Primjer:
Službeni laptop zaposlenika na svom disku i aplikacijama sadrži imena i prezimena, adrese, datume rođenja, emailove, telefonske brojeve 100.000 korisnika usluga organizacije.
Zbog nestanka laptopa nemoguće je utvrditi koje se sve kategorije osobnih podataka drugih osoba nalaze na laptopu i koliki je opseg povrede podataka.
Laptop nije zaključavan lozinkom a diskovi nisu enkriptirani. Nažalost, ovo nije baš rijedak slučaj kod nas.
Kao što vidimo, organizacija nije pravovremeno poduzela sve nužne mjere za sprječavanje posljedica povrede u slučaju krađe laptopa.
Osobni podaci i poslovne tajne lako su dostupni novom "korisniku" laptopa.
KORAK 1.
Organizacija mora po prvom saznanju shvatiti da ima potencijalnu ili stvarnu povredu osobnih podataka, koliko god je to teško priznati. To je prvi i najteži korak.
KORAK 2.
Moramo li obavijestiti AZOP o toj povredi ili i osobe čiji su podaci ukradeni?
Konkretno se radi o povredi povjerljivosti osobnih podataka, određen rizik za pogođene korisnike ipak postoji jer organizacija ne može znati koje su namjere kradljivca ili neke treće osobe koja koristi laptop, hoće li on te podatke javno objaviti ili distribuirati dalje, koristiti ih za krađu identiteta i sl.
Stoga postoji rizik za korisnike.
KORAK 3.
U roku od najviše 72 sata mora se izvijestiti AZOP u skladu s uputama na stranicama:
https://azop.hr/izvjescivanje-o-povredi-osobnih-podataka/
KORAK 4.
Iako se na laptopu ne nalaze osobni podaci osjetljive prirode (npr. podaci o zdravlju, članstvu u sindikatu, podaci o kaznenim dijelima, podaci ili kopije bankovnih kartica...), pogođene osobe mogle bi se suočiti s određenim visokim rizikom za svoja prava i slobode uslijed zlouporabe njihovih osobnih podataka.
Organizacija, čiji je laptop ukraden, mora obavijestiti svakog od ovih 100.000 korisnika o povredi s informacijama kojima da upućuje da se pripremi na moguće zlouporabe vlastitih osobnih podataka.
Ako bi ovakvo obavještavanje zahtijevalo nerazmjeran napor, tada organizacija mora ići u javno obavještavanje (npr. mediji).
Zbog jednog laptopa i izostanka zaštite lozinkom i enkripcijom diskova organizaciji prijeti ozbiljan reputacijski rizik.
Koje mjere možemo dodatno poduzeti da smanjimo rizik u ovakvim slučajevima?
Educirati i upozoravati zaposlenike da laptop nikada ne ostavljaju bez nadzora (npr. u vozilu, javnom mjestu...) i da izgovor "išao sam samo nakratko u trgovinu" nije opravdanje.
I kriptirati sve diskove u računalu, danas je takva mogućnost besplatna putem BitLockera u Windowsima 10 Professional ili Enterprise, iskoristimo je odmah.
Izvor: EDBP Smjernice u vezi obavještavanja o povredama podataka
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en