Vastus
Isikuandmetega seotud rikkumised tähendavad olukorda, kui seoses andmetega, mille eest Te vastutate, esineb turvanõuete rikkumine, mis seab ohtu nende konfidentsiaalsuse, kättesaadavuse või terviklikkuse. Kui sellisel juhul on tõenäoline, et rikkumine seab ohtu üksikisiku õigused ja vabadused, peate Te sellest teatama pädevale järelevalveasutusele põhjendamatu viivituseta ja hiljemalt 72 tunni jooksul pärast rikkumisest teada saamist. Kui Te olete volitatud töötleja, peate Te teatama vastutavale töötlejale igast isikuandmetega seotud rikkumisest.
Kui isikuandmetega seotud rikkumine kujutab suurt ohtu asjaomastele isikutele, siis tuleb teatada ka kõigile neile (kui ei ole kehtestatud tõhusaid tehnilisi ja korralduslikke kaitsemeetmeid või võeti muid meetmeid, mis tagavad, et selle ohu teke ei ole enam tõenäoline).
Organisatsioonil on eriti tähtis rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid võimalike isikuandmetega seotud rikkumiste vältimiseks.
Näited
Organisatsioon peab teavitama andmekaitseasutust ja üksikisikuid
Tekstiiliettevõtte töötajate andmed said avalikuks. Nende andmete hulgas oli teave iga töötaja koduse aadressi, perekonnaseisu, kuupalga ja haigushüvitiste kohta. Sellisel juhul peab tekstiiliettevõte teatama rikkumisest järelevalveasutusele. Sellest tuleb teatada ka töötajatele, sest andmete hulgas oli tundlikke andmeid (nt terviseandmeid).
Haigla töötaja arvab heaks kopeerida patsientide andmed CD-plaadile ja avaldab need internetis. Haigla saab sellest teada mõni päev hiljem. Kohe, kui haigla saab sellest teada, on tal 72 tundi aega järelevalveasutuse teavitamiseks. Teavitama peab ka patsiente, sest isikuandmete hulgas oli tundlikku teavet, nagu andmeid vähidiagnoosi, raseduse ja muu sellise kohta. Sellisel juhul on kaheldav, kas haigla rakendas asjakohaseid tehnilisi ja korralduslikke meetmeid, sest kui asjakohaseid kaitsemeetmeid (nt andmete krüpteerimine) oleks rakendatud, siis ei oleks seda ohtu tõenäoliselt saanud tekkida ja haigla ei oleks kohustatud patsiente teavitama.
Ettevõtja peab teavitama kliente ning seejärel on võimalik, et ta peab teavitama andmekaitseasutust ja üksikisikuid
Pilvepõhise andmetöötlusteenuse osutaja kaotab mitu kõvaketast, millele on salvestatud mitmele tema kliendile kuuluvad isikuandmed. Ta peab teavitama neid kliente kohe, kui ta saab rikkumisest teada. Tema kliendid peavad teavitama andmekaitseasutust ja üksikisikuid sõltuvalt andmetöötleja töödeldud andmetest.
Viited
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.