Oznamování porušení zabezpečení údajů podle nařízení GDPR

Dozvíte se, jak Microsoft zjišťuje porušení zabezpečení osobních údajů a reaguje a upozorňuje na ně v souladu s nařízením GDPR.

Nařízení GDPR vyžaduje od správců a zpracovatelů osobních údajů oznamovací povinnost v případě, že dojde k porušení zabezpečení osobních údajů. Následující informace se věnují uvedenému opatření a vysvětlují, jak se Microsoft snaží takovým únikům primárně zabránit, jak je zjišťuje, jak na ně reaguje a jakým způsobem vás jako správce osobních údajů informuje.

Dokumentace o porušení zabezpečení údajů pro online služby

Office 365

Azure

Dynamics 365

Microsoft Professional Services

Nástroje pro správu

Nastavte kontakt organizace pro ochranu osobních údajů. Správci tenanta můžou kontakt organizace pro ochranu osobních údajů zadat přes portál pro správu Azure Active Directory pro případ, že by s ním Microsoft potřeboval komunikovat.
Nastavte kontakt organizace pro ochranu osobních údajů

Časté otázky týkající se oznamování porušení zabezpečení

Následují důležité otázky a odpovědi týkající se oznamování porušení zabezpečení:
|

Osobní údaje představují jakékoli informace, které souvisejí s jednotlivci (subjekty údajů) a které umožňují jejich přímou nebo nepřímou identifikaci. Porušení zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo nezákonnému zničení, úniku, změně a neoprávněnému zveřejnění přenášených, ukládaných nebo jinak zpracovávaných osobních údajů nebo k neoprávněnému přístupu k těmto údajům.

V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektů údajů (jako je například diskriminace, krádež identity, podvod, finanční ztráta nebo poškození dobré pověsti), vznikají vám podle nařízení GDPR následující povinnosti:
  • Musíte informovat příslušný úřad pro ochranu osobních údajů (dozorový úřad) do 72 hodin od zjištění incidentu (například od okamžiku, kdy vás na něj Microsoft upozornil). Pokud úřad ve stanoveném čase neinformujete, budete mu muset vysvětlit důvod takového postupu. Toto oznámení dozorovému úřadu je povinné, i když riziko pro subjekty údajů vysoké není.
  • Musíte neprodleně o porušení zabezpečení informovat příslušné subjekty údajů.
  • Musíte porušení zabezpečení zdokumentovat, včetně popisu jeho povahy, jako jsou například informace o počtu ohrožených subjektů údajů, počtu ohrožených záznamů údajů, následcích porušení zabezpečení a jakýchkoli nápravných akcích, které vaše organizace přijala nebo navrhuje.

Jakmile zjistíme porušení zabezpečení osobních údajů, musíme vás o něm podle nařízení GDPR neprodleně informovat. V případech, kdy je Microsoft zpracovatelem, odpovídají naše povinnosti požadavkům vyplývajícím z nařízení GDPR požadavky i našim standardům (tj. mezinárodním smluvním závazkům). Nevylučujeme ze zpracování žádné potvrzené porušení zabezpečení osobních údajů, tj. neexistuje žádný limit rizika poškození. Zákazníky budeme o porušení zabezpečení informovat bez ohledu na to, jestli k němu došlo přímo v rámci Microsoftu nebo v rámci některého z našich dílčích zpracovatelů. Zavedli jsme procesy, které nám rychle umožňují zjistit a kontaktovat vámi určené pracovníky pro řešení incidentů zabezpečení ve vaší organizaci. Kromě toho jsou všichni dílčí zpracovatelé smluvně zavázáni ohlásit Microsoftu jejich vlastní incidenty porušení zabezpečení a zajistit příslušné záruky.

Všechny naše služby i personál se řídí interními postupy správy incidentů, které zajišťují zavádění odpovídajících preventivních opatření s primárním cílem se porušení zabezpečení vyhnout. Online služby však mají navíc k dispozici konkrétní kontrolní mechanismy zabezpečení v rámci našich platforem, které porušení zabezpečení zjistí ve vzácných případech, kdy k nim dojde.

V případě porušení zabezpečení osobních údajů vás Microsoft podpoří následujícím způsobem:
  • Má k dispozici personál pro zabezpečení vyškolený na zvláštní postupy, které je nutné dodržovat.
  • Zavedené zásady, procedury a kontrolní mechanismy zajišťují, že Microsoft uchovává podrobné záznamy. To zahrnuje dokumentaci, která zaznamenává fakta o daném incidentu, jeho následcích a nápravné akci, stejně jako sledování a ukládání informací v našich systémech správy incidentů.

Microsoft vytvořil zásady a postupy, díky kterým budete informováni neprodleně. Abyste mohli splnit oznamovací povinnost dozorovému úřadu, poskytneme vám popis procesu, kterým jsme určili, jestli k porušení zabezpečení osobních údajů došlo, popis povahy daného incidentu a popis opatření, které jsme přijali ke zmírnění jeho následků.