HR | EN

logo
header pozadina-min
1. Koje dvije promjene po pitanju povrede osobnih podataka ispitanika je donijela Opća uredba?

Dvije glavne, važne inovacije koje je doniijela Opća uredba u usporedbi s Direktivom o zaštiti podataka iz 1995., jesu:

  • Novi zahtjev za obavješćivanje nadležnog nacionalnog nadzornog tijela (ili vodećeg tijela, u slučaju prekogranične povrede) o povredi osobnih podataka, te
  • zahtjev za obavješćivanje pojedinaca na čije je osobne podatke povreda utjecala (u određenim slučajevima).
2. Kada nije potrebno obavješćivat nadzorno tijelo o povredi?

Obavješćivanje je obvezno za sve voditelje obrade osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinaca.

Primjer Povreda povodom koje se ne bi zahtijevalo obavješćivanje nadzornog tijela bila bi gubitak  šifriranog mobilnog uređaja kojim se koristi voditelj obrade i članovi njegova osoblja. Pod uvjetom da ključ za šifriranje ostane u sigurnom posjedu voditelja obrade i da se ne radi o jedinoj kopiji tih osobnih podataka, osobni podaci bili bi nedostupni napadaču. To znači da nije vjerojatno da će povreda prouzročiti rizik za prava i slobode predmetnih ispitanika. Ako kasnije postane očito da je ključ za šifriranje ugrožen ili da računalni program ili algoritam za šifriranje ima slabih točaka, promijenit će se rizik  za prava i slobode pojedinaca promijenit će se pa će se stoga možda zahtijevati obavješćivanje.

3. Koje su koristi od obavješćivanja nadzornog tijela o povredi?
  1. NADZORNA TIJELA – Pri obavješćivanju nadzornog tijela, voditelji obrade mogu dobiti savjet o tome treba li obavijestiti pojedince pogođene povredom. Zapravo, nadzorno tijelo može narediti voditelju obrade da te pojedince obavijesti o povredi.
  2. POJEDINCI – Obavješćivanjem pojedinaca o povredi omogućuje se da ih obavijesti o rizicima koji su proizašli iz povrede i o mjerama koje ti pojedinci mogu poduzeti kako bi se zaštitili od mogućih posljedica povrede.

NAPOMENA: Svi planovi postupanja u slučaju povrede trebali bi biti usmjereni na zaštitu pojedinaca i njihovih osobnih podataka. Stoga bi obavješćivanje o povredi trebalo smatrati alatom za povećanje usklađenosti s obzirom na zaštitu osobnih podataka.

4. Koje su sankcije ako se odluči ne obavijestiti?

Trebalo bi imati na umu da neprijavljivanje povrede pojedincu ili nadzornom tijelu može dovesti do mogućih sankcija za voditelja obrade.

5. Na koji način prevenirati rizik?

Općom uredbom o zaštiti podataka zahtijeva se da voditelji i izvršitelji obrade uspostave odgovarajuće tehničke i organizacijske mjere kako bi zajamčili razinu sigurnosti koja je primjerena riziku koji postoji s obzirom na osobne podatke koji se obrađuju.

6. Što je to povreda osobnih podataka?

Povreda osobnih podataka predstavlja „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.”

– „uništenje” – radi se o tome da određeni podaci više ne postoje ili ne postoje u obliku koji je od ikakve koristi voditelju obrade.

– „šteta” – radi se o situaciji u kojoj su osobni podaci izmijenjeni, oštećeni ili više nisu cjeloviti.

– „gubitak” – podaci možda i dalje postoje, no voditelj obrade izgubio je kontrolu nad njima ili pristup njima ili oni više nisu u njegovu posjedu.

– neovlaštena ili nezakonita obrada – može uključivati otkrivanje osobnih podataka primateljima (ili njihov pristup tim podacima) koji nisu ovlašteni primati te podatke (ili im pristupati) ili bilo koji drugi oblik obrade kojim se krši Opća uredba o zaštiti podataka. 

Primjer gubitka osobnih podataka može biti situacija u kojoj je uređaj koji sadržava kopiju baze podataka o klijentima voditelja obrade izgubljen ili ukraden.

