Viac
Navigácia
KAPITOLA I Všeobecné ustanovenia (1-4)
Článok 1. Predmet úpravy a cieleČlánok 2. Vecná pôsobnosťČlánok 3. Územná pôsobnosťČlánok 4. Vymedzenie pojmov
KAPITOLA II Zásady (5-11)
Článok 5. Zásady spracúvania osobných údajovČlánok 6. Zákonnosť spracúvaniaČlánok 7. Podmienky vyjadrenia súhlasuČlánok 8. Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnostiČlánok 9. Spracúvanie osobitných kategórií osobných údajovČlánok 10. Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupkyČlánok 11. Spracúvanie bez potreby identifikácie
KAPITOLA III Práva dotknutej osoby (12-23)
Článok 12. Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osobyČlánok 13. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osobyČlánok 14. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osobyČlánok 15. Právo dotknutej osoby na prístup k údajomČlánok 16. Právo na opravuČlánok 17. Právo na vymazanie (právo „na zabudnutie“)Článok 18. Právo na obmedzenie spracúvaniaČlánok 19. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvaniaČlánok 20. Právo na prenosnosť údajovČlánok 21. Právo namietaťČlánok 22. Automatizované individuálne rozhodovanie vrátane profilovaniaČlánok 23. Obmedzenia
KAPITOLA IV Prevádzkovateľ a sprostredkovateľ (24-43)
Článok 24. Predmet úpravy a cieleČlánok 25. Špecificky navrhnutá a štandardná ochrana údajovČlánok 26. Spoloční prevádzkovateliaČlánok 27. Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v ÚniiČlánok 28. SprostredkovateľČlánok 29. Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľaČlánok 30. Záznamy o spracovateľských činnostiachČlánok 31. Spolupráca s dozorným orgánomČlánok 32. Bezpečnosť spracúvaniaČlánok 33. Oznámenie porušenia ochrany osobných údajov dozornému orgánu
Článok 34. Oznámenie porušenia ochrany osobných údajov dotknutej osobe
Článok 35. Posúdenie vplyvu na ochranu údajovČlánok 36. Predchádzajúca konzultáciaČlánok 37. Určenie zodpovednej osobyČlánok 38. Postavenie zodpovednej osobyČlánok 39. Úlohy zodpovednej osobyČlánok 40. Kódexy správaniaČlánok 41. Monitorovanie schválených kódexov správaniaČlánok 42. CertifikáciaČlánok 43. Certifikačné subjekty
KAPITOLA V Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám (44-50)
Článok 44. Všeobecná zásada prenosovČlánok 45. Prenosy na základe rozhodnutia o primeranostiČlánok 46. Prenosy vyžadujúce primerané zárukyČlánok 47. Záväzné vnútropodnikové pravidláČlánok 48. Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľujeČlánok 49. Výnimky pre osobitné situácieČlánok 50. Medzinárodná spolupráca na účely ochrany osobných údajov
KAPITOLA VI Nezávislé dozorné orgány (51-59)
Článok 51. Dozorný orgánČlánok 52. NezávislosťČlánok 53. Všeobecné podmienky týkajúce sa členov dozorného orgánuČlánok 54. Pravidlá zriadenia dozorného orgánuČlánok 55. PríslušnosťČlánok 56. Príslušnosť hlavného dozorného orgánuČlánok 57. ÚlohyČlánok 58. PrávomociČlánok 59. Správy o činnosti
KAPITOLA VII Spolupráca a konzistentnosť (60-70)
Článok 60. Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmiČlánok 61. Vzájomná pomocČlánok 62. Spoločné operácie dozorných orgánovČlánok 63. Mechanizmus konzistentnostiČlánok 64. Stanovisko výboruČlánok 65. Riešenie sporov výboromČlánok 66. Postup pre naliehavé prípadyČlánok 67. Výmena informáciíČlánok 68. Európsky výbor pre ochranu údajovČlánok 69. NezávislosťČlánok 70. Úlohy výboruČlánok 71. SprávyČlánok 72. PostupČlánok 73. PredsedaČlánok 74. Úlohy predseduČlánok 75. SekretariátČlánok 76. Dôvernosť informácií
KAPITOLA VIII Prostriedky nápravy, zodpovednosť a sankcie (77-84)
Článok 77. Právo podať sťažnosť dozornému orgánuČlánok 78. Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánuČlánok 79. Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľoviČlánok 80. Zastupovanie dotknutých osôbČlánok 81. Prerušenie konaniaČlánok 82. Právo na náhradu škody a zodpovednosťČlánok 83. Všeobecné podmienky ukladania správnych pokútČlánok 84. Sankcie
KAPITOLA IX Ustanovenia o osobitných situáciách spracúvania (85-91)
Článok 85. Spracúvanie a sloboda prejavu a právo na informácieČlánok 86. Spracúvanie a prístup verejnosti k úradným dokumentomČlánok 87. Spracúvanie národného identifikačného číslaČlánok 88. Spracúvanie v súvislosti so zamestnanímČlánok 89. Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účelyČlánok 90. Povinnosť zachovávať mlčanlivosťČlánok 91. Existujúce pravidlá ochrany údajov cirkví a náboženských združení
KAPITOLA X Delegované akty a vykonávacie akty (92-93)
Článok 92. Vykonávanie delegovania právomocíČlánok 93. Postup výboru
KAPITOLA XI Záverečné ustanovenia (94-95)
Článok 94. Zrušenie smernice 95/46/ESČlánok 95. Vzťah k smernici 2002/58/ESČlánok 96. Vzťah k dohodám uzavretým v minulostiČlánok 97. Správy KomisieČlánok 98. Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajovČlánok 99. Nadobudnutie účinnosti a uplatňovanie
GDPR > Článok 34. Oznámenie porušenia ochrany osobných údajov dotknutej osobe
Download PDF

Článok 34 GDPR. Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2. Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d).

Súvisiace texty
Súvisiace texty

3. Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b) prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude mať dôsledky;

c) by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

4. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

Všeobecné nariadenie o ochrane údajov (GDPR)

ISO 27701 Odôvodnenia Pokyny & Case Law Zanechať komentár
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

(EN) […]


to read the full text

Odôvodnenia

(75) Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory a členstvo v odborových organizíciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo uznania viny zo spáchania trestného činu a priestupku či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých osôb.

(86) Prevádzkovateľ by mal bezodkladne oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak toto porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, aby mohla prjať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, zmierniť potenciálne nepriaznivé dôsledky. Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr je to možné, a v úzkej spolupráci s dozorným orgánom v súlade s usmerneniami tohto alebo iného relevantného orgánu, napríklad orgánov presadzovania práva. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, avšak potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany osobných údajov môže opodstatniť aj dlhšiu lehotu na informovanie.

(87) Malo by sa zistiť, či sa prijali všetky primerané technické ochranné a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov, a na promptné informovanie dozorného orgánu a dotknutej osoby. Malo by sa zistiť, či sa oznámenie uskutočnilo bez zbytočného odkladu, pričom sa zohľadňuje najmä povaha a závažnosť porušenia ochrany osobných údajov, dôsledky tohto porušenia a nepriaznivé dôsledky pre dotknutú osobu. Toto oznámenie môže viesť k zásahu dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení.

(88) Pri stanovovaní podrobných pravidiel týkajúcich sa formátu a postupov uplatniteľných na oznámenia o porušení ochrany osobných údajov by sa mala venovať náležitá pozornosť okolnostiam daného porušenia, ako aj tomu, či osobné údaje boli chránené primeranými technickými ochrannými opatreniami, ktoré účinne obmedzujú pravdepodobnosť krádeže totožnosti alebo inej formy zneužitia. V takýchto pravidlách a postupoch by sa okrem toho mali zohľadňovať aj oprávnené záujmy orgánov presadzovania práva v prípadoch, v ktorých by predčasné poskytnutie informácií mohlo zbytočne brániť vyšetrovaniu okolností porušenia ochrany osobných údajov.

Pokyny & Case Law Zanechať komentár
[js-disqus]