Odgovor
Kršitev varstva podatkov se zgodi, ko pride v zvezi s podatki, za katere ste odgovorni, do varnostnega incidenta, ki povzroči kršitev zaupnosti, dostopnosti ali celovitosti. Če se to zgodi in če obstaja verjetnost, da kršitev pomeni tveganje za pravice in svoboščine posameznika, morate o tem obvestiti uradni organ brez nepotrebnega odlašanja in najpozneje v 72 urah po seznanitvi s kršitvijo. Če ste obdelovalec podatkov, morate o vsaki kršitvi varstva podatkov obvestiti upravljavca podatkov.
Če kršitev varstva podatkov pomeni veliko tveganje za posameznike, na katere to znatno vpliva, je treba o tem obvestiti tudi njih (razen če se izvajajo učinkoviti tehnični in organizacijski zaščitni ukrepi ali drugi ukrepi, ki zagotavljajo, da se tveganje verjetno ne bo več udejanjilo).
Za organizacijo je ključno, da izvaja ustrezne tehnične in organizacijske ukrepe, da bi preprečila morebitne kršitve varstva podatkov.
Primera
Organizacija mora obvestiti organ za varstvo podatkov in posameznike
Prišlo je do razkritja podatkov o zaposlenih v tekstilnem podjetju. Podatki obsegajo domače naslove, podatke o sestavi gospodinjstva, mesečni plači in zdravstvenih stroških za vsakega zaposlenega. V tem primeru mora tekstilno podjetje obvestiti nadzorni organ o kršitvi. Ker osebni podatki vključujejo občutljive podatke, kot so podatki o zdravstvenem stanju, mora podjetje o tem obvestiti tudi zaposlene.
Član bolnišničnega osebja se odloči, da bo podatke o pacientih kopiral na CD, in jih objavi na spletu. Bolnišnica to ugotovi čez nekaj dni. Ko bolnišnica to odkrije, ima na voljo 72 ur, da o tem obvesti nadzorni organ; ker osebni podatki vsebujejo občutljive informacije, na primer, ali ima pacient raka, ali gre za nosečnico itd., mora o tem obvestiti tudi paciente. V tem primeru ni jasno, ali bolnišnica izvaja ustrezne tehnične in organizacijske zaščitne ukrepe: če bi take ukrepe (npr. šifriranje podatkov) izvajala, ne bi bilo verjetno, da se bo tveganje udejanjilo, zato bi lahko bila izvzeta iz obveznosti obveščanja pacientov.
Podjetje mora obvestiti uporabnike, ti pa morajo potem obvestiti organ za varstvo podatkov in posameznike
Ponudnik storitev v oblaku izgubi več trdih diskov z osebnimi podatki, ki pripadajo več uporabnikom. Te uporabnike mora o tem obvestiti takoj, ko se seznani s kršitvijo. Njegovi uporabniki morajo nato obvestiti organ za varstvo podatkov in posameznike, kar je odvisno od podatkov, ki jih je obdeloval obdelovalec podatkov.
Reference
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.