... ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
4.
(88) Při vytváření podrobných pravidel týkajících formátu postupů ohlašování případů porušení zabezpečení
osobních údajů měly být náležitě zohledněny okolnosti porušení, včetně otázky, zda byly osobní údaje
chráněny vhodnými technickými opatřeními, jež pravděpodobnost zneužití totožnosti jiných forem zneužívání
účinně omezují.
(86) Správce měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je
pravděpodobné, toto porušení bude mít následek vysoké riziko pro práva svobody fyzické osoby, aby
mohl učinit nezbytná opatření.
Například případě potřeby zmírnit bezprostřední riziko způsobení újmy nutné tuto skutečnost subjektům
údajů neprodleně oznámit, zatímco situaci, kdy zapotřebí zavést vhodná opatření cílem zabránit tomu, aby
porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo podobným případům porušení, může
být opodstatněna delší lhůta. Tato
povinnost přináší administrativní finanční zátěž, avšak nepřispěla všech případech zlepšení ochrany
osobních údajů.5. Skutečnost, oznámení bylo provedeno bez zbytečného odkladu, stanoví zejména s
ohledem povahu závažnost daného porušení zabezpečení osobních údajů jeho důsledky nežádoucí
účinky pro subjekt údajů.
(89) Směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Mezi
tyto typy operací zpracování mohou patřit ty, při nichž jsou zejména používány nové technologie, nebo které
jsou zcela nového druhu nichž správce dosud neprovedl posouzení vlivu ochranu osobních údajů, nebo
které staly nezbytnými důvodu času, který uplynul prvotního zpracování.
(87) Mělo být zjištěno, zda byla zavedena veškerá vhodná technická organizační opatření, aby okamžitě
stanovilo, zda došlo porušení zabezpečení osobních údajů, aby byly dozorový úřad subjekt údajů
neprodleně informovány. Proto měla být tato nerozlišená obecná ohlašovací povinnost zrušena nahrazena účinnými
postupy mechanismy, které místo toho zaměřily takové typy operací zpracování, jež mohou ohledem
na svou povahu, rozsah, kontext účely představovat vysoké riziko pro práva svobody fyzických osob. Toto oznámení může vést zásahu dozorového úřadu souladu jeho úkoly a
pravomocemi stanovenými tomto nařízení.
(90) těchto případech měl správce před zpracováním provést posouzení vlivu ochranu osobních údajů cílem
posoudit konkrétní pravděpodobnost závažnost vysokého rizika zohlednit přitom povahu, rozsah, kontext a
účely zpracování zdroje rizika.porušení zabezpečení osobních údajů dozví, měl bez zbytečného odkladu, je-li možné, hodin
poté, něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může souladu zásadou
odpovědnosti doložit, nepravděpodobné, dané porušení zabezpečení osobních údajů mělo následek
riziko pro práva svobody fyzických osob.2016 119/17
Úřední věstník Evropské unie
CS
.
Tato oznámení měla být subjektům údajů učiněna, jakmile proveditelné, úzké spolupráci dozorovým
úřadem souladu pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů). Není-li toto ohlášení možné učinit hodin, měly být spolu
s ním uvedeny důvody zpoždění informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. Tato pravidla postupy navíc měly vzít úvahu oprávněné zájmy donucovacích orgánů
v případech, kdy předčasné zpřístupnění mohlo zbytečně ztížit vyšetřování okolností porušení zabezpečení
osobních údajů.
(91) mělo platit zejména pro rozsáhlé operace zpracování, jež mají sloužit zpracování značného množství
osobních údajů regionální, celostátní nebo nadnárodní úrovni, jež mohly mít dopad velký počet
subjektů údajů nichž pravděpodobné, budou představovat vysoké riziko, například vzhledem jejich
citlivosti, pokud souladu dosaženou úrovní technických znalostí použije velkém rozsahu nová
technologie, jakož pro jiné operace zpracování, které představují vysoké riziko pro práva svobody subjektů
údajů, zejména případech, kdy ohledem tyto operace pro subjekty údajů obtížnější uplatnit svá práva. Toto posouzení vlivu mělo zejména obsahovat zamýšlená opatření, záruky a
mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů prokázání souladu tímto
nařízením. oznámení měla být popsána povaha daného případu porušení zabezpečení
osobních údajů obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit
