Prema službenom dokumentu Godišnjeg izvješća o radu AZOP-a u 2019. godini, koje čeka svoje čitanje i pihvaćanje na sjednici Hrvatskog sabora
https://www.sabor.hr/sites/default/files/uploads/sabor/2020-08-24/163204/GODISNJE_IZVJESCE_AZOP_2019.pdf
utvrđena je brojka od 73 AZOP-u prijavljene povrede podataka (Data Breach).
Da podsjetimo, u razdoblju od 25.05. do kraja 2018. godine AZOP-u je prijavljeno 49 incidenata s kompromitiranjem osobnih podataka, kako je i navedeno u službenom izvješću AZOP-a na ovom linku:
https://azop.hr/images/dokumenti/217/izvjesce_azop_2018.pdf
Prema tim podacima ukupno je u razdoblju od 25.05.2018. do 31.12.2019. u RH prijavljeno AZOP-u 122 povrede podataka.
Jel to puno, malo, premalo?
Za odgovor je dobro pogledati kako stoje ostale EU zemlje, prema DLA Piper dokumentu na ovom linku:
https://www.dlapiper.com/en/europe/insights/publications/2020/01/gdpr-data-breach-survey-2020/
U gotovo istom razdoblju u Nizozemskoj je prijavljeno više od 40.000 povreda, u Njemačkoj više od 37.000, u UK više od 22.000 takvih sigurnosnih incidenata.
Čak i u susjednoj nam Sloveniji prijavljeno je 1845 povreda, od kojih smo u dva slučaja i osobno sudjelovali tijekom postupka provjere činjenica i okolnosti povrede te same prijave slovenskom nadzornom tijelu.
Ako pogledamo lijevu stranu priložene slike s grafovima, vidjet ćemo da, iako nema podataka za RH, da je u navedenom razdoblju manje od RH prijavljeno povreda podataka samo na Cipru i Lihtenštajnu.
Mišljenja smo da u RH nije zaživjela kultura prijavljivanja povreda podataka, možda i zbog straha od otvaranja postupka nadzora od strane AZOP-a, možda i uslijed nepoznavanja obveza prijave ili jednostavno zbog neprepoznavanja povrede osobnih podataka, što je i najlošiji scenario.
A koliko je opasno živjeti danas ukoliko zaboravimo ili zanemarimo prijaviti povredu osobnih podataka AZOP-u, jasno nam ukazuju podaci s Enforcement Tracker reporta, koji na razini EU bilježi sve izrečene novčane kazne, na ovom linku:
https://www.enforcementtracker.com/
Čak 10 novčanih kazni izrečeno je pravnim subjektima u EU zbog neprijavljivanja ili neispravnog prijavljivanja povreda osobnih podataka, čiji se iznosi kreću čak i do 60.000 eur.
Treba prijaviti povredu podataka AZOP-u ukoliko su ispunjeni kriteriji za to, sukladno članku 33. GDPR-a, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.
Više detalja o provjeri kriterija i načinima ispunjenja obveza može se naći u Smjernicama Radne skupine iz članka 29. Direktive 95/46/EZ.
https://azop.hr/images/dokumenti/217/wp250rev01_hr.pdf