Čo je „GDPR incident“ a kedy ide o únik osobných údajov?

Typicky ide o bezpečnostnú udalosť, ktorá vedie k narušeniu dôvernosti, integrity alebo dostupnosti osobných údajov (napr. neoprávnený prístup, omylom odoslaný e‑mail, stratené médium, ransomvér). Nie každá technická porucha je automaticky GDPR incident.

Musím incident vždy hlásiť dozornému orgánu?

Nie vždy. Kľúčové je posúdenie rizika pre práva a slobody dotknutých osôb a riadne zdokumentovanie rozhodnutia. Pri neistote je vhodné postupovať konzervatívne a overiť požiadavky podľa aktuálneho znenia.

Čo musím mať zdokumentované, aj keď incident nehlásim?

Minimálne popis incidentu, kategórie údajov, okruh osôb, dopady, prijaté opatrenia a odôvodnenie, prečo oznamovanie nebolo potrebné.

Čo ak incident vznikol u dodávateľa (sprostredkovateľa)?

Zmluvne aj procesne musíte mať nastavené, aby vás informoval včas, poskytol podklady a spolupracoval pri vyšetrovaní a náprave (pozri DPA/checklist).

GDPR incident – postup, evidencia a komunikácia (2026)

TL;DR

Incident riešte ako proces: zastaviť → zistiť → posúdiť riziko → zdokumentovať → napraviť → predísť.
Kľúčové je posúdenie rizika pre dotknuté osoby a dokumentácia rozhodnutia.
Veľa problémov vzniká na hranici medzi prevádzkovateľom a dodávateľom – preto je dôležitá dobrá DPA: GDPR DPA checklist (2026).
Incidenty často odhalia, že nemáte poriadok ani v „bežnom“ GDPR (práva osôb, marketing, monitoring). Pozrite aj:
GDPR a e‑shop: cookie banner, GA4, Meta pixel (2026)
Monitoring zamestnancov a GDPR (2026)

Najhoršie, čo sa pri incidente stane, býva často nie samotný technický problém, ale chaos: neviete, kto rozhoduje, čo evidovať, čo komunikovať a čo „už je hlásiteľné“. GDPR pritom stojí na princípe zodpovednosti (accountability): aj keď incident nemusí byť oznamovaný, musíte vedieť preukázať, že ste ho zvládli primerane.

Kedy to dáva zmysel riešiť

spracúvate osobné údaje klientov, zamestnancov alebo návštevníkov webu,
používate externých dodávateľov (cloud, účtovníctvo, CRM, e‑mailing, e‑shop),
máte incident, ktorý môže mať dopad na ľudí (zverejnené údaje, phishing, ransomvér, omylom odoslané dáta),
chcete mať pripravený postup skôr, než sa niečo stane.

Čo je „incident“ a kde sú hranice istoty

Prakticky:

Incident = udalosť, ktorá narušila dôvernosť / integritu / dostupnosť osobných údajov.

Nie každá IT porucha je automaticky incident a nie každý incident je automaticky oznamovaný. Takmer vždy však platí:

evidovať a zdokumentovať je rozumné,
oznamovanie závisí od rizika a okolností.

Rozhodovací strom: čo urobiť v prvých hodinách

Sú v udalosti zapojené osobné údaje? - Nie → riešte ako IT incident (mimo GDPR oznamovania), ale evidenciu si pokojne nechajte - Áno / neviem → pokračuj
Došlo k narušeniu dôvernosti, integrity alebo dostupnosti? - Áno → pokračuj - Nie → zdokumentuj dôvody a uzavri
Je pravdepodobné riziko pre dotknuté osoby? - Nízke → zdokumentuj (prečo), prijmi opatrenia - Vyššie / nejasné → posúď detailnejšie a zdokumentuj

Incident playbook (krok za krokom)

1) Zastavte „krvácanie“ (containment)

odpojte kompromitované účty, resetujte prístupy, zmeňte heslá,
izolujte zariadenia, ktoré môžu byť zdrojom úniku,
zabezpečte logy a dôkazy (pozor na ich prepisovanie).

2) Urobte triáž a timeline

kedy sa udalosť stala (odhad),
kedy ste sa o nej dozvedeli,
koho sa môže týkať (okruh osôb),
aké systémy sú dotknuté,
aké údaje môžu byť dotknuté (kategórie, citlivosť).

3) Zmapujte tok údajov (kde všade sa mohli dostať)

Najmä pri cloude a dodávateľoch je dôležité:

kde boli údaje uložené,
kto mal prístup,
či existovala šifra / pseudonymizácia,
či sa údaje dali stiahnuť alebo len zobraziť.

4) Posúďte riziko pre dotknuté osoby

Pri riziku uvažujte o:

type údajov (bežné vs. citlivejšie kategórie),
množstve a rozsahu,
možnosti identifikácie osoby,
možnostiach zneužitia (phishing, finančné podvody, reputácia),
prítomnosti ochranných opatrení (šifrovanie, prístupové obmedzenia).

5) Rozhodnutie: oznámenie alebo neoznámenie (a dôvody)

Kľúčové je mať:

záznam o rozhodnutí a jeho odôvodnenie,
zoznam prijatých opatrení,
plán ďalších krokov.

Ak si nie ste istí, postupujte konzervatívne a overte si podmienky podľa aktuálneho znenia a usmernení.

6) Komunikácia (interná, s dodávateľmi, prípadne navonok)

Interné minimum:

jeden vlastník incidentu (incident manager),
jasný kanál komunikácie,
schvaľovanie výstupov.

Dodávatelia:

vyžiadajte opis incidentu, rozsah, opatrenia,
dohodnite zodpovednosti a termíny,
skontrolujte, čo máte zmluvne dohodnuté (DPA).

Pomôže: GDPR DPA checklist (2026)

7) Evidencia incidentu (incident register)

Aj pri neoznamovaní odporúčame evidovať:

popis incidentu,
dotknuté systémy,
kategórie údajov,
okruh osôb,
hodnotenie rizika a dôvody,
opatrenia (technické aj organizačné),
poučenia a prevencia.

8) Prevencia: incident je signál

Incidenty často odhalia slabiny:

prístupové práva sú príliš široké,
chýba MFA,
chýba školenie (phishing),
nie sú jasné pravidlá práce s údajmi.

Typické incidenty a čo si hneď pýtať ako dôkaz

Príklad incidentu	Typický dopad	Čo hneď zabezpečiť
omylom odoslaný e‑mail s prílohou	neoprávnené sprístupnenie	odoslaná správa, adresáti, obsah prílohy, pokus o odvolanie
kompromitovaný účet	prístup k databáze	logy prihlásení, IP, rozsah prístupov
strata zariadenia	riziko úniku	či bolo šifrované, vzdialené vymazanie, kto mal prístup
ransomvér	nedostupnosť / možné úniky	rozsah, logy, zálohy, známky exfiltrácie

Najčastejšie chyby v praxi

Neexistuje vlastník incidentu a vznikne chaos.
Nezdokumentuje sa rozhodnutie „neoznamujeme“ a neskôr sa to nedá obhájiť.
Dodávateľ komunikuje neskoro a firma nemá podklady.
Rieši sa len reputačné riziko pre firmu, nie riziko pre osoby.
„Rýchle upratanie“ zničí logy a dôkazy.

Aktualizované k dátumu

Aktualizované k 17.01.2026.

Právne upozornenie

Tento článok je informatívny. Povinnosti pri incidente závisia od okolností, rozsahu a aktuálneho znenia predpisov a usmernení.

GDPR incident a únik osobných údajov: interný postup, dokumentácia a komunikácia bez paniky (2026)