When do you need to notify a data breach?

Jesu li osobni podaci koje obrađujete izgubljeni, ukradeni ili kompromitirani?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Trebam li provesti procjenu učinka na zaštitu podataka?

Da, morate provesti procjenu učinka na zaštitu podataka

Jesu li nakon procjene učinka na zaštitu podataka i dalje prisutni visoki rizici?

Trebam li provesti procjenu učinka na zaštitu podataka?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Povrede podataka mogu imati štetan učinak na vašu organizaciju. Od financijskog gubitka do novčanih kazni do smanjenja povjerenja kupaca, učinak povreda podataka može biti golem. Zbog toga je ključno provesti primjere dobre prakse i postupke u području kibersigurnosti kako bi se spriječili sigurnosni incidenti. Unatoč tome, možda ćete i dalje pretrpjeti povredu podataka o kojoj ćete možda morati obavijestiti svoje nadležno tijelo za zaštitu podataka (DPA) ili obavijestiti pogođene pojedince.

Što je „povreda osobnih podataka”

Povreda osobnih podataka znači „povreda sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima”.

Organizacije bi trebale biti svjesne da povreda osobnih podataka može obuhvaćati mnogo više od „gubitka” osobnih podataka. Uključuje incidente koji utječu na povjerljivost, cjelovitost ili dostupnost osobnih podataka. Važno je napomenuti da povrede osobnih podataka uključuju sigurnosne incidente koji su posljedica situacija kao što je slanje e-pošte pogrešnom primatelju, gubitak USB stika  koji sadrži podatke o klijentima ili slučajno brisanje medicinskih podataka za koje nije dostupna sigurnosna kopija, kao i namjerni postupci (kao što su phishing napadi radi dobivanja pristupa podacima o klijentima).

Drugim riječima, to uključuje situacije kao što su situacije u kojima netko pristupa osobnim podacima ili ih prenosi bez odgovarajućeg odobrenja, ili u kojima su osobni podaci nedostupni šifriranjem ransomwareom ili slučajnim gubitkom ili uništenjem. Iako su sve povrede osobnih podataka sigurnosni incidenti, nisu svi sigurnosni incidenti nužno povrede osobnih podataka (jer možda ne postoje osobni podaci uključeni u određeni sigurnosni incident).

Obveze voditelja obrade podataka

Ako vaše poduzeće djeluje kao voditelj obrade podataka, postoje tri glavna načela u vezi s povredama podataka.

  1. dokumentacija o povredama osobnih podataka
  2. obavješćivanje nadležnog tijela za zaštitu podataka o svakoj povredi osobnih podataka u roku od 72 sata, osim ako nije vjerojatno da će to dovesti do rizika za pojedince; i
  3. obavješćivanje pojedinaca o toj povredi bez nepotrebnog odgađanja, ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince.

Iznimno je važno da voditelji obrade podataka razumiju i poštuju te obveze te da unaprijed provedu odgovarajuće postupke koji će im omogućiti da pravodobno objektivno utvrde je li potrebna bilo koja od prethodno navedenih obavijesti.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena tijelu za zaštitu podataka, na temelju procjene da nije vjerojatno da će dovesti do rizika – voditelj obrade podataka mora zabilježiti barem osnovne pojedinosti o povredi, njezinu procjenu, njezine učinke i mjere poduzete kao odgovor, u skladu s člankom 33. stavkom 5. Opće uredbe o zaštiti podataka.

Što učiniti i kako poduzeti mjere?

 

Obavijest mjerodavnom tijelu za zaštitu podataka o kršenju podataka

U skladu s člankom 33. stavkom 1. Opće uredbe o zaštiti podataka o svim povredama podataka trebalo bi obavijestiti relevantno tijelo za zaštitu podataka, osim onih za koje nije vjerojatno da predstavljaju rizik za pojedince. Kako bi se olakšala ta obavijest, tijela za zaštitu podataka uvela su postupke ili internetske obrasce koji će vas voditi korak po korak kako biste osigurali da dostavite sve potrebne informacije.

Ako se povreda dogodi u kontekstu prekogranične obrade i obavješćivanja, voditelj obrade podataka, ako ima poslovni nastan u EGP-u, morat će o tome obavijestiti vodeće tijelo za zaštitu podataka. Stoga bi voditelj obrade podataka pri izradi svojeg plana odgovora na povrede već trebao procijeniti koje je tijelo za zaštitu podataka vodeće tijelo za zaštitu podataka koje će morati prijaviti. Ako voditelj obrade ima bilo kakvu sumnju u identitet vodećeg tijela za zaštitu podataka, trebao bi barem obavijestiti lokalno tijelo za zaštitu podataka o tome gdje je došlo do povrede.

Ako je obavijest potrebna, to se mora učiniti što je prije moguće, a u roku od 72 sata nakon što je obaviješteno o povredi. U slučaju da to nije moguće, potrebno je obrazložiti kašnjenje. Trebalo bi smatrati da je organizacija postala „svjesna” ako postoji razuman stupanj sigurnosti da je došlo do sigurnosnog incidenta i da su ugroženi osobni podaci.

Kako bi se relevantnom tijelu za zaštitu podataka moglo dokazati kada i kako su saznale za povredu osobnih podataka, preporučuje se da sve organizacije, u okviru svojih internih postupaka o povredama osobnih podataka, uspostave sustav za bilježenje kako i kada su saznale za povrede osobnih podataka te kako su procijenile potencijalni rizik koji predstavlja povreda.

Ako nije moguće dostaviti sve relevantne informacije tijelu za zaštitu podataka u roku od 72 sata, obavijest bi se trebala dostaviti u nekoliko koraka. Trebalo bi podnijeti početnu obavijest, a dodatne informacije mogu se pružati u fazama.

Slično tome, u skladu s člankom 33. stavkom 2. Opće uredbe o zaštiti podataka, ako je vaše poduzeće izvršitelj obrade podataka koji obrađuje osobne podatke u ime druge organizacije, morate bez nepotrebnog odgađanja obavijestiti voditelja obrade podataka o svakoj povredi osobnih podataka. To je od ključne važnosti kako bi se voditelju obrade podataka omogućilo da pravodobno ispuni svoje obveze obavješćivanja. Zahtjevi u pogledu prijavljivanja povreda trebali bi biti detaljno opisani i u ugovoru između voditelja obrade podataka i izvršitelja obrade, kako je propisano člankom 28. Opće uredbe o zaštiti podataka.

Obavješćivanje nadležnog tijela za zaštitu podataka o povredi osobnih podataka mora barem:

  • opisati prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih pojedinaca te kategorije i približan broj predmetnih evidencija osobnih podataka;
  • navesti ime i podatke za kontakt službenika za zaštitu podataka ili druge kontaktne točke na kojoj se može dobiti više informacija;
  • opisati vjerojatne posljedice povrede osobnih podataka; i
  • opišite mjere koje je MSP poduzeo ili predložio za rješavanje problema povrede osobnih podataka, uključujući, prema potrebi, mjere za ublažavanje njezinih mogućih štetnih učinaka.

Obavješćivanje pogođenih pojedinaca o toj povredi

Osim toga, pojedinci na koje se to odnosi moraju se bez nepotrebnog odgađanja obavijestiti o nekim povredama podataka. To je slučaj kada je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinca.

Svrha je tog zahtjeