Oznámenie o porušení ochrany údajov

Oznámenie o porušení ochrany údajov je právna povinnosť informovať dozorné orgány a v niektorých prípadoch dotknuté osoby, keď boli osobné údaje ohrozené porušením zabezpečenia. Podľa GDPR musia prevádzkovatelia oznámiť porušenie svojmu dozornému orgánu do 72 hodín od okamihu, keď sa o porušení dozvedeli, ktoré predstavuje riziko pre práva a slobody osôb, a priamo oznámiť dotknutým osobám, ak porušenie predstavuje vysoké riziko.

Právny základ

"V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a ak je to možné, najneskôr do 72 hodín po tom, ako sa o porušení ochrany osobných údajov dozvedel, oznámi toto porušenie dozornému orgánu príslušnému podľa článku 55, pokiaľ nie je pravdepodobné, že by porušenie ochrany osobných údajov malo za následok riziko pre práva a slobody fyzických osôb."

— Článok 33 ods. 1, Nariadenie (EÚ) 2016/679 (GDPR)

"Ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať za následok vysoké riziko pre práva a slobody fyzických osôb, prevádzkovateľ oznámi porušenie ochrany osobných údajov dotknutej osobe bez zbytočného odkladu."

— Článok 34 ods. 1, Nariadenie (EÚ) 2016/679 (GDPR)

Prečo je to dôležité

Povinnosti oznamovania porušenia ochrany údajov sa týkajú každej organizácie, ktorá spracúva osobné údaje v kontexte služieb politickej reklamy. Pre sponzorov, vydavateľov a poskytovateľov služieb politickej reklamy podľa nariadenia 2024/900 (TTPA) to znamená, že akýkoľvek neoprávnený prístup k osobným údajom používaným na cielenie alebo dodanie reklamy, ich strata alebo zmena musí byť bezodkladne nahlásená príslušnému orgánu ochrany údajov.

72-hodinové oznámovacie okno je prísne a začína sa okamihom, keď sa organizácia dozvie o porušení, nie keď dokončí jeho vyšetrovanie. Organizácie musia mať vnútorné procesy na rýchle zisťovanie, vyšetrovanie a nahlasovanie porušení. Neoznámenie môže mať za následok pokuty až do výšky 10 miliónov EUR alebo 2 % celkového ročného obratu podľa GDPR.

Konkrétne v prípade politickej reklamy sú porušenia týkajúce sa údajov o cielení, profilov voličov alebo politických preferencií obzvlášť citlivé. Tieto porušenia môžu vystaviť jednotlivcov manipulácii, diskriminácii alebo odvetným krokom, čím je včasné oznámenie kritické pre ochranu demokratických procesov a práv jednotlivcov.

Kľúčové body

Prevádzkovatelia musia oznámiť porušenie svojmu dozornému orgánu do 72 hodín od okamihu, keď sa o porušení dozvedeli, pokiaľ porušenie nepredstavuje riziko pre práva a slobody jednotlivcov
Ak porušenie predstavuje vysoké riziko pre jednotlivcov, musia byť priamo upovedomení bez zbytočného odkladu
Oznámenia musia popisovať povahu porušenia, kategórie a približný počet dotknutých jednotlivcov a záznamov a opatrenia prijaté na jeho riešenie
Sprostredkovatelia musia oznámiť porušenie prevádzkovateľom okamžite po jeho zistení, aby prevádzkovatelia mohli splniť svoje vlastné lehoty na oznámenie
Organizácie by mali viesť dokumentáciu všetkých porušení vrátane tých, ktoré neboli nahlásené, aby preukázali súlad
Sankcie za neoznámenie môžu dosiahnuť 10 miliónov EUR alebo 2 % celkového ročného obratu podľa toho, ktorá suma je vyššia

Oznámenie o porušení ochrany údajov vs. oznámenie o transparentnosti

Hoci obe zahŕňajú povinnosti zverejnenia, oznámenie o porušení ochrany údajov a oznámenie o transparentnosti slúžia rôznym účelom. Oznámenie o porušení ochrany údajov je reaktívna požiadavka vyvolaná incidentom, ktorá sa spustí, keď je ohrozená bezpečnosť osobných údajov. Musí byť doručené dozorným orgánom do 72 hodín a dotknutým osobám, keď existuje vysoké riziko.

Oznámenie o transparentnosti (ako je oznámenie o ochrane osobných údajov požadované podľa článkov 13-14 GDPR alebo oznámenie o transparentnosti politickej reklamy podľa nariadenia 2024/900 (TTPA)) je proaktívna, priebežná povinnosť informovať jednotlivcov o tom, ako sú ich údaje spracúvané pred zberom údajov alebo v čase zberu. Oznámenia o transparentnosti sú preventívne a informatívne; oznámenia o porušení sú nápravné a naliehavé.

Aspekt	Oznámenie o porušení ochrany údajov	Oznámenie o transparentnosti
Spúšťač	Bezpečnostný incident	Zber/spracúvanie údajov
Časovanie	72 hodín (orgánu)	Pred/pri zbere
Adresát	Orgán + dotknuté osoby	Všetky dotknuté osoby
Účel	Reakcia na incident	Priebežná transparentnosť

Súvisiace pojmy

Osobné údaje
Orgán ochrany údajov
Prevádzkovateľ
Sprostredkovateľ
Súlad s GDPR
Techniky cielenia
Bezpečnostné opatrenia
Dozorný orgán
Oznámenie o ochrane osobných údajov
Práva dotknutej osoby

Áno. Ako nariadenie EÚ je TTPA priamo uplatniteľné vo všetkých členských štátoch bez potreby národnej transpozície. Členské štáty musia iba určiť orgány a stanoviť sankcie.

Požiadavky na transparentnosť zabezpečujú, že všetci politickí aktéri pôsobia podľa rovnakých pravidiel. Voliči môžu vidieť, kto má zdroje a ako sa využívajú, čo podporuje spravodlivú súťaž.

Transparentnosť buduje dôveru tým, že voličom ukazuje, že politickí aktéri konajú otvorene. Skryté financovanie alebo cielenie narúša dôveru v demokratické procesy.

Tým, že TTPA vyžaduje jasné označovanie a prístupné informácie o transparentnosti, pomáha ľuďom rozpoznať politickú reklamu a pochopiť, kto sa ich snaží ovplyvniť.

Mladí ľudia ešte nemôžu voliť, ale môžu byť cielení s cieľom ovplyvniť budúce správanie alebo manipulovať členov rodiny. Zákaz chráni maloletých pred politickým zneužívaním.

Politická reklama zahŕňa akúkoľvek platenú správu, ktorá propaguje politického aktéra, ovplyvňuje volebné správanie, ovplyvňuje výsledok volieb alebo referend, alebo ovplyvňuje legislatívne či regulačné procesy. Zahŕňa tiež akúkoľvek reklamu vytvorenú politickým aktérom alebo v jeho mene.

Nie. TTPA neovplyvňuje národné pravidlá týkajúce sa obsahu politickej reklamy, financovania kampaní, volebných období alebo všeobecných zákazov politickej reklamy. Pridává požiadavky na transparentnosť nad rámec existujúcich národných právnych predpisov.

Oficiálny názov je nariadenie Európskeho parlamentu a Rady (EÚ) 2024/900 o transparentnosti a cielení politickej reklamy. Bolo publikované 20. marca 2024.