Iako su globalno hakerski napadi globalno najzastupljeniji uzrok povreda osobnih podataka, u našem okruženju najčešće nailazimo na ljudski faktor kao uzrok, odnosno, pogrešku, zlu namjeru ili neznanje zaposlenika organizacije.
Koliko puta smo se susreli sa situacijom da je bivši zaposlenik uzeo sa sobom kopije poslovne dokumentacije ili popise kontakata dosadašnjih poslovnih partnera ili klijenata.
Nemali je broj slučajeva kada prodajni zastupnici prilikom odlaska u drugu firmu ili otvaranja vlastitog biznisa uzmu kopiju kontakata kupaca, klijenata, krajnjih korisnika, s namjerom da monetiziraju taj popis u vlastitu korist.
Dok je radio kao prodajni agent, imao je potpuno zakoniti pristup osobnim podacima klijenata zbog prirode svog posla. Prestankom radnog odnosa bivši prodajni agent nema zakoniti temelj za prisvajanje osobnih podataka, odnosno, njihovo neovlašteno kopiranje i organizacija u kojoj je radio suočava se s povredom osobnih podataka.
KORAK 1.
Organizacija mora po prvom saznanju shvatiti da ima potencijalnu ili stvarnu povredu osobnih podataka, koliko god je to teško priznati. To je prvi i najteži korak.
KORAK 2.
Moramo li obavijestiti AZOP o toj povredi ili i osobe čiji su podaci ukradeni?
Konkretno se radi o povredi povjerljivosti osobnih podataka, i u pravilu se pri tom kopiraju samo kontaktni podaci (ime, tvrtka, email, telefon) te nisu u pitanju posebne kategorije osobnih podataka. No, određen rizik za pogođene korisnike ili klijente ipak postoji jer organizacija ne može znati koje su namjere bivšeg zaposlenika, hoće li on te podatke javno objaviti ili distribuirati dalje, zasipati ih zlonamjernim mailovima i sl. Stoga postoji rizik za te osobe.
KORAK 3.
U roku od najviše 72 sata mora se izvijestiti AZOP u skladu s uputama na stranicama:
https://azop.hr/izvjescivanje-o-povredi-osobnih-podataka/
KORAK 4.
S obzirom da smo utvrdili da ukradeni osobni podaci nisu osjetljive prirode (npr. članstvo u sindikatu, podaci o zdravlju...), pogođeni pojedinci neće se suočiti s visokim rizikom za njhova prava i slobode, stoga organizacija nema GDPR obvezu izravnog obavještavanja pogođenih pojedinaca o povredi.
No, kako se radi i postoćim klijentima ili korisnicima, bilo bi itekako razumno da im se organizacija što prije javi, da im prva otkrije činjenicu umjesto da je saznaju od bivšeg zaposlenika. Teško je istinu sakriti, a ako se otkrije na nekontroliran način, gubi se povjerenje klijenata i stvara reputacijska šteta.
Kako organizacije mogu, osim što moraju, spriječiti nastajanje ovakvih povreda podataka?
Priznat ćemo, nije lako. Mjere se sastoje od pravovremenog ograničavanja pristupa pojedinim poslovnim sustavima (npr. CRM) i evidencijama, strogoj primjeni pravila pristupa poslovnoj dokumentaciji i nadzoru ostvarenih pristupa, posebice za zaposlenike koji su u otkaznom roku, temeljem internih akata organizacije.
Organizacija mora odmah po otkrivanju neovlaštenog kopiranja zatražiti bivšeg zaposlenika da uništi kopije i, po potrebi, pokrenuti pravne postupke protiv njega, ali dati i jasnu informaciju svim svojim zaposlenicima da se takve stvari ne smiju činiti i da će biti sankcionirane.
Izvor: EDBP Smjernice u vezi obavještavanja o povredama podataka
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en