Formulár pre prevádzkovateľa na nahlasovanie bezpečnostných incidentov v zmysle Čl. 33 Nariadenia (EÚ)2016/679 a § 40 zákona č. 18/2018 Z. z

Verzia pre tlačVerzia pre tlač

Formulár je určený pre prevádzkovateľov, ktorí sú povinní v zmysle čl. 33 NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“) ako aj § 40 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 221/2019 Z. z. (ďalej len „zákon“) bezodkladne oznámiť Úradu na ochranu osobných údajov SR (ďalej len „úrad“), ako dozornému orgánu v oblasti ochrany a spracúvania osobných údajov porušenie ochrany osobných údajov, ktoré môže mať za následok riziko pre práva a slobody fyzických osôb.

 
1 Úvod 2 Náhľad 3 Dokončiť
Oznámenie o porušení ochrany osobných údajov

Upozornenie: Ak máte podozrenie, že došlo alebo dochádza k porušeniu Vašich práv pri spracúvaní Vašich osobných údajov alebo došlo k porušeniu zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z. z.“) alebo nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“), postupujte v zmysle informácií zverejnených TU.

 

 

1. Identifikácia oznamovateľa bezpečnostného incidentu:

 

Názov prevádzkovateľa (fyzická/právnická osoba), ktorého sa týka oznámenie o porušení ochrany osobných údajov:

Adresa / sídlo:

IČO:

Tel. kontakt:

Meno priezvisko osoby, ktorá predkladá oznámenie o porušení ochrany osobných údajov:

Iné doplňujúce údaje:

2. Informácie o zodpovednej osobe, resp. inej kontaktnej osobe oprávnenej pre komunikáciu v mene prevádzkovateľa vo veci porušenia ochrany osobných údajov:

 

Máte určenú zodpovednú osobu v oblasti ochrany osobných údajov:

Označte iba jednu možnosť

Uveďte meno, priezvisko, kontaktné údaje (korešpondenčnú adresu, resp. tel. číslo, email) zodpovednej osoby, resp. inej osoby, ktorá je oprávnená v mene prevádzkovateľa poskytovať úradu potrebnú súčinnosť vo veci bezpečnostného incidentu:

 

3. Časová os (priebeh) porušenia ochrany osobných údajov:

 

Uveďte presný dátum a čas kedy začalo porušenie ochrany osobných údajov vo vašom prostredí. (Údaje uvádzate len v prípade, ak sú vám tieto údaje známe a vznik porušenia ochrany osobných údajov ste identifikovali. V prípade, že vám vznik incidentu nie je známy prejdite do možnosti ,,Iné“ a uveďte to doplnením textu):

     hodina:          minúta:

:
(v prípade výberu možnosti „iné" popíšte)

Uveďte dátum a čas kedy ste zistili, že došlo k porušeniu ochrany osobných údajov vo vašom prostredí:

     hodina:          minúta:

:

Ak oznámenie o porušení ochrany osobných údajov predkladáte po lehote viac ako 72 hodín od zistenia porušenia ochrany osobných údajov, uveďte dôvody jeho oneskoreného oznámenia úradu:

Uveďte, či porušenie ochrany osobných údajov naďalej pretrváva:

Označte iba jednu možnosť

Uveďte dátum a čas ukončenia porušenia ochrany osobných údajov:

     hodina:          minúta:

:

Uveďte, ako prevádzkovateľ zistil, že došlo k porušeniu ochrany osobných údajov, resp. akým spôsobom sa prevádzkovateľ o porušení ochrany osobných údajov dozvedel (uveďte aj napr. situáciu, ak porušenie ochrany osobných údajov identifikovala dotknutá osoba, resp. iná osoba, sprostredkovateľ, atď.):

 

4. Opis porušenia ochrany osobných údajov:

 

V zmysle Čl. 4 ods. 12 Nariadenia je porušenie ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.

 

V tejto časti čo najpresnejšie opíšte situáciu (incident). Odporúčame opis porušenia ochrany osobných údajov  poskytnúť minimálne v intenciách nižšie uvedených bodov.

  • Uveďte, kto incident spôsobil, resp. čo malo vplyv na vznik incidentu. Prečo a ako došlo k vzniku incidentu.
  • Uveďte, či došlo k narušeniu dôvernosti osobných údajov, tzn. či nastala situácia, že k osobným údajom má prístup strana, ktorá nemá legitímne oprávnenie pre prístup k týmto údajom, príp. či došlo k neoprávnenému prístupu k zariadeniam, prostredníctvom ktorých sú tieto osobné údaje prenášané, spracúvané, uchovávané.
  • Uveďte, či došlo k narušeniu integrity, tzn. či došlo k neoprávnenej zmene, úprave osobných údajov. Aký nepriaznivý vplyv môže mať táto zmena, úprava pre dotknuté osoby.
  • Uveďte, či došlo k narušeniu dostupnosti osobných údajov, tzn. či došlo napr. k nezákonnému zničeniu, vymazaniu, strate  osobných údajov a údaje nie sú dostupné. Zároveň uveďte, či strata dostupnosti osobných údajov je trvalá alebo dočasná, či je možná obnova týchto osobných údajov a za akých podmienok. Uveďte, či prevádzkovateľ disponuje napr. zálohou na obnovu údajov atď..
  • Uveďte, či incident má vplyv napr. na poskytnutie služby prevádzkovateľa voči dotknutým osobám. Uveďte, aké údaje boli odhalené o dotknutých osobách. Čo tieto údaje odhaľujú o dotknutých osobách. Aká ujma môže odhalením týchto údajov vzniknúť dotknutým osobám.
  • Uveďte, či predmetný incident vznikol v dôsledku nedodržania zavedených opatrení u prevádzkovateľa, a kto tieto opatrenia nedodržal. Zároveň opíšte, akým spôsobom boli tieto opatrenia prijaté u prevádzkovateľa a dátum ich prijatia. Uveďte, či osoba, ktorá spôsobila incident bola oboznámená s pokynmi prevádzkovateľa. Uveďte akou formou prebieha  oboznámenie osôb s pokynmi prevádzkovateľa pre spracúvanie osobných údajov.   
  • Ak incident spôsobil napr. zamestnanec uveďte, či bol tento zamestnanec oboznámený s pokynmi prevádzkovateľa, ktoré má uplatňovať pri spracúvaní osobných údajov.
  • Uveďte, aký nepriaznivý dopad má tento incident na práva a slobody dotknutých osôb.
  • Uveďte ďalšie informácie viažuce sa k incidentu, ktoré považujete za relevantné na objasnenie príčin vzniku incidentu, v dôsledku ktorého bola porušená ochrana osobných údajov dotknutých osôb.  

 

5. Kategória osobných údajov:

 

Uveďte kategóriu osobných údajov (osobné údaje, osobitná kategória osobných údajov), ktorých sa predmetné porušenie ochrany osobných údajov týka.

 

Označte, prípadne doplňte, ktorých osobných údajov sa porušenie ochrany osobných údajov týka:

 

Začiarknite všetky vyhovujúce možnosti.
(v prípade výberu možnosti „iné" popíšte)

Ak sa porušenie ochrany osobných údajov dotklo osobitnej kategórie osobných údajov (Čl. 9 GDPR) označte dotknutú kategóriu, ktorej sa porušenie ochrany osobných údajov týka:

Začiarknite všetky vyhovujúce možnosti.
(v prípade výberu možnosti „iné" popíšte)

Porušenie ochrany osobných údajov sa týka osobných údajov, ktoré boli vo forme:

Začiarknite všetky vyhovujúce možnosti.
(v prípade výberu možnosti „iné" popíšte)

Uveďte aspoň približný počet záznamov, ktorých sa porušenie ochrany osobných údajov týka (napr. počet spisov, súborov, zložiek...):

 

6. Kategórie dotknutých osôb:

 

Označte, prípadne doplňte, kto bol porušením ochrany osobných údajov dotknutý:

 

Začiarknite všetky vyhovujúce možnosti.
(V prípade, že ste z vyššie uvedených kategórií dotknutých osôb vybrali možnosť ,,iná kategória dotknutých osôb" uveďte vlastnými slovami akých osôb sa porušenie ochrany osobných údajov dotklo).

Uveďte, akého počtu dotknutých osôb sa porušenie ochrany osobných údajov týka:

 

7. Nepriaznivé dôsledky pre dotknutú osobu:

 

Uveďte úradu, či z daného incidentu vyplývajú riziká pre dotknutú osobu, ktoré sú spôsobilé viesť napr. k ujme na zdraví, majetkovej / nemajetkovej ujme, strate kontroly nad jej údajmi, obmedzeniu práv dotknutých osôb, diskriminácií, krádeži totožnosti, podvodu, finančnej strate, neoprávnenej reverznej pseudonymizácii, k poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akémukoľvek závažnému hospodárskemu či sociálnemu znevýhodneniu dotknutej osoby, prípadne inej závažnej ujme.

 

8. Informovanie dotknutej osoby o porušení ochrany osobných údajov:

 

Informovali ste dotknutú osobu o možných nepriaznivých následkoch, ktoré jej z tohto porušenia ochrany osobných údajov vyplývajú? Ak áno, uveďte kedy a akým spôsobom. Povinnosť informovať dotknutú osobu o porušení ochrany osobných údajov Vám vyplýva v prípade, že porušenie ochrany osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb. Cieľom informovania dotknutých osôb je zmiernenie bezprostredného rizika, eliminovanie resp. minimalizovanie nepriaznivých dôsledkov, ktoré pre dotknuté osoby vyplývajú z porušenia ochrany osobných údajov, ako sú napr. ujma na zdraví, krádež totožnosti, podvod, finančná strata, závažné hospodárske či sociálne znevýhodnenie osôb atď.

   

Označte iba jednu možnosť

Uveďte obsah informácie, ktorá bola poskytnutá dotknutej osobe v súvislosti s predmetným porušením ochrany osobných údajov, ako aj spôsob poskytnutia tejto informácie dotknutej osobe. (napr.: dotknutá osoba bola o porušení ochrany osobných údajov informovaná emailom v nasledovnom znení: .......):

Uveďte dátum kedy ste informovali dotknutú osobu:

V prípade, že ste neinformovali dotknutú osobu o porušení ochrany osobných údajov, uveďte dôvody pre ktoré táto osoba nebola informovaná.

 

9. Opatrenia prijaté na nápravu situácie (incidentu) a minimalizáciu následkov pre práva a slobody dotknutých osôb:

 

Uveďte úradu, aké konkrétne opatrenia boli po vzniku incidentu prijaté na zmiernenie potenciálnych nepriaznivých dôsledkov, ktoré dotknutým osobám vyplývajú z predmetného incidentu.

 

Uveďte úradu, aké nápravne opatrenia boli prijaté u prevádzkovateľa po vzniku incidentu, aby sa predmetný incident neopakoval a dátum ich prijatia.

 

10. Opis prijatých opatrení zavedených pred porušením ochrany osobných údajov:

 

Opíšte úradu, aké konkrétne opatrenie boli u prevádzkovateľa prijaté pred vznikom incidentu, ktoré mohli danému incidentu zabrániť. Uveďte, akou formou boli prijaté tieto opatrenia a dátum ich prijatia.

 

11. Informačná povinnosť prevádzkovateľa voči dotknutým osobám, ktorých osobné údaje spracúva:

 

Uveďte, kde si dotknutá osoba, ktorej osobné údaje spracúvate môže získať informácie, ktoré je prevádzkovateľ povinný oznámiť dotknutej osobe pred spracúvaním osobných údajov (informačná povinnosť) resp. uveďte link:

 

12. Záznamy o spracovateľských činnostiach (Čl. 30 GDPR):

Označte iba jednu možnosť.

 

13. Rôzne:

14. E-mail:

Na danú emailovú adresu vám bude zaslaná informácia o prijatí oznámenia o porušení ochrany osobných údajov.
Plná verzia stránky
2023 Úrad na ochranu osobných údajov Slovenskej republiky