Usmernenia Európskeho výboru na ochranu osobných údajov o oznamovaní porušenia ochrany osobných údajov podľa GDPR

Pracovná skupina 29 (ďalej len „WP29“) prijala 3. októbra 2017 usmernenia o oznamovaní porušenia ochrany osobných údajov podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“ alebo „Nariadenie“) (WP250 rev. 01), ktoré schválil Európsky výbor pre ochranu údajov (ďalej len: „EDPB“) na svojom prvom plenárnom zasadnutí.

EDPB prijal na marcovom (rok 2023) plenárnom zasadnutí aktualizáciu bodu 73 a na to nadväzujúceho textu v prílohe VII usmernenia o oznámení porušenia ochrany osobných údajov, tzv. Guidelines 09/2022 on personal data breach notification under GDPRhttps://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf (ďalej len „Usmernenie EDPB č. 9/2022“). Ide o časť Usmernenia EDPB č. 9/2022, ktorá je určená pre prevádzkovateľov usadených mimo Európskej únie (ďalej len: „EÚ“).

Tento nový dokument je mierne aktualizovanou verziou pôvodného usmernenia. Akýkoľvek odkaz na usmernenia WP29 o oznamovaní porušenia ochrany osobných údajov podľa nariadenia 2016/679 (WP250 rev. 01) by sa odteraz mal vykladať ako odkaz na toto Usmernenie EDPB č. 9/2022. EDPB zistil, že je potrebné objasniť požiadavky na oznamovanie porušenia ochrany osobných údajov u prevádzkovateľov usadených mimo EÚ. Odsek týkajúci sa tejto záležitosti bol revidovaný a aktualizovaný, zatiaľ čo zvyšok dokumentu bol ponechaný bez zmien, s výnimkou redakčných zmien. Revízia sa konkrétne týka odseku 73 v oddiele II.C.2 Usmernenia EDPB č. 9/2022.

Oznámenie porušenia ochrany osobných údajov dozornému orgánu a dotknutej osobe

GDPR obsahuje dve ustanovenia, ktoré riešia povinnosť oznamovania porušenia ochrany osobných údajov, ide o čl. 33 a 34 GDPR:

V čl. 33 GDPR „Oznámenie porušenia ochrany osobných údajov dozornému orgánu“ je uvedené:

1. „V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedelEDPB sa domnieva, že prevádzkovateľ by sa mal považovať za toho, kto sa „dozvedel“, keď má primeraný stupeň istoty, že došlo k bezpečnostnému ...