Izvješćivanje o povredi osobnih podataka

U slučaju povrede osobnih podataka voditelj obrade dužan je bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije u roku od 72 sata od saznanja za povredu, izvijestiti Agenciju za zaštitu osobnih podataka, osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinaca.

Povreda osobnih podataka je povreda sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Povrede osobnih podataka mogu se odnositi na povjerljivost, dostupnost ili cjelovitost osobnih podataka. Primjeri povreda mogu uključivati neovlašteni pristup osobnim podacima, slanje osobnih podataka pogrešnom primatelju, gubitak ili krađu uređaja koji sadržava osobne podatke, ransomware napad, neovlaštenu izmjenu podataka ili gubitak pristupa podacima.

Nije svaki sigurnosni incident ujedno i povreda osobnih podataka. Međutim, svaki incident koji uključuje osobne podatke potrebno je bez odgode procijeniti kako bi se utvrdilo je li došlo do povrede osobnih podataka i postoji li obveza izvješćivanja Agencije.

Dostava izvješća Agenciji

Povrede osobnih podataka prijavljuju se Agenciji za zaštitu osobnih podataka putem obrasca Izvješća o povredi osobnih podataka koji možete na poveznici: https://azop.hr/wp-content/uploads/2025/05/izvjesce_o_povredi_osobnih_podataka.rtf

Potrebno je u obrascu popuniti sve obvezne podatke označene zvjezdicom (*). Izvješće s potpisom odgovorne osobe i pečatom voditelja obrade, ako je primjenjivo, potrebno je dostaviti Agenciji za zaštitu osobnih podataka, Ulica Metela Ožegovića 16, 10000 Zagreb, te skenirano na adresu elektroničke pošte: incidenti@azop.hr.

Posljedice propuštanja izvješćivanja

Agencija posebno ističe da je izvješćivanje o povredi osobnih podataka zakonska obveza voditelja obrade kada su za to ispunjeni uvjeti propisani Općom uredbom o zaštiti podataka.

Propuštanje izvješćivanja Agencije o povredi osobnih podataka, ako je takva obveza postojala, predstavlja povredu članka 33. Opće uredbe o zaštiti podataka. Propuštanje obavješćivanja ispitanika o povredi osobnih podataka, ako je zbog vjerojatnog visokog rizika za njihova prava i slobode postojala obveza njihova obavješćivanja, može predstavljati povredu članka 34. Opće uredbe o zaštiti podataka.

Navedene povrede podliježu korektivnim ovlastima Agencije, uključujući mogućnost izricanja upravnih novčanih kazni sukladno članku 83. Opće uredbe o zaštiti podataka.

Kada je potrebno izvijestiti Agenciju?

Voditelj obrade treba procijeniti:

1. Je li došlo do povrede osobnih podataka?
Potrebno je utvrditi je li sigurnosni incident doveo do uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili neovlaštenog pristupa osobnim podacima.

2. Postoji li rizik za prava i slobode pojedinaca?
Ako je vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinaca, voditelj obrade dužan je izvijestiti Agenciju.

3. Postoji li visok rizik za ispitanike?
Ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade dužan je, osim Agencije, bez nepotrebnog odgađanja obavijestiti i ispitanike na koje se povreda odnosi.

Pri procjeni rizika potrebno je uzeti u obzir okolnosti konkretnog slučaja, osobito vrstu povrede, prirodu i osjetljivost osobnih podataka, broj ispitanika, moguće posljedice za ispitanike, mogućnost njihove identifikacije te odnosi li se povreda na djecu ili druge ranjive skupine.

Što ako u roku od 72 sata nisu poznate sve informacije?

Ako voditelj obrade u trenutku podnošenja izvješća ne raspolaže svim informacijama, to ne bi trebalo odgoditi izvješćivanje Agenciji. U takvim slučajevima dostupne informacije potrebno je dostaviti u početnom izvješću, a dodatne informacije mogu se dostaviti naknadno, bez nepotrebnog odgađanja.

Ako izvješćivanje nije učinjeno u roku od 72 sata, izvješće mora sadržavati razloge zakašnjenja.

Obveza dokumentiranja povrede

Voditelj obrade dužan je dokumentirati svaku povredu osobnih podataka, neovisno o tome postoji li obveza izvješćivanja Agencije. Dokumentacija treba sadržavati činjenice povezane s povredom, njezine posljedice, poduzete mjere te obrazloženje odluke o tome je li povreda prijavljena Agenciji odnosno jesu li obaviješteni ispitanici.

Više o izvješćivanju o povredi osobnih podataka možete saznati u Smjernicama 9/2022 Europskog odbora za zaštitu podataka o izvješćivanju o povredi osobnih podataka prema Općoj uredbi o zaštiti podataka.