EDPB zahájil konzultaci k jednotné šabloně pro oznamování porušení zabezpečení osobních údajů
Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil návrh společné evropské šablony pro oznamování porušení zabezpečení osobních údajů. Návrh má přispět ke sjednocení oznamovací praxe napříč členskými státy a usnadnit plnění povinností podle čl. 33 GDPR. Veřejná konzultace potrvá do 5. srpna 2026.
GDPR označuje jako porušení zabezpečení osobních údajů porušení zabezpečení vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění osobních údajů. Pokud je pravděpodobné, že takové porušení povede k riziku pro práva a svobody fyzických osob, je správce povinen oznámit je příslušnému dozorovému úřadu bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl.
Obsah navrhované šablony
Návrh EDPB představuje strukturovaný formulář, který má pokrýt informace vyžadované čl. 33 GDPR. Šablona rozlišuje nové a doplňující oznámení a umožňuje podání úplného i neúplného hlášení, pokud nejsou všechny informace v době oznámení k dispozici.
Formulář obsahuje zejména identifikační údaje správce, oznamující osoby a případně pověřence pro ochranu osobních údajů. Dále požaduje informace o datu a způsobu zjištění incidentu, povaze porušení zabezpečení, jeho příčinách a dotčených systémech.
Významná část je věnována popisu dotčených kategorií subjektů údajů a kategorií osobních údajů. Šablona rozlišuje například zákazníky, zaměstnance, pacienty nebo nezletilé osoby a současně umožňuje specifikovat druhy dotčených údajů, včetně kontaktních údajů, identifikačních údajů, údajů o zdraví, finančních údajů či přihlašovacích údajů.
Součástí formuláře je rovněž posouzení pravděpodobných důsledků porušení zabezpečení a jeho dopadů na práva a svobody fyzických osob, vyhodnocení míry rizika a popis přijatých nebo plánovaných opatření ke zmírnění následků incidentu a prevenci obdobných událostí v budoucnu.
Přeshraniční případy a komunikace se subjekty údajů
Návrh počítá také s případy přeshraničního zpracování. Obsahuje pole pro identifikaci vedoucího dozorového úřadu, určení dotčených států Evropského hospodářského prostoru a uvedení dalších dozorových úřadů, kterým bylo nebo bude oznámení zasláno.
Samostatná část se věnuje informování subjektů údajů podle čl. 34 GDPR. Správce může uvést, zda byly dotčené osoby informovány, zda bude komunikace provedena později, případně zda se uplatní některá z výjimek stanovených GDPR.
Další postup
EDPB návrh šablony přijal dne 8. června 2026 za účelem veřejné konzultace. Připomínky je možné zasílat do 5. srpna 2026 prostřednictvím konzultační stránky EDPB.
Spolek pro ochranu osobních údajů sdružuje pověřence pro ochranu osobních údajů a další profesionály zabývajících se zpracováním a ochranou osobních údajů v soukromém sektoru, samosprávě a veřejné správě.
Sdružujeme pověřence a další profesionály zabývajících se zpracováním a ochranou osobních údajů