Drugim se riječima ovakav incident naziva - Povreda osobnih podataka, i definirana je u točki 12. članka 4. GDPR-a:
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani”
Kao što se može vidjeti iz brojnih naših objava na GDPR Croatia, vrlo su česte visoke kazne nadzornih tijela u EU jer su voditelji obrade ignorirali obvezu prijave povrede podataka. Istina je da se povrede podataka teško može sakriti, kad-tad će se otkriti.
Članak 33. GDPR-a
1. U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Članak 34. GDPR-a
1. U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.
No, stvari nisu crno-bijele, nije uvijek nužno povredu prijavljivati AZOP-u, sve ovisi koliki je stvarni rizik za prava i slobode pojedinaca čiji su osobni podaci kompromitirani.
Najlakše je shvatiti obveze i pravila kroz praktične primjere, na primjerima:
- ransomware napada na naše sustave i zaključavanja nam dragocjene dokumentacije i osobnih podataka
- instalacije zlonamjernog koda na našu web stranicu
- probijanja korisničkih lozinki za pristup web portalu
- krađi poslovne dokumentacije i podataka od strane sadašnjeg ili bivšeg zaposlenika
- nenamjernog i neželjenog otkrivanja osobnih podataka emailom trećim stranama
- slanje emaila s važnim informacijama i osobnim podacima pogrešnoj osobi
- krađe laptopa, tableta ili pametnih telefona
- krađe nezaštićenih hard diskova i USB stickova
- nestanka ispisanih dokumenata s osjetljivim podacima
- poslane poštanske pošiljke, računa ili opomene na pogrešnu adresu
- krađe identiteta
- hakerskog upada u email sustav
Sve ove slučajeve obradio je EDPB (European Data Protection Board) u svojim Smjernicama u kojima smo i mi pisali komentare na javnu raspravu otvorenu na proljeće 2021. i vidimo da su neki naši komentari kroz EADPP udruženje od strane EDPB prihvaćeni.
EDPB Smjernice pod nazivom Guidelines 01/2021 on Examples regarding Personal Data Breach Notification su ovdje:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en