GDPR u svom članku 29. obvezuje sve voditelje i izvršitelje obrada da surađuju s nadzornim tijelom za zaštitu podataka, konkretno, s AZOP-om.

Člankom 33. GDPR-a definiran je i opseg svih informacija koje voditelj obrade mora dostaviti nadzornom tijelu u max roku do 72 sata unutar prijave povrede osobnih podataka.

Jedna austrijska tvrtka je prošle godine pretrpjela sigurnosni incident u kojem su kompromitirani osobni podaci, konkretno uslijed ransomware napada. Pri tom su hakeri kriptirali poslovnu dokumentaciju, uključujući dokumentaciju 55 zaposlenika i podatke o njihovim plaćama. Pri tom su zakasnili s prijavom i dali samo dio obveznih informacija.

Nadzorno je tijelo naknadno zatražilo dodatna pojašnjenja i detalje povrede podataka i tvrtka je odgovorila emailom samo ponavljajući već prije dostavljeno. Očigledno je bilo da izbjegavaju dati dodatne detalje o incidentu. Čak i pod prijetnjom kazne, tvrtka nije odustajala od svog stava, točnije, šutnje.

Otkrilo se da je tvrtka odlučila nikome ne otkrivati punu istinu i sve detalje sigurnosnog incidenta, uključujući i propuste u sigurnosnim mjerama i postavkama sustava iz pragmatičnog razloga – kako bi dobili punu odštetu od osiguravajućeg društva za pretrpljenu štetu i gubitke prema polici koju su imali sklopljenu.

Ovakvo postupanje je suprotno GDPR obvezama, ali i općenito prijevarno i neetično.

Više o austrijskom slučaju:

https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.603.142&mtc=today

Image from FreePik

#gdprcroatia