Da li ste u sklopu usklađivanja pripremili sebe, svoje zaposlenike i organizaciju za najgori scenarij - kompromitiranje osobnih podataka?

Jesmo li svjesni koliko je važno unaprijed se pripremiti za takve incidentne situacije?

Znamo li u kojim slučajevima moramo prijaviti incidente AZOP-u u roku od samo 72 sata, i koje informacije moramo dati AZOP-u?

Jesmo li sigurni da će naši izvršitelji obrada bez odlaganja izvijestiti nas o sumnji na povredu podataka?

Znamo li procjeniti kada moramo obavijestiti i osobe čiji su podaci kompromitirani?

Ovaj prethodni niz pitanja samo je dio priprema koje svaka organizacija mora osigurati tijekom svog usklađivanja s GDPR obvezama.

Nikako se ne smije zaobići ovaj skup priprema, koje uključuju i testiranje interne spremnosti i procedure otkrivanja, procjene, umanjivanja posljedica i obavješćivanja.

I Europska komisija posvetila je toj temi posebnu stranicu na svojim web stranicama:

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_hr

Do povrede podataka dolazi kada podaci za koje je odgovorno vaše društvo/organizacija sudjeluje u sigurnosnom incidentu koji rezultira povredom povjerljivosti, dostupnosti ili cjelovitosti.

Dođe li do toga te ako je vjerojatno da povreda predstavlja rizik za prava i slobode pojedinca, o tome vaše društvo/organizacija treba obavijestiti nadzorno tijelo bez nepotrebnog odgađanja i najkasnije unutar 72 sata nakon saznanja o povredi.

Ako je vaše društvo/organizacija izvršitelj obrade, o svakoj povredi podataka mora obavijestiti voditelja obrade.

Ako povreda podataka predstavlja visok rizik za pojedince pogođene povredom, tada i oni svi trebaju biti informirani osim ako se provode učinkovite tehničke i organizacijske mjere zaštite ili druge mjere koje osiguravaju da više nije vjerojatno da će doći do visokog rizika.

Za vas kao za organizaciju ključno je da provodite odgovarajuće tehničke i organizacijske mjere kako biste izbjegli moguće povrede podataka.

- Primjeri -

Organizacija mora obavijestiti TZP i pojedince Otkriveni su podaci o zaposlenicima tekstilnog poduzeća. Podaci su uključivali osobne adrese, sastav obitelji, iznos mjesečne plaće i zdravstveni karton svakog zaposlenika. U tom slučaju tekstilno poduzeće o povredi mora obavijestiti nadzorno tijelo. Budući da osobni podaci obuhvaćaju osjetljive podatke, poput podataka o zdravlju, poduzeće o povredi mora obavijestiti i zaposlenike.

Zaposlenik bolnice odlučuje kopirati pojedinosti o pacijentima na CD te ih objavljuje na internetu. Bolnica je to otkrila nekoliko dana kasnije. Čim bolnica otkrije povredu, ima 72 sata da o povredi obavijesti nadzorno tijelo te, budući da osobne pojedinosti uključuju osjetljive informacije, primjerice ima li pacijent rak, je li pacijentica trudna itd., o povredi mora obavijestiti i pacijente. U tom bi slučaju bilo dvojbeno je li bolnica provodila odgovarajuće tehničke i organizacijske mjere zaštite. Ako je zaista provodila odgovarajuće mjere zaštite (primjer: enkripcija podataka), materijalni rizik se vjerojatno ne bi ostvario te bi mogla biti izuzeta od obveze obavještavanja pacijenata. Društvo može obavijestiti klijente i oni će tada možda morati obavijestiti TZP i pojedince Servis u oblaku izgubi nekoliko tvrdih diskova koji sadržavaju osobne podatke nekoliko klijenata.

Te klijente mora obavijestiti o povredi čim postane svjestan da je do nje došlo. Njegovi klijenti moraju obavijestiti TZP i pojedince koji ovise o podacima koje je izvršitelj obrade obrađivao.