Pokud dojde k nějakému bezpečnostnímu incidentu, je nutné, aby se o něm správce dozvěděl. Každý správce by měl tedy přijmout technická a organizační opatření, aby dokázal jednotlivé incidenty detekovat (např. pravidelné kontroly záznamů o přístupu k informačním systémům, povinnost zaměstnanců hlásit bezpečnostní incidenty, systémy pro odhalení průniku do počítačových sítí).

Každý zjištěný bezpečnostní incident je správce povinen zdokumentovat a musí vyhodnotit jeho rizika. V případě, že riziko pro subjekty údajů je nepravděpodobné (např. osobní údaje, které unikly, byly dostatečně zašifrované a nedošlo k úniku šifrovacích klíčů), nemusí správce provádět žádné oznámení. V ostatních případech musí být bezpečnostní incident nahlášen Úřadu pro ochranu osobních údajů (správce zasílá Úřadu ohlášení na adresu elektronické pošty, e-mail: posta@uoou.cz, nebo do datové schránky: qkbaa2n), a to do 72 hodin od okamžiku, kdy se správce o něm dozvěděl. Pokud ohlášení není provedeno do 72 hodin, musí být současně s oznámením uvedeny důvody tohoto zpoždění.

Ohlášení musí obsahovat:

• popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
• jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
• popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
• popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Jestliže správce vyhodnotí riziko pro subjekty údajů jako vysoké (např. hrozba zneužití identity nebo finanční ztráty), musí takový bezpečnostní incident oznámit i subjektům údajů, a to bez zbytečného odkladu. Z této povinnosti existují tři výjimky upravené přímo v GDPR:

• správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
• správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví (např. při úniku přihlašovacích údajů do internetové aplikace dojde k okamžitému resetování hesel);
• oznámení by vyžadovalo nepřiměřené úsilí (např. správce nemá k dispozici kontaktní údaje subjektů údajů a nemá možnost je získat). V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

Další omezení povinnosti oznámit bezpečnostní incident dotčeným subjektům údajů přinesl zákon o zpracování osobních údajů (č. 110/2019 Sb.) účinný od 24. 4. 2019, který upravuje určitá doplnění nebo povolené odchylky od GDPR. Pokud správce zajišťuje při zpracování osobních údajů tzv. chráněný zájem (např. obranné nebo bezpečnostní zájmy České republiky, veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a ochranných opatření, ochrana práv a svobod osob, nebo vymáhání soukromoprávních nároků), oznámení o bezpečnostním incidentu pro subjekty údajů provede v omezeném rozsahu nebo jej odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění výše uvedeného chráněného zájmu. Omezení tohoto práva subjektů údajů však musí správce bez zbytečného odkladu oznámit Úřadu pro ochranu osobních údajů. Konečně správce musí vyřešit dané porušení zabezpečení osobních údajů a případně zajistit nápravu důsledků bezpečnostního incidentu.