Formulář Ohlášení porušení zabezpečení osobních údajů dle GDPR

ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ
A: Pplk. Sochora 27, 170 00 Praha 7
T: + 420 234 665 111
E: posta@uoou.gov.cz
W: uoou.gov.cz
D: qkbaa2n

Otazníky u některých polí po jejich rozkliknutí zobrazí vodítka, jak text vyplnit

ohlášení dle čl. 33 GDPR

ohlášení dle § 41 zákona č. 110/2019 Sb.

?

prvotní ohlášení

doplnění ohlášení

1. Správce, u něhož došlo k porušení zabezpečení

Fyzická osoba

Právnická osoba

IČO

Obchodní firma

Jméno

Příjmení

IČO (v případě fyzické podnikající osoby)

Datum narození

E-mail

Telefon

Datová schránka

Sídlo

?

Ulice

Číslo domu

Město

PSČ

V případě, že je doručovací adresa různá od trvalé adresy / sídla

Mám doručovací adresu

Doručovací adresa

Ulice

Číslo domu

Město

PSČ

Osoba, jež činí ohlášení

Ohlášení činí správce

Ohlášení nečiní správce

Osoba, jež za správce ohlašuje porušení zabezpečení (v případě, že správce nečiní ohlášení)

IČO (v případě právnické nebo fyzické podnikající osoby)

Obchodní firma

?

Jméno

?

Příjmení

?

Datum narození

?

Důvod ohlašování za správce

?

2. Pověřenec správce (byl-li jmenován) nebo jiná kontaktní osoba

IČO

?

Obchodní firma

?

Jméno

?

Příjmení

?

Telefon

E-mail

3. Další subjekt zapojený do dotčeného zpracování (zpracovatel, další správce, příjemce)

role

Žádný další zapojený subjekt

zpracovatel

správce

příjemce

IČO

?

Obchodní firma

?

Jméno

?

Příjmení

?

Ulice

?

Číslo domu

?

Město

?

PSČ

?

4. Průběh porušení zabezpečení

datum a čas vzniku porušení

datum a čas ukončení porušení

datum a čas zjištění porušení správcem

Pokud je oznamován více než 72 hodin po jeho zjištění, uveďte důvody tohoto zpoždění

5. Popis vzniku porušení

Jak k porušení došlo, uveďte pravděpodobnou příčinu a níže upřesněte

externí útok

interní útok

selhání systému

nedbalost

jiná příčina

Podrobnější popis příčiny porušení:

6. Popis zjištěných účinků (označte zjištěné účinky porušení)

porušení důvěrnosti dat (v případě neoprávněného nebo náhodného poskytnutí nebo zpřístupnění osobních údajů)

porušení integrity dat (v případě neoprávněného nebo náhodného pozměnění osobních údajů)

porušení dostupnosti dat (v případě náhodné nebo neoprávněné ztráty, přístupu nebo zničení osobních údajů např. protiprávní zašifrování)

jiné (upřesněte)

7. Kategorie dotčených osobních údajů (označte kategorie dotčených údajů)

identifikační údaje (jméno, příjmení, datum narození, rodné číslo, jiný identifikátor)

kontaktní údaje (např. adresa, e-mail, telefon)

ekonomické a finanční údaje

data o poloze (lokační údaje)

údaje o trestním odsouzení, o spáchání přestupku

jiné (upřesněte)

7.1. Zvláštní kategorie údajů

údaje vypovídající o rasovém nebo etnickém původu

údaje vypovídající o politických názorech a členství v odborech

údaje vypovídající o filozofickém přesvědčení nebo náboženském vyznání

údaje o zdravotním stavu

údaje o sexuálním životě nebo orientaci

genetické a biometrické údaje, jsou-li zpracovány za účelem jednoznačné identifikace fyzické osoby

jiné (upřesněte)

8. Kategorie subjektů údajů (označte kategorie fyzických osob dotčených porušením)

zaměstnanci nebo osoby v pracovněprávním vztahu ke správci/zpracovateli

uživatelé

zákazníci (bývalí, současní i budoucí)

pacienti

zranitelné osoby (např. děti)

jiné (upřesněte)

8.1. Přibližný počet dotčených subjektů údajů

8.2. Přibližný počet dotčených záznamů osobních údajů

9. Důsledky – povaha pravděpodobného dopadu na ohrožené subjekty údajů

(Označte pravděpodobné fyzické, materiální nebo nemateriální škody nebo významné důsledky na dotčené subjekty údajů a specifikujte míru pravděpodobnosti a závažnosti důsledků pro subjekty údajů)

ztráta kontroly nad osobními údaji

data mohou být spojena s dalšími informacemi

data mohou být využita k jiným/nekalým účelům

data mohou být změněna a následně použita k jiným účelům

neoprávněné obrácení pseudonymizace (zpracovávaná data již mohou být přiřazena k identifikované nebo identifikovatelné fyzické osobě)

ztráta nebo změna schopnosti správce /zpracovatele poskytovat služby pro dotčené subjekty údajů

krádež identity

podvod

omezení práv dotčených subjektů údajů

diskriminace dotčených subjektů údajů

finanční ztráty

poškození pověsti

ztráta důvěrnosti dat chráněných profesním tajemstvím

jiné (upřesněte)

