Agencija za zaštitu osobnih podataka prošlog tjedna zaprimila je Izvješće o povredi osobnih podataka – incidentu (prema članku 33. Opće uredbe o zaštiti podataka) od strane voditelja obrade – Nacionalnog centra za vanjsko vrednovanje obrazovanja, nakon čega je Agencija započela nadležno nadzorno postupanje.
Podsjetimo, članak 33. Opće uredbe o zaštiti podataka propisuje obvezu izvješćivanja nadzornog tijela o povredi osobnih podataka i to u roku najkasnije 72 sata nakon saznanja o toj povredi. Što se tiče obavještavanja ispitanika o povredi osobnih podataka, članak 34. propisuje kako je voditelj obrade ispitanike bez nepotrebnog odgađanja dužan obavijestiti u slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca. Obavješćivanje ispitanika nije obvezno ako je ispunjen bilo koji od uvjeta iz članka 34. stavka 3.:
a) voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;
b) voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;
c) time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.
O svim relevantnim informacijama u vezi nadzornog postupanja obavijestit ćemo javnost.
