oznámenie porušenia ochrany osobných údajov úradu

Jednoduché vysvetlenie z: Zákon o ochrane osobných údajov (zákon č. 18/2018 Z.z.)

Sledovať zmeny
Panel nástrojov

§ 40 – Oznámenie porušenia ochrany osobných údajov úradu

Trvalý odkaz
Jednoducho
(1)
Keď prevádzkovateľ zistí únik osobných údajov, musí to oznámiť úradu do 72 hodín. Ak únik neohrozí práva ľudí, oznamovať nemusí.
(2)
Ak mešká s oznámením, musí vysvetliť, prečo nestihol lehotu.
(3)
Sprostredkovateľ musí okamžite povedať prevádzkovateľovi o úniku, keď sa o ňom dozvie.
(4)
Oznámenie musí obsahovať:
a)
popis úniku, koľko ľudí sa to týka a aké údaje unikli,
b)
kontakt na zodpovedného človeka,
c)
aké následky môže únik mať,
d)
čo robia na nápravu a ako zmierňujú škody.
(5)
Prevádzkovateľ v oznámení uvedie len to, čo práve vie. Ostatné informácie doplní hneď, ako sa o nich dozvie.
(6)
Prevádzkovateľ si musí zapísať každý únik: čo sa stalo, aké to malo následky a ako to vyriešil.
Originál
(1)
Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
(2)
Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty zdôvodniť.
(3)
Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
(4)
Oznámenie podľa odseku 1 musí obsahovať najmä
a)
opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
b)
kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
c)
opis pravdepodobných následkov porušenia ochrany osobných údajov,
d)
opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
(5)
Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu, v akom sú mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa odseku 1 nie sú prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
(6)
Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov podľa odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.