Acceptus savjetovanje
  • Početna
  • Konzalting
    • Poslovno savjetovanje
    • GDPR
    • ePrivacy
    • NIS direktiva
    • EU Fondovi
    • Edukacija
  • Blog
  • Tim
  • Suradnja
  • Kontakt
GDPR_Povreda_osobnih_podataka, Data breach

Povreda osobnih podataka – što nam je činiti?

Što je to povreda osobnih podataka?

GDPR u članku 4. definira povredu osobnih podataka kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Povreda osobnih podataka može prouzročiti gubitak poslovnog ugleda, neposrednu ili  posrednu, materijalnu ili nematerijalnu štetu, kako pojedincu zaposlenom kod poslodavca tako i samom poslodavcu. Kod spomena povrede osobnih podataka najčešće pomislimo na cyber napade i odmahnemo rukom uz konstataciju da se to na nas ne odnosi. Pri tome zanemarujemo banalne primjere povrede osobnih podataka kojima svjedočimo gotovo svakodnevno, od govornog odavanja profesionalnih tajni, čak i onih iz montiranih postupaka, kako bismo “vjerodostojno i uvjerljivo” (copy-paste) etiketirali pojedince i prikrili vlastite nedopuštene radnje, pri čemu ne štitimo pretežniji interes, do banalnih poslovnih propusta pri Email komunikaciji.

Prema WP29 kategoriziramo ju u tri skupine:

Povreda povjerljivosti – kada je došlo do neovlaštenog ili slučajnog otkrivanja ili pristupa osobnim podacima

Povreda dostupnosti – kada je došlo do neovlaštenog gubitka pristupa ili uništenja osobnih podataka

Povreda integriteta – kada je došlo do neovlaštene ili slučajne izmjene osobnih podataka.

Što nam nalaže GDPR?

Obvezu izvješćivanja nadzornog tijela o povredi osobnih podataka koje će vjerojatno prouzročiti rizik za prava i slobode pojedinaca, posebno rizik iz obrada osobnih podataka koje bi mogle prouzročiti fizičku, materijalnu ili nematerijalnu štetu. Inicijalno izvješćivanje može biti cjelovito ili djelomično, a minimalan sadržaj izviješća sadržan je u članku 33. stavku 2. Uredbe.

Obavješćivanje ispitanika o povredi osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca. Sadržaj obavijesti, kao i iznimke od obveze obavještavanja propisani su člankom 34. stavcima 3. i 4.

Tko je u obvezi?

Obveza obavještavanja ispitanika i/ili nadzornog tijela leži na voditelju obrade. Obavještavanje na relaciji izvršitelj obrade – voditelj obrade, predmet je ugovora ili drugog pravnog akta, dok je interno obavještavanje unutar organizacije dio procedura ili internih akata.

Koji je rok za izvještavanje?

Uredba propisuje rok od 72 sata od saznanja za povredu u pogledu izvještavanja nadležnog nadzornog tijela.

Ima li mjesta zavaravanju?

Nitko neće znati da li smo održali ili probili rok. Izlika ili varka, odlučite sami. Približan, pa i točan trenutak povrede nije nemoguće utvrditi, a oslanjanje na neznanje točnog vremena povrede može štetiti samo i najviše nama. Način na koji je nadzorno tijelo doznalo za kršenje uzima se u obzir pri odlučivanju o izricanju upravne novčane kazne te pri odlučivanju o njezinoj visini!

Zaključno

Obavještavanje koje nam nalaže Uredba samo je dio procedura koje trebamo provesti kod povrede osobnih podataka.

Zaštita osobnih podataka odraz je osobne i poslovne kulture te ogledalo nas samih.

Mala fide i neetičnost maskirani u formu etike povredu čine još težom!

Related Posts

Boostamo

Novosti

BOOSTamo “papire”

1

Novosti

“Prostitucija” znanja

GDPR mitovi

Novosti

Pitanja koja traže odgovore ili nešto drugo

Acceptus savjetovanje
Uvjeti korištenja
Politika privatnosti
Copyright © 2018 Uhvati val d.o.o.
Stranica www.acceptus-savjetovanje.com koristi kolačiće za pružanje boljeg korisničkog iskustva. Za nastavak korištenja web stranice kliknite na "Prihvaćam".
Postavke kolačića mogu se konfigurirati u vašem web pregledniku, a više informacija potražite ovdje: Politika privatnosti