Primjer 2. Još jedan primjer gubitka podataka može biti situacija u kojoj je jedina kopija baze osobnih podataka šifrirana s pomoću ucjenjivačkog softvera (ransomware) ili ju je voditelj obrade šifrirao s pomoću ključa koji više ne posjeduje.

7. Koje su vrste povreda osobnih podataka?

Povrede se mogu razvrstati u kategorije na temelju sljedećih triju dobro poznatih načela informacijske sigurnosti: 

  • „povreda povjerljivosti” – u slučaju neovlaštenog ili slučajnog otkrivanja osobnih podataka ili pristupa tim podacima
  • „povreda cjelovitosti” – u slučaju neovlaštene ili slučajne izmjene osobnih podataka
  • „povreda dostupnosti” – u slučaju slučajnog ili neovlaštenog gubitka pristupa osobnim podacima ili uništenja tih podataka

–  povreda će se uvijek smatrati povredom dostupnosti ako je došlo do trajnog gubitka ili uništenja osobnih podataka.  

Primjeri gubitka dostupnosti uključuju situacije u kojima su podaci slučajno izbrisani ili ih je izbrisala neovlaštena osoba ili ako je, u primjeru sa  šifriranim podacima, izgubljen ključ za dešifriranje. U slučaju da voditelj obrade ne može ponovno uspostaviti pristup podacima, primjerice, s pomoću sigurnosne kopije, tada se to smatra trajnim gubitkom dostupnosti. 

8. Koje su moguće posljedice povrede osobnih podataka?

Povreda potencijalno može imati niz značajnih negativnih učinaka na pojedince, koji im mogu prouzročiti fizičku, materijalnu ili nematerijalnu štetu.

To dakle može uključivati gubitak nadzora nad osobnim podacima pojedinaca, ograničavanje njihovih prava, diskriminaciju, krađu identiteta ili prijevaru, financijske gubitke, neovlašteni obrnuti postupak pseudonimizacije, štetu za ugled i gubitak povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom.

Ako je vrlo vjerojatno da će nastati ti negativni učinci, Općom uredbom o zaštiti podataka zahtijeva se da voditelj obrade što prije, u razumnim granicama, obavijesti pogođene pojedince o povredi.

9. Kako procijeniti rizik za pojedince i dokumentirati postupak?

U praksi, DPO će morati biti blisko i duboko uključen u ova pitanja. Često, sumnja na povredu će vjerojatno biti prvo prijavljena interno DPO-u a tada on mora onda načiniti prvu, trenutnu procjenu barem sljedećih pitanja: 

  • je li se doista dogodila povreda osobnih podataka kako je definirana u GDPR-u (i ako se utvrdi da je doista došlo do povrede ili je vjerojatno da je moglo doći do povrede):
  • koje (kategorije) ispitanika su ili su mogle biti pogođene povredom i koje (kategorije) osobnih podataka su moguće izgubljene ili na drugi način pogođene (preporučuje da se te kategorije prijave AZOP-u kod bilo kojeg obavješćivanja o povredi),

i uzimajući te stvari u obzir: 

  • je li „vjerojatno“ ili „nije vjerojatno“ da će povreda dovesti do rizika za prava i slobode pojedinaca

pitanje kada to obavijest nije potrebna donekle daje sljedeći primjer: 

Primjer:

Povreda za koju nije potrebno obavješćivanje nadzornog tijela bila bi gubitak sigurnosno enkriptiranog mobilnog uređaja, kojeg koristi voditelj obrade i njegovo osoblje. Pod uvjetom da enkripcijski ključ ostane unutar sigurnog posjeda voditelja obrade i da to nije jedina kopija osobnih podataka, tada bi osobni podaci bili nedostupni napadaču. To znači da povreda vjerojatno ne bi dovela do rizika za prava i slobode ispitanika u tom slučaju. Ako kasnije postane očigledno da je enkripcijski ključ kompromitiran ili da je enkripcijski softver ili algoritam ranjiv, tada će se rizik za prava i slobode pojedinaca izmijeniti, te stoga obavješćivanje možda sada bude potrebno.

ali ako je procjena da postoji vjerojatnost takvog potencijalnog rizika: 

  • je li rizik “visok rizik za prava i slobode tih pojedinaca“ (zato što bi to zahtijevalo ne samo obavještavanje o povredi AZOP-u, već također i obavještavanje ispitanika)

VAŽNO ako procjene ukazuju na to da je došlo do povrede, te da postoje rizici za interese pojedinaca, tada treba hitno zatražiti mjere za ublažavanje rizika.

Gornja pitanja bi trebalo također hitno, čim prije bude moguće, proslijediti najvišem rangu uprave te bi povrede trebale biti pažljivo evidentirana, zajedno s ishodima relevantnih procjena i razlozima za te procjene.

10. U kojem vremenskom roku je potrebno obavijestiti nadzorno tijelo o povredi?

U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Tijekom tog razdoblja voditelj obrade trebao bi procijeniti vjerojatni rizik za pojedince kako bi utvrdio je li zahtjev za obavješćivanje aktiviran te koje su mjere potrebne za rješavanje problema povrede.

Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

11. Kada se smatra da je voditelj obrade „saznao” za povredu?

Smatra se da je voditelj obrade „saznao” za povredu kada  s razumnim stupnjem sigurnosti može smatrati da je došlo do sigurnosnog incidenta kojim su ugroženi osobni podaci.

Kada se točno može smatrati da je voditelj obrade „saznao” za određenu povredu ovisit će o okolnostima konkretne povrede.

NAGLASAK bi trebalo staviti na hitno djelovanje kako bi se incident istražio i kako bi se utvrdilo je li zaista došlo do povrede osobnih podataka te kako bi se u tom slučaju poduzele mjere za popravljanje štete i prema potrebi obavijestilo o povredi.

Primjeri slučaja kada se smatra da je voditelj obrade „saznao“ za povredu

  1. 1. U slučaju gubitka USB ključa s nešifriranim osobnim podacima često nije moguće utvrditi jesu li neovlaštene osobe dobile pristup tim podacima. Unatoč tome, iako voditelj obrade možda i ne može utvrditi je li došlo do povrede povjerljivosti, o takvom se slučaju mora provesti obavješćivanje jer postoji razuman stupanj sigurnosti da je došlo do povrede dostupnosti. U tom bi slučaju voditelj obrade „saznao” za povredu u trenutku u kojem je shvatio da je USB ključ izgubljen.
  2. 2. Treća strana obavijesti voditelja obrade da je slučajno primila osobne podatke jednog od njegovih klijenata i pruži dokaze o neovlaštenom otkrivanju. Budući da su voditelju obrade predstavljeni jasni dokazi o povredi povjerljivosti, nema dvojbe o tome da je voditelj obrade „saznao” za povredu.
  3. 3. Voditelj obrade otkrije da je došlo do neovlaštenog upada u njegovu mrežu. Voditelj obrade provjerava svoje sustave kako bi utvrdio jesu li ugroženi podaci koji se nalaze u tim sustavima i potvrđuje da se to dogodilo. Budući da voditelj obrade sada ima jasne dokaze o povredi, ponovno nema dvojbe o tome da je voditelj obrade „saznao” za povredu.
12. Zašto su korisna preliminarna djelovanja za sprječavanje povreda?

Iako su voditelji obrade i izvršitelji obrade odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje, postoje određene praktične mjere koje bi trebalo poduzeti u svim slučajevima:

  • Informacije koje se odnose na sve događaje povezane sa sigurnošću trebale bi biti usmjerene prema odgovornoj osobi ili osobama čiji je zadatak odgovor na incidente, utvrđivanje postojanja povrede i procjenjivanje rizika
  • Potom bi trebalo procijeniti rizik za pojedince koji je prouzročen povredom (vjerojatnost da rizik ne postoji, postoji ili da postoji visoki rizik), pri čemu je potrebno obavijestiti relevantne odjele unutar organizacije
  • Ako se to zahtijeva, o povredi bi trebalo obavijestiti nadzorno tijelo, a možda i pogođene pojedince
  • Istodobno bi voditelj obrade trebao djelovati kako bi obuzdao povredu i otklonio njezine posljedice
  • Povredu bi trebalo kontinuirano dokumentirati tijekom njezina trajanja

U skladu s tim, trebalo bi biti jasno da je voditelj obrade obvezan djelovati povodom svakog početnog upozorenja i utvrditi je li stvarno došlo do povrede.

VAŽNO!! Te mjere i mehanizmi za izvješćivanje mogu se podrobno opisati u planovima voditelja obrade za postupanje u slučaju incidenta i/ili u sustavima upravljanja.

13. Što u slučaju zajedničkih voditelja obrade?

Zajednički voditelji obrade moraju odrediti svoje odgovornosti za poštovanje Opće uredbe o zaštiti podataka. Preporučuje da se u ugovorne dogovore među zajedničkim voditeljima obrade uključe odredbe kojima se određuje koji će voditelj obrade voditi ili biti odgovoran za poštovanje obveza obavješćivanja o povredama iz Opće uredbe o zaštiti podataka.  

14. Koje su obveze izvršitelja obrade?

Voditelj zadržava opću odgovornost za zaštitu osobnih podataka, ali izvršitelj obrade ima važnu ulogu u omogućivanju voditelju obrade da ispuni svoje obveze, a to uključuje obavješćivanje o povredama.

Ako se voditelj obrade koristi izvršiteljem obrade, a izvršitelj obrade sazna za povredu osobnih podataka koje obrađuje u ime voditelja obrade, taj izvršitelj mora „bez nepotrebnog odgađanja” obavijestiti voditelja obrade.

Općom uredbom o zaštiti podataka nije predviđen nikakav izričit rok u kojem izvršitelj obrade mora upozoriti voditelja obrade, osim što se propisuje da to mora učiniti „bez nepotrebnog odgađanja”.

15. Štite li se Općom uredbom o zaštiti podataka osobni podaci umrlih osoba?

Ako voditelj obrade obavješćuje nadzorno tijelo o povredi on, u najmanjoj mjeri, mora:

(a) opisati prirod(u) povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka; 

(b) navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija; 

(c) opisati vjerojatne posljedice povrede osobnih podataka; 

(d) opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

16. Što u slučaju da voditelju obrade nisu poznate sve informacije o povredi?

Ako precizne informacije nisu dostupne (npr. točan broj pogođenih ispitanika), to ne bi trebalo spriječiti pravodobno obavješćivanje o povredi. Općom uredbom o zaštiti podataka dopušta se navođenje približnog broja predmetnih pogođenih pojedinaca i predmetnih evidencija osobnih podataka. Naglasak bi trebao biti na otklanjanju negativnih učinaka povrede, a ne na pružanju preciznih podataka. Stoga, ako je postalo jasno da je došlo do povrede, ali njezini razmjeri još nisu poznati, postupno obavješćivanje (vidjeti u nastavku) siguran je način ispunjavanja obveza obavješćivanja.

17. Da li je moguće moguće postupno obavješćivanje o povredi?

Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, informacije je moguće postupno pružati bez nepotrebnog daljnjeg odgađanja.

To znači da se u Općoj uredbi o zaštiti podataka priznaje da voditelji obrade neće uvijek imati sve potrebne informacije o povredi u roku od 72 sata nakon što su saznali za nju jer potpune i sveobuhvatne pojedinosti o incidentu možda neće uvijek biti dostupne tijekom tog početnog razdoblja. Stoga se Uredbom dopušta postupno obavješćivanje

NAPOMENA: Trebalo bi biti jasno i to da voditelj obrade, nakon početnog obavješćivanja, može nadzornom tijelu dostaviti ažurirane informacije ako su daljnjom istragom otkriveni dokazi da je sigurnosni incident spriječen i da se zapravo nije dogodila nikakva povreda.

Primjer: Voditelj obrade u roku od 72 sata nakon otkrivanja povrede obavijesti nadzorno tijelo da je izgubio USB ključ s kopijom osobnih podataka nekih od svojih klijenata. Kasnije se utvrdi da je USB ključ bio pohranjen na krivom mjestu u poslovnim prostorijama voditelja obrade te je pronađen. Voditelj obrade dostavlja ažurirane informacije nadzornom tijelu i traži da se obavijest izmijeni.

18. Što kada se obavješćivanje ne izvrši unutar roka od 72 sata?

Ako obavješćivanje nije učinjeno unutar 72 sata, ono mora biti popraćeno razlozima za kašnjenje. Time se, zajedno s konceptom postupnog obavješćivanja, priznaje da voditelj obrade možda neće uvijek moći obavijestiti nadzorno tijelo o povredi u tom roku te da se odgođeno obavješćivanje može dopustiti.

Primjer: kako bi voditelj obrade izbjegao preveliko opterećenje on bi mogao podnijeti „objedinjenu” obavijest u kojoj su prikazane sve te povrede, pod uvjetom da se one odnose na istu vrstu osobnih podataka koji su povrijeđeni na isti način tijekom relativno kratkog razdoblja.

19. Da li treba i pojedince upoznati sa povredom?

U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje pojedince o povredi osobnih podataka.

Dakle, prag za obavješćivanje pojedinaca  o povredi  je stoga viši nego li za obavješćivanje nadzornih tijela, te se neće dakle za sve povrede tražiti obavješćivanje pojedinaca, time ih štiteći od nepotrebnog zamora obavijestima.

20. U kojem roku treba obavjestiti ispitanike?

Opća uredba navodi da informiranje o povredi pojedinaca treba biti učinjeno „bez nepotrebnog odgađanja“, što znači što je prije moguće.

21. Koji je glavni cilj obavješćivanja pojedinaca?

Glavni je cilj obavješćivanja pojedinaca pružiti im posebne informacije o koracima koje oni trebaju poduzeti kako bi zaštitili sami sebe. Kako je navedeno ranije u tekstu, ovisno o prirodi povrede i nametnutom riziku, pravovremeno obavješćivanje će pomoći pojedincima da poduzmu korake kako bi se zaštitili od bilo kojih negativnih posljedica povrede. 

22. Koje sve informacije treba pružiti voditelj obrade zahvaćenim pojedincima?

Prilikom obavješćivanja pojedinaca poptrebna je uporaba jasnog i jednostavnog jezika te ono sadržava barem sljedeće informacije:

  • opis prirode povrede;
  • ime i kontaktne podatke službenika za zaštitu podataka ili drugu kontaktnu osobu;
  • opis vjerojatnih posljedica povrede; i
  • opis poduzetih mjera ili predloženih mjera koje treba poduzeti voditelj obrade kako bi riješio povredu, uključujući, kada je to prikladno, mjere za ublažavanje njenih mogućih negativnih učinaka.

Primjer:

Kao primjer poduzetih mjera za rješavanje povrede i ublažavanje njenih mogućih negativnih učinaka, voditelj obrade može navesti da, nakon što je obavijestio o povredi relevantno nadzorno tijelo, voditelj obrade je dobio savjet o rješavanju povrede i umanjivanju njenog učinka.

Voditelj obrade bi također trebao, kada je to prikladno, pružiti specifičan savjet pojedincima kako bi se zaštitili od mogućih negativnih posljedica povrede, kao što  je resetiranje lozinke u slučaju kada su kompromitirane njihove pristupne autorizacije. Ponovno, voditelj obrade može odabrati pružiti i druge informacije povrh ovoga što je ovdje navedeno.

23. Da li ispitanici moraju biti direktno obavješteni?

U načelu, o relevantnoj povredi bi pogođeni ispitanici trebali biti obaviješteni izravno, osim ako bi se time zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

24. U kojim uvjetima nije potrebno obavješćivanje pojedinaca?

Postoje tri uvjeta koji, ako im je udovoljeno, ne zahtijevaju obavješćivanje pojedinaca u slučaju povrede. To su: 

  • Voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija.
  • Odmah nakon povrede, voditelj obrade poduzeo je korake kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika. Primjerice, ovisno o okolnostima slučaja, voditelj obrade je moguće odmah identificirao i poduzeo mjere protiv pojedinca koji je pristupio osobnim podacima prije nego li je taj pojedinac bio u mogućnosti išta s time učiniti.
  • Ako bi to uzrokovalo nerazmjeran napor da se kontaktiraju pojedinci, moguće kada su njihovi kontaktni podaci izgubljeni uslijed povrede ili uopće nisu ni bili poznati.

Primjerice, skladište ureda za statistiku je poplavljeno i dokumenti koji sadrže osobne podatke su bili pohranjeni samo u papirnom obliku. Umjesto toga, voditelj obrade mora obavijestiti javnost nekom javnom objavom ili poduzeti drugu sličnu mjeru, čime se pojedinci obavještavaju na jednako učinkovit način.

Primjer Obavještavanje nadzornog tijela? Obavještavanje ispitanika? Bilješke/ preporuke
i. Voditelj obrade je pohranio sigurnosnu kopiju (backup) arhive enkriptiranih osobnih podataka na USB ključu. Ključ je ukraden tijekom provale Ne. Ne. Dokle god su podaci enkriptirani vrhunskim algoritmom, sigurnosne kopije postoje, jedinstveni ključ nije kompromitiran, i podaci se mogu u razumno vrijeme vratiti, to moguće nije povreda koju treba prijaviti.  Međutim, ako kasnije budu kompromitirani, obavještavanje je potrebno. 

Voditelj obrade ima mrežnu uslugu. Kao rezultat cyber-napada na tu uslugu, osobni podaci pojedinaca su izvučeni.

Voditelj obrade ima klijente u samo jednoj državi članici. 

Da, obavijestite nadzorno tijelo ako postoje vjerojatne posljedice za pojedince. Da, obavijestite pojedince ovisno o prirodi ugroženih osobnih podataka , te ako je težina vjerojatnih posljedica za pojedince visoka. 
Kratak nestanak struje u trajanju od nekoliko minuta u pozivnom centru voditelja obrade, što znači da kupci ne mogu zvati voditelja obrade i pristupiti svojim evidencijama  Ne. Ne.

Ovo nije povreda koju treba prijaviti, ali i dalje jest incident kojeg treba zabilježiti po Članku 33(5).

Odgovarajuće evidencije treba održavati voditelj obrade. 

Voditelj obrade pretrpi napad ucjenjivačkim softverom (ransomware), što dovodi do toga da su svi podaci enkriptirani. Nikakve sigurnosne kopije nisu dostupne i podaci se ne mogu vratiti. Nakon istrage, postaje jasno da je jedina funkcionalnost malicioznog softvera bila enkriptirati podatke, te da nije bilo drugog malwarea u sustavu.  Da, obavijestite nadzorno tijelo, ako postoje vjerojatne posljedice za pojedince jer ovo jest gubitak dostupnosti. Da, obavijestite pojedince, ovisno o prirodi ugroženih osobnih podataka i mogućem učinku manjka dostupnosti podataka, kao i njihovim vjerojatnim posljedicama. Ako su bile dostupne sigurnosne kopije (backup) i podaci se mogu vratiti u skorije vrijeme, to ne bi trebalo prijaviti nadzornom tijelu ili pojedincima jer ne bi bilo trajnog gubitka dostupnosti ili povjerljivosti.  Međutim, ako je nadzorno tijelo saznalo za incident drugim putem, može razmotriti istragu da bi provjerilo sukladnost sa širim zahtjevima za sigurnost iz Članka 32.

Osoba telefonom zove pozivni centar banke  da bi prijavio povredu podataka. Pojedinac je zaprimio mjesečni izvještaj za nekoga drugoga.

Voditelj obrade poduzima kratku istragu (tj. završenu unutar 24 sata) i ustanovljuje s razumnom sigurnošću da se povreda osobnih podataka dogodila i  ima li sistemsku grešku koja može značiti da su i drugi pojedinci bili ili bi mogli biti ugroženi.

Da. Obavještava se samo ugrožene pojedince ako postoji visok rizik i jasno je da drugi nisu bili ugroženi.   Ako, nakon daljnje istrage, bude prepoznato da je ugroženo više pojedinaca, moraju se poslati ažurirane informacije nadzornom tijelu, a voditelj obrade poduzima dodatne korake obavještavanja drugih pojedinaca ako za njih postoji visok rizik.
Voditelj obrade vodi mrežnu trgovinu i ima klijente u više Država članica. Trgovina pretrpi cyber-napad tako da napadač objavi korisnička imena, lozinke i povijest kupnji na mreži.  Da, obavijestite vodeće nadzorno tijelo ako to uključuje prekograničnu obradu. Da, jer bi moglo dovesti do visokog rizika.

Voditelj obrade bi trebao poduzeti radnje, tj. forsirajući ponovno postavljanje lozinki za ugrožene račune, kao i druge mjere za ublažavanje rizika.

Voditelj obrade bi također trebao razmotriti bilo koje druge obveze obavješćivanja, npr. sukladno NIS Direktivi kao pružatelj digitalnih usluga. 

Društvo koje pruža usluge hostinga mrežnih stranica, koje djeluje  kao izvršitelj obrade, identificira grešku u kodu koji kontrolira autorizaciju korisnika. Učinak greške znači da bilo koji korisnik može pristupiti podacima o računu bilo kojeg drugog korisnika. 

Kao izvršitelj obrade, društvo koje pruža usluge hostinga mrežnih stranica mora obavijestiti svoje ugrožene klijente (voditelje obrade) bez nepotrebnog odugovlačenja.

Pretpostavljajući da je društvo za usluge hostinga mrežnih stranica provelo svoju vlastitu istragu, ugroženi voditelji obrade bi razumno trebali imati povjerenja o tome je li svaki od njih pretrpio povredu i stoga je vjerojatno smatrati da je „saznao“ kad ih je obavijestilo društvo koje pruža usluge hostinga (izvršitelj obrade). Voditelj obrade mora tada obavijestiti nadzorno tijelo. 

Ako nije vjerojatno da će nastupiti visok rizik za pojedince, oni ne trebaju biti obaviješteni. 

Društvo koje pruža usluge hostinga (izvršitelj obrade) mora razmotriti bilo koje druge obveze obavješćivanja (npr. sukladno NIS Direktivi kao pružatelj digitalnih usluga).

Ako nema dokaza da je ova ranjivost iskorištena kod bilo kojeg od njegovih voditelja obrade, značajna povreda se moguće nije dogodila, ali je vjerojatno da je treba evidentirati ili da biti predmet nesukladnosti prema Članku 32.

Zdravstvene evidencije u bolnici su nedostupne u trajanju od 30 sati zbog cyber-napada.  Da, bolnica je dužna obavijestiti o tome jer se visok rizik za dobrobit i privatnost pacijenata može dogoditi. Da, obavijestite pogođene pojedince.
Osobni podaci velikog broja studenata su pogreškom poslani na pogrešan popis e-adresa s  1000+ primatelja. Da, obavijestite nadzorno tijelo. Da, obavijestite pojedince, ovisno o broju i vrsti osobnih podataka koji su uključeni, te o težini mogućih posljedica.
E-poruka sadržaja izravnog marketinga je poslana primateljima pod “to:” ili “cc:” poljima, time omogućujući primatelju da vidi adrese e-pošte drugih primatelja.  da, obavještavanje nadzornog tijela može biti obvezno ako je pogođen velik broj pojedinaca, ako su otkriveni osjetljivi podaci, (npr. adresar psihoterapeuta s adresama e-pošte klijenata) ili ako drugi čimbenici predstavljaju visoke rizike (npr. e-pošta sadrži početne lozinke). Da, obavijestite pojedince ovisno o broju i vrsti uključenih osobnih podataka i težini mogućih posljedica. Obavijest ne mora biti nužna ako nisu otkriveni nikakvi osjetljivi podaci i ako je samo manji broj adresa e-pošte otkriven. 
X
Skip to content