Zaštita podataka

Povreda osobnih podataka

Povreda osobnih podataka je sigurnosni incident koji rezultira neovlaštenim pristupom, otkrivanjem, izmjenom ili uništenjem osobnih podataka. Prema GDPR-u, voditelj obrade mora prijaviti povredu AZOP-u u roku od 72 sata ako predstavlja rizik za prava ispitanika.

povreda podataka

GDPR

Članak 33

Članak 34

72 sata

AZOP

Zašto je to važno

Povrede podataka su neizbježne — čak i dobro pripremljene organizacije će ih doživjeti. Ono što je važno je kako reagirate. Kasna ili neodgovarajuća prijava povrede je samostalna povreda GDPR-a s vlastitim kaznama, odvojeno od kazni za samu povredu. Regulatori su kažnjavali organizacije za prekasno prijavljivanje, čak i kada je temeljna povreda bila relativno manja.

Pravilo 72 sata

Prema Članku 33., voditelji obrade moraju obavijestiti AZOP bez nepotrebnog odgađanja i, gdje je to moguće, u roku od 72 sata od saznanja o povredi — osim ako je malo vjerojatno da će povreda rezultirati rizikom za prava pojedinaca.

Izvršitelj obrade mora obavijestiti voditelja obrade "bez nepotrebnog odgađanja" (bez specifičnog vremenskog ograničenja).

Što prijava mora sadržavati

Prirodu povrede — što se dogodilo, kategorije i približan broj pogođenih ispitanika i zapisa
Kontakt podatke DPO-a — ili drugu kontaktnu točku za daljnje informacije
Vjerojatne posljedice — koji rizici povreda predstavlja za pogođene pojedince
Poduzete mjere — koraci već poduzeti ili predloženi za rješavanje i ublažavanje posljedica

Kada obavijestiti ispitanike

Prema Članku 34., ako je povreda vjerojatno visokorizična za prava i slobode ispitanika, oni moraju također biti obaviješteni bez nepotrebnog odgađanja, jasnim i razumljivim jezikom.

Najčešći primjeri

E-mail poslan krivom primatelju s osobnim podacima u prilogu
Ransomware napad koji šifrira baze podataka s osobnim podacima
Izgubljen ili ukraden nekriptirani laptop ili USB uređaj
Neovlašteni pristup bazi podataka od strane zaposlenika ili vanjskog napadača
Slučajna objava osobnih podataka na web stranici

Ključna regulativa

GDPR Članak 33 — prijava nadzornom tijelu
GDPR Članak 34 — obavijest pogođenim ispitanicima
EDPB Smjernice o prijavi povrede (WP 250) — detaljno vodstvo s primjerima
AZOP — nadležno nadzorno tijelo u Hrvatskoj

Povezani pojmovi

GDPR (Opća uredba o zaštiti podataka)

Opća uredba o zaštiti podataka (GDPR) je sveobuhvatni zakon Europske unije koji uređuje način na koji organizacije prikupljaju, pohranjuju, obrađuju i dijele osobne podatke pojedinaca u Europskom gospodarskom prostoru. Primjenjuje se na sve organizacije, bez obzira na veličinu ili sjedište.

Voditelj obrade

Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka. Voditelj obrade snosi primarnu odgovornost za usklađenost s GDPR-om.

DPO (Službenik za zaštitu podataka)

Službenik za zaštitu podataka (DPO) je neovisni stručnjak imenovan od strane organizacije za nadzor usklađenosti sa zakonima o zaštiti podataka, savjetovanje o obvezama, praćenje usklađenosti i služenje kao kontaktna točka za AZOP i ispitanike.

AZOP (Agencija za zaštitu osobnih podataka)

AZOP je hrvatsko neovisno nadzorno tijelo zaduženo za nadzor primjene GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka u Republici Hrvatskoj. AZOP provodi nadzore, prima pritužbe građana, izriče kazne i daje smjernice za obradu osobnih podataka.

Kibernetička sigurnost

Kibernetička sigurnost je praksa zaštite sustava, mreža, uređaja i podataka od digitalnih napada, neovlaštenog pristupa i štete. Obuhvaća tehnološke, procesne i ljudske kontrole dizajnirane za obranu od prijetnji poput malwarea, phishinga, ransomwarea i insajderskih napada.

Povezani tečajevi

Odgovori Na Gdpr Incidente

Gdpr U Praksi Kljucna Znanja Za Poslovanje

Želite naučiti više?

Istražite naše tečajeve i steknite praktično znanje o ovoj temi.