Glavni sadržaj

Što je povreda podataka i što treba učiniti u slučaju povrede podataka?

Odgovor

Do povrede podataka dolazi kada podaci za koje je odgovorno  vaše društvo/organizacija sudjeluje u sigurnosnom incidentu koji rezultira povredom povjerljivosti, dostupnosti ili cjelovitosti. Dođe li do toga te ako je vjerojatno da povreda predstavlja rizik za prava i slobode pojedinca, o tome vaše društvo/organizacija treba obavijestiti nadzorno tijelo bez nepotrebnog odgađanja i najkasnije unutar 72 sata nakon saznanja o povredi. Ako je vaše društvo/organizacija izvršitelj obrade, o svakoj povredi podataka mora obavijestiti voditelja obrade.

Ako povreda podataka predstavlja visok rizik za pojedince pogođene povredom, tada i oni svi trebaju biti informirani osim ako se provode učinkovite tehničke i organizacijske mjere zaštite ili druge mjere koje osiguravaju da više nije vjerojatno da će doći do visokog rizika.

Za vas kao za organizaciju ključno je da provodite odgovarajuće tehničke i organizacijske mjere kako biste izbjegli moguće povrede podataka.

Primjeri

Organizacija mora obavijestiti TZP i pojedince
Otkriveni su podaci o zaposlenicima tekstilnog poduzeća. Podaci su uključivali osobne adrese, sastav obitelji, iznos mjesečne plaće i zdravstveni karton svakog zaposlenika. U tom slučaju tekstilno poduzeće o povredi mora obavijestiti nadzorno tijelo. Budući da osobni podaci obuhvaćaju osjetljive podatke, poput podataka o zdravlju, poduzeće o povredi mora obavijestiti i zaposlenike.

Zaposlenik bolnice odlučuje kopirati pojedinosti o pacijentima na CD te ih objavljuje na internetu. Bolnica je to otkrila nekoliko dana kasnije. Čim bolnica otkrije povredu, ima 72 sata da o povredi obavijesti nadzorno tijelo te, budući da osobne pojedinosti uključuju osjetljive informacije, primjerice ima li pacijent rak, je li pacijentica trudna itd., o povredi mora obavijestiti i pacijente. U tom bi slučaju bilo dvojbeno je li bolnica provodila odgovarajuće tehničke i organizacijske mjere zaštite.  Ako je zaista provodila odgovarajuće mjere zaštite (primjer: enkripcija podataka), materijalni rizik se vjerojatno ne bi ostvario te bi mogla biti izuzeta od obveze obavještavanja pacijenata.

Društvo može obavijestiti klijente i oni će tada možda morati obavijestiti TZP i pojedince
Servis u oblaku izgubi nekoliko tvrdih diskova koji sadržavaju osobne podatke nekoliko klijenata. Te klijente mora obavijestiti o povredi čim postane svjestan da je do nje došlo. Njegovi klijenti moraju obavijestiti TZP i pojedince koji ovise o podacima koje je izvršitelj obrade obrađivao.

Upućivanja

Examples

Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.

A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures.  If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.

Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.