Sukladno članku 33. Opće uredbe o zaštiti podataka, ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika, voditelj obrade mora izvijestiti bez odgađanja nadzorno tijelo o povredi osobnih podataka (najkasnije u roku od 72 sata od saznanja o povredi). Navedeno izvješćivanje treba sadržati opis povrede uz informacije o ispitanicima i osobnim podacima, opis vjerojatnih posljedica povrede, opis mjera koje su poduzete ili predložene za rješavanje povrede te kontakt točku voditelja.
Sukladno članku 34. Opće uredbe o zaštiti podataka, ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode ispitanika, voditelj obrade je dužan informirati ispitanike o povredi osobnih podataka koristeći se jasnim i jednostavnim jezikom. Iznimno, neće biti potrebno ako je voditelj obrade primijenio zaštitne mjere (npr. enkripciju) kojima je spriječio korištenje povrijeđenih osobnih podataka, poduzeo naknadne mjere zaštite zbog kojih nije vjerojatan visok rizik ili ako je kontaktiranje svakog ispitanika predstavljalo nerazmjeran napor, pri čemu je onda nužno ispitanike obavijestiti sredstvima javnog priopćavanja ili na drugi djelotvoran način.
Povredu osobnih podataka Agenciji za zaštitu osobnih podataka prijavljujete dostavom ispunjenog obrasca kojeg možete preuzeti na poveznici: https://azop.hr/wp-content/uploads/2021/04/izvjesce_o_povredi_osobnih_podataka-1.rtf
Napomena! Potrebno je u obrascu popuniti sve obvezne podatke (označeni su s *) i izvješće s potpisom odgovorne osobe i pečatom (ako je primjenjivo) voditelja obrade, u izvorniku, dostaviti na adresu sjedišta Agencije: Agencija za zaštitu osobnih podataka, Selska cesta 136, 10000 Zagreb, te skenirano na e-mail adresu: incidenti@azop.hr.
Kad nije potrebno obavijestiti Agenciju o povredi osobnih podataka?
Primjer: Dokument koji sadrži osobne podatke slučajno je proslijeđen zaposleniku koji nije ovlašten za uvid, no isti nije izašao iz posjeda društva, obzirom da je zaposlenik upoznat s obvezom čuvanja poslovne tajne, nije vjerojatno da će isto prouzročiti rizik za ispitanike te nije potrebno obavijestiti Agenciju za zaštitu osobnih podataka.
Primjer: Voditelj obrade pohranio je sigurnosnu kopiju s arhivom osobnih podataka koji su šifrirani na USB ključu. Ključ je ukraden tijekom provale. Sve dok su podaci šifrirani s pomoću najnaprednijeg algoritma, dok postoje sigurnosne kopije podataka i jedinstveni ključ nije ugrožen, a podaci se mogu pravodobno oporaviti, to nije povreda koju treba prijaviti.
Kad je potrebno obavijestiti Agenciju o povredi osobnih podataka?
Primjer: Ukradeno je prijenosno računalo na kojem se nalaze poslovni podaci koji uključuju osobne podatke zaposlenika, klijenata i poslovnih partnera. Prijenosno računalo zaštićeno je lozinkom, ali nije šifrirano (kriptirano) te su osobni podaci dostupni i trećim osobama. Obzirom da se radi o velikom broju osobnih podataka može se zaključiti da isto može prouzročiti rizik za ispitanike te je potrebno obavijestiti Agenciju za zaštitu osobnih podataka.
Primjer: Voditelj obrade pretrpio je napad ucjenjivačkim softverom kojim su svi podaci šifrirani. Nema dostupnih sigurnosnih kopija, a podaci se ne mogu oporaviti. Nakon istrage postalo je jasno da je jedina funkcija ucjenjivačkog softvera bila šifriranje podataka te je utvrđeno da u sustavu nije prisutan nikakav drugi zlonamjerni softver. Povredu osobnih podataka potrebno je prijaviti nadzornom tijelu ako je vjerojatno da su nastale posljedice za pojedince jer se tu radi o gubitku dostupnosti.
Više o povredama osobnih podataka možete saznati u Smjernicama Europskog odbora za zaštitu podataka o obavješćivanju o povredi osobnih podataka na temelju Uredbe 2016/679 i Smjernicama Europskog odbora za zaštitu podataka 01/2021 o primjerima obavješćivanja o povredi osobnih podataka.
Više o tome što su povrede osobnih podataka, što učiniti u slučaju povrede i kako procijeniti treba li povredu prijaviti nadzornom tijelu i ispitanicima, možete saznati u modulima na webu alatu “Olivia” o povredama osobnih podataka
