Povreda osobnih podataka – što nam je činiti?
Što je to povreda osobnih podataka?
GDPR u članku 4. definira povredu osobnih podataka kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Povreda osobnih podataka može prouzročiti gubitak poslovnog ugleda, neposrednu ili posrednu, materijalnu ili nematerijalnu štetu, kako pojedincu zaposlenom kod poslodavca tako i samom poslodavcu. Kod spomena povrede osobnih podataka najčešće pomislimo na cyber napade i odmahnemo rukom uz konstataciju da se to na nas ne odnosi. Pri tome zanemarujemo banalne primjere povrede osobnih podataka kojima svjedočimo gotovo svakodnevno, od govornog odavanja profesionalnih tajni, čak i onih iz montiranih postupaka, kako bismo “vjerodostojno i uvjerljivo” (copy-paste) etiketirali pojedince i prikrili vlastite nedopuštene radnje, pri čemu ne štitimo pretežniji interes, do banalnih poslovnih propusta pri Email komunikaciji.
Prema WP29 kategoriziramo ju u tri skupine:
Povreda povjerljivosti – kada je došlo do neovlaštenog ili slučajnog otkrivanja ili pristupa osobnim podacima
Povreda dostupnosti – kada je došlo do neovlaštenog gubitka pristupa ili uništenja osobnih podataka
Povreda integriteta – kada je došlo do neovlaštene ili slučajne izmjene osobnih podataka.
Što nam nalaže GDPR?
Obvezu izvješćivanja nadzornog tijela o povredi osobnih podataka koje će vjerojatno prouzročiti rizik za prava i slobode pojedinaca, posebno rizik iz obrada osobnih podataka koje bi mogle prouzročiti fizičku, materijalnu ili nematerijalnu štetu. Inicijalno izvješćivanje može biti cjelovito ili djelomično, a minimalan sadržaj izviješća sadržan je u članku 33. stavku 2. Uredbe.
Obavješćivanje ispitanika o povredi osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca. Sadržaj obavijesti, kao i iznimke od obveze obavještavanja propisani su člankom 34. stavcima 3. i 4.
Tko je u obvezi?
Obveza obavještavanja ispitanika i/ili nadzornog tijela leži na voditelju obrade. Obavještavanje na relaciji izvršitelj obrade – voditelj obrade, predmet je ugovora ili drugog pravnog akta, dok je interno obavještavanje unutar organizacije dio procedura ili internih akata.
Koji je rok za izvještavanje?
Uredba propisuje rok od 72 sata od saznanja za povredu u pogledu izvještavanja nadležnog nadzornog tijela.
Ima li mjesta zavaravanju?
Nitko neće znati da li smo održali ili probili rok. Izlika ili varka, odlučite sami. Približan, pa i točan trenutak povrede nije nemoguće utvrditi, a oslanjanje na neznanje točnog vremena povrede može štetiti samo i najviše nama. Način na koji je nadzorno tijelo doznalo za kršenje uzima se u obzir pri odlučivanju o izricanju upravne novčane kazne te pri odlučivanju o njezinoj visini!
Zaključno
Obavještavanje koje nam nalaže Uredba samo je dio procedura koje trebamo provesti kod povrede osobnih podataka.
Zaštita osobnih podataka odraz je osobne i poslovne kulture te ogledalo nas samih.
Mala fide i neetičnost maskirani u formu etike povredu čine još težom!