10. Opatření přijatá PŘED vznikem porušení zabezpečení

10.1. Označte a popište relevantní dokumenty, kterými je správcem řízeno zpracování osobních údajů

vnitřní předpisy

písemné pokyny zaměstnancům

závazné politiky správy a zabezpečení dat a informací

smlouva o zpracování osobních údajů

jiné (upřesněte)

10.2. Další organizační a technická opatření, režimová opatření přijatá před porušením (např. fyzické, organizační a režimové zabezpečení – uzamykatelné skříně, místnosti, řízení přístupů, hesla, logování)

10.3. Uveďte, jakými prostředky (HW i SW) byly ohrožené osobních údaje zpracovávány

10.4. Jiné bezpečnostní nástroje (např. šifrování)

11. Opatření zvolená k řešení/nápravě porušení zabezpečení

11.1. Popište opatření přijatá k řešení porušení zabezpečení (popište, v čem opatření spočívala, např. zablokování uživatelských účtů, podání trestního oznámení, hlášení kybernetického bezpečnostního incidentu, apod. )

Případně přijatá opatření doložte jako přílohu formuláře

11.2. Datum a čas přijatých opatření

11.3. Oznámení dotčeným fyzickým osobám

ano (doplňte datum, kdy a jakým způsobem, počet informovaných subjektů údajů a zároveň doložte obsah oznámení jako přílohu formuláře)

Jestliže byl dotčeným osobám zaslán návod či doporučení, jak se mají zachovat, popište jej + doložte obsah v příloze formuláře

ne, ale budou informovány (doplňte předpokládané datum, kdy a jakým způsobem budou informovány, jakmile tak bude učiněno, informujte ÚOOÚ)

ne, nebudou informovány (odůvodněte tento postup – vyberte z následujících možností a tuto možnost podrobněji odůvodněte níže)

porušení zabezpečení pravděpodobně nepředstavuje vysoké riziko pro práva a svobody dotčených fyzických osob

s ohledem na přijatá technická a organizační opatření, dotčené osobní údaje jsou nesrozumitelné pro všechny neoprávněné osoby (např. šifrování)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody dotčených fyzických osob již nebude pravděpodobně naplněno

představovalo by nepřiměřené úsilí informovat každou fyzickou osobu individuálně (zároveň níže popište způsob učinění veřejného oznámení nebo podobného opatření a společně s formulářem zašlete jeho znění)

(upřesněte odůvodnění)

zatím nebylo rozhodnuto o informování dotčených osob (upřesněte důvod)

11.4. Komunikace s dalšími orgány (uveďte, zda jste dané porušení zabezpečení ohlásili dalším orgánům, např. policie, jiný úřad, zahraniční dozorový úřad)

ne

ano (v takovém případě uveďte název orgánu a relevantní č.j/sp.zn., event. Podrobnosti o šetření)

12. Přeshraniční zpracování

12.1. Je zpracování, které bylo porušením dotčeno, přeshraničním zpracováním ve smyslu čl. 4 bodu 23 GDPR?

ne

ano

uveďte, ve kterých členských státech EU má správce provozovny, v souvislosti s jejichž činností probíhá dané zpracování, označte též jeho hlavní provozovnu v EU (ve smyslu čl. 4 bodu 16 GDPR, tedy ústřední správu nebo provozovnu, ve které jsou činěna rozhodnutí o účelech a prostředcích zpracování a která má současně pravomoc tato rozhodnutí vymáhat)

?

pokud jsou nebo pravděpodobně budou daným zpracováním podstatně dotčeny subjekty údajů ve více členských státech EU vyjmenujte tyto státy.

?

12.2. Ohlášení je činěno vůči Úřadu jako

vedoucímu dozorovému úřadu

?

dotčenému dozorovému úřadu

odůvodněte:

13. Subjekt, který není usazen v EU

V případě, že správce, případně zpracovatel, není usazen v žádném členském státě EU, uveďte informace o jeho zástupci v EU (kontaktní údaje zástupce, informace o jeho jmenování)

14. Další informace o případu porušení zabezpečení (zejména dodatečné informace důležité pro vyhodnocení daného případu, případně informace pro doplnění ohlášení)

Ohlášení porušení zabezpečení osobních údajů dle GDPR

Nápověda