Zašto je to važno
Povrede podataka su neizbježne — čak i dobro pripremljene organizacije će ih doživjeti. Ono što je važno je kako reagirate. Kasna ili neodgovarajuća prijava povrede je samostalna povreda GDPR-a s vlastitim kaznama, odvojeno od kazni za samu povredu. Regulatori su kažnjavali organizacije za prekasno prijavljivanje, čak i kada je temeljna povreda bila relativno manja.
Pravilo 72 sata
Prema Članku 33., voditelji obrade moraju obavijestiti AZOP bez nepotrebnog odgađanja i, gdje je to moguće, u roku od 72 sata od saznanja o povredi — osim ako je malo vjerojatno da će povreda rezultirati rizikom za prava pojedinaca.
Izvršitelj obrade mora obavijestiti voditelja obrade "bez nepotrebnog odgađanja" (bez specifičnog vremenskog ograničenja).
Što prijava mora sadržavati
- Prirodu povrede — što se dogodilo, kategorije i približan broj pogođenih ispitanika i zapisa
- Kontakt podatke DPO-a — ili drugu kontaktnu točku za daljnje informacije
- Vjerojatne posljedice — koji rizici povreda predstavlja za pogođene pojedince
- Poduzete mjere — koraci već poduzeti ili predloženi za rješavanje i ublažavanje posljedica
Kada obavijestiti ispitanike
Prema Članku 34., ako je povreda vjerojatno visokorizična za prava i slobode ispitanika, oni moraju također biti obaviješteni bez nepotrebnog odgađanja, jasnim i razumljivim jezikom.
Najčešći primjeri
- E-mail poslan krivom primatelju s osobnim podacima u prilogu
- Ransomware napad koji šifrira baze podataka s osobnim podacima
- Izgubljen ili ukraden nekriptirani laptop ili USB uređaj
- Neovlašteni pristup bazi podataka od strane zaposlenika ili vanjskog napadača
- Slučajna objava osobnih podataka na web stranici
Ključna regulativa
- GDPR Članak 33 — prijava nadzornom tijelu
- GDPR Članak 34 — obavijest pogođenim ispitanicima
- EDPB Smjernice o prijavi povrede (WP 250) — detaljno vodstvo s primjerima
- AZOP — nadležno nadzorno tijelo u Hrvatskoj