Obvezno poročanje o kršitvah varnosti

Novost, ki jo je prinesla Uredba, je dolžnost obveščanja nadzornega organa (Informacijskega pooblaščenca) o zaznanih kršitvah varnosti osebnih podatkov, če je (vsaj) verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov.

Gre za obveznost vseh upravljavcev, ki je neodvisna od velikosti podjetja (število zaposlenih, obseg obdelave podatkov) in okoliščin, kako je do kršitve prišlo (nehote, npr. iz malomarnosti ali pa je načrtovana oziroma naklepna).

Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikovmorate upravljavci kršitev sporočiti tudi posamezniku, na katerega se nanašajo osebni podatki. Če po preučitvi obvestila o kršitvi to ugotovi Informacijski pooblaščenec, lahko upravljavcu naloži, da mora o kršitvi obvestiti posameznike.

Na spletni strani Informacijskega pooblaščenca preberite podrobnejšo razlago o obveznem poročanju o kršitvah.

Kaj pomeni kršitev varnosti?

Kršitev varnosti osebnih podatkov v smislu 33. in 34. člena Uredbe pomeni kršitev varnosti, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov.

Na splošno ta kršitev pomeni varnostni incident, ki ogroža zaupnost, celovitost in dostopnost osebnih podatkov.

Kršitve varstva osebnih podatkov so v praksi lahko, npr.:

  • dostop s strani nepooblaščene osebe (npr. kraja baze podatkov strank, ki omogoča goljufijo ali krajo identitete),

  • posredovanje osebnih podatkov nepravemu naslovniku;

  • izguba ali kraja službenega računalnika, ki vsebuje osebne podatke;

  • nepooblaščeno uničenje baz z osebnimi podatki;

  • sprememba osebnih podatkov brez potrebnega dovoljenja;

  • izguba dostopa do osebnih podatkov (izguba gesla ali okužba z izsiljevalskim virusom, ki onemogoči dostop do podatkov)

Kako prijavite kršitev?

V prvi fazi ocenite, ali sploh gre za kršitev, ki terja prijavo Informacijskemu pooblaščencu. Ocenite dva ključna faktorja: verjetnost in resnost posledic za pravice in svoboščine posameznikov. Verjetnost je povezana z možnostjo nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom. Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje v 72 urah, izsledki notranje preiskave pa se lahko posredujejo kasneje.

Informacijski pooblaščenec je pripravil neobvezen obrazec za podajo obvestila o kršitvi.

PRIPRAVITE AKCIJSKI NAČRT

  1. Vnaprej vzpostavite sistem za zaznavanje in sporočanje kršitev. Sliši se zapleteno, vendar je to lahko preprosta preglednica ali spletna aplikacija, skratka okoliščinam prilagodite način, kako boste vodili pregled nad zaznanimi kršitvami – kdo zazna kršitev, komu poroča, kako in kam se to zabeleži.

  2. Beležite in hranite vse zaznane kršitve varstva osebnih podatkov, ne glede na potrebo po uradnem obveščanju.

  3. V podjetju določite osebo, ki bo zadolžena za beleženje kršitev in morebitno prijavo Informacijskemu pooblaščencu (ali celo obvestilo posameznikom) in jo seznanite z obrazcem za obveščanje. Obrazec ni predpisan in v podjetju lahko pripravite svojo različico, ki pa naj nujno vsebuje vse sestavine, kot navedene v tretjem odstavku člena 33 Uredbe.

  4. Če je vaše podjetje v vlogi obdelovalca, npr. ponudnik gostovanja, zunanja IT-podpora, marketinška agencija, morate upravljavca o zaznani kršitvi nemudoma obvestiti, zato pripravite ustrezen protokol obveščanja (kdo bo zadolžen, kaj boste sporočili, komu).