Oznámení o narušení zabezpečení osobních údajů

Oznámení o narušení zabezpečení osobních údajů je zákonná povinnost informovat dozorové orgány a v některých případech dotčené osoby, když byly osobní údaje kompromitovány v důsledku narušení zabezpečení. Podle GDPR musí správci oznámit svému dozorovému orgánu do 72 hodin od okamžiku, kdy se o narušení dozvěděli, pokud představuje riziko pro práva a svobody osob, a přímo informovat dotčené osoby, pokud narušení představuje vysoké riziko.

Právní základ

„V případě narušení zabezpečení osobních údajů správce oznámí bez zbytečného odkladu a pokud možno do 72 hodin poté, co se o takovém narušení dozví, narušení zabezpečení osobních údajů příslušnému dozorovému úřadu podle článku 55, pokud není pravděpodobné, že by narušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob."

— Článek 33 odst. 1, nařízení (EU) 2016/679 (GDPR)

„Pokud narušení zabezpečení osobních údajů pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, sdělí správce bez zbytečného odkladu narušení zabezpečení osobních údajů subjektu údajů."

— Článek 34 odst. 1, nařízení (EU) 2016/679 (GDPR)

Proč je to důležité

Povinnosti oznamování narušení zabezpečení údajů se týkají jakékoli organizace, která zpracovává osobní údaje v kontextu služeb politické reklamy. Pro zadavatele, vydavatele a poskytovatele služeb politické reklamy podle nařízení 2024/900 to znamená, že jakýkoli neoprávněný přístup k osobním údajům používaným pro cílení nebo doručování reklam, jejich ztráta nebo změna musí být neprodleně oznámeny příslušnému orgánu pro ochranu osobních údajů.

72hodinové okno pro oznámení je přísné a začíná běžet od okamžiku, kdy se organizace o narušení dozví, nikoli když ukončí jeho vyšetřování. Organizace musí mít zavedeny interní procesy pro rychlé zjišťování, vyšetřování a oznamování narušení. Neoznámení může vést k pokutám až do výše 10 milionů EUR nebo 2 % celosvětového ročního obratu podle GDPR.

Konkrétně u politické reklamy jsou narušení zabezpečení zahrnující údaje o cílení, voličské profily nebo politické preference obzvláště citlivá. Tato narušení mohou vystavit jednotlivce manipulaci, diskriminaci nebo odvetným škodám, což činí včasné oznámení zásadním pro ochranu demokratických procesů a individuálních práv.

Klíčové body

Správci musí oznámit svému dozorovému orgánu narušení zabezpečení do 72 hodin od okamžiku, kdy se o něm dozví, pokud narušení nepředstavuje riziko pro práva a svobody jednotlivců
Pokud narušení představuje vysoké riziko pro jednotlivce, musí být přímo informováni bez zbytečného odkladu
Oznámení musí popisovat povahu narušení, kategorie a přibližný počet dotčených osob a záznamů a opatření přijatá k jeho řešení
Zpracovatelé musí správce informovat okamžitě po zjištění narušení, aby správci mohli dodržet své vlastní lhůty pro oznámení
Organizace by měly vést dokumentaci všech narušení, včetně těch neohlášených, aby prokázaly shodu s předpisy
Sankce za neoznámení mohou dosáhnout 10 milionů EUR nebo 2 % celosvětového ročního obratu, podle toho, která hodnota je vyšší

Oznámení o narušení zabezpečení údajů vs. oznámení o transparentnosti

Ačkoli obě zahrnují povinnosti zveřejňování, oznámení o narušení zabezpečení údajů a oznámení o transparentnosti slouží různým účelům. Oznámení o narušení zabezpečení údajů je reaktivní požadavek vyvolaný incidentem, který je spuštěn, když je kompromitována bezpečnost osobních údajů. Musí být doručeno dozorovým orgánům do 72 hodin a dotčeným osobám, když existuje vysoké riziko.

Oznámení o transparentnosti (jako je oznámení o ochraně osobních údajů vyžadované podle článků 13–14 GDPR nebo oznámení o transparentnosti pro politickou reklamu podle nařízení 2024/900) je proaktivní, průběžná povinnost informovat jednotlivce o tom, jak jsou jejich údaje zpracovávány před nebo v okamžiku sběru. Oznámení o transparentnosti jsou preventivní a informativní; oznámení o narušení zabezpečení jsou nápravná a urgentní.

Aspekt	Oznámení o narušení zabezpečení údajů	Oznámení o transparentnosti
Spouštěč	Bezpečnostní incident	Sběr/zpracování údajů
Načasování	72 hodin (orgánu)	Před/při sběru
Adresát	Orgán + dotčené osoby	Všechny subjekty údajů
Účel	Reakce na incident	Průběžná transparentnost

Související pojmy

Osobní údaje
Orgán pro ochranu osobních údajů
Správce
Zpracovatel
Shoda s GDPR
Techniky cílení
Bezpečnostní opatření
Dozorový orgán
Oznámení o ochraně osobních údajů
Práva subjektu údajů

Ano. Jako nařízení EU je TTPA přímo použitelné ve všech členských státech, aniž by vyžadovalo národní transpozici. Členské státy musí pouze určit příslušné orgány a stanovit sankce.

Požadavky na transparentnost zajišťují, že všichni političtí aktéři fungují podle stejných pravidel. Voliči mohou vidět, kdo má prostředky a jak jsou využívány, což podporuje spravedlivou soutěž.

Transparentnost buduje důvěru tím, že voličům ukazuje, že političtí aktéři jednají otevřeně. Skryté financování nebo cílení podkopává důvěru v demokratické procesy.

Tím, že TTPA vyžaduje jasné označování a přístupné informace o transparentnosti, pomáhá lidem rozpoznat politickou reklamu a pochopit, kdo se je snaží ovlivnit.

Komunikace členům založená pouze na údajích o předplatném, bez dodatečného cílení, je osvobozena od pravidel pro cílení. Základní požadavky na transparentnost mohou stále platit.

Politická reklama zahrnuje jakékoli placené sdělení, které propaguje politického aktéra, ovlivňuje volební chování, působí na výsledek voleb nebo referend či ovlivňuje legislativní nebo regulační procesy. Zahrnuje rovněž jakoukoli reklamu politickým aktérem nebo jménem politického aktéra.

Ne. TTPA neovlivňuje vnitrostátní předpisy týkající se obsahu politické reklamy, financování kampaní, volebních období nebo obecných zákazů politické reklamy. Přidává požadavky na transparentnost nad rámec stávajících vnitrostátních právních předpisů.

Oficiální název je nařízení Evropského parlamentu a Rady (EU) 2024/900 o transparentnosti a cílení politické reklamy. Bylo zveřejněno dne 20. března 2024.