Donosimo iz medija primjer svježe povrede osobnih podataka u jednoj našoj banci, kada je banka, umjesto samo svom klijentu, poslala odgovor na još neutvrđen značajan broj drugih klijenata.

Ovdje se radi o povredi. No, jel je moramo prijaviti AZOP-u?

GDPR u članku 33. definira da se povreda osobnih podataka mora prijaviti AZOP-u bez nepotrebnog odgađanja i u roku od najviše 72 sata od saznanja o povredi, osim ako NIJE VJEROJATNO da će povreda uzrokovati rizik za prava i slobode pojedinaca.

Odavanje bankarskih informacija i stanja dugovanja po kreditima može predstavljati čak i VRLO VISOK rizik za prava i slobode pojedinaca.

No, u ovom konkretnom slučaju nema otkrivanja osjetljivih informacija o redovitosti plaćanja rata kredita niti o postojanju dugovanja. Također, nije moguće identificirati konkretnu osobu. Ako je to sve što je otkriveno (nije nam poznato kako je medij saznao ime g. Mrvoša) tada nije vjerojatno da će biti rizik za pojedinca i nije nužno prijaviti AZOP-u, ali je svakako nužno učiniti tri koraka:

1. Ispričati se klijentu i obavijestiti ga o okolnostima povrede koja mu ne donosi nikakav rizik

2. Dokumentirati evaluaciju kriterija po kojima smo utvrdili da nema obveze prijave povrede AZOP-u

3. Zapisati povredu u Evidenciju povreda

Takvo postupanje je i u duhu nedavno objavljenih Smjernica o obavještavanju o povredi osobnih podataka koje je EDPB stavio na javnu raspravu:

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en

Objava u medijima je ovdje:

http://rep.hr/vijesti/mobiteli/klijent-pitao-banku-odgovor-poslali-svima/7442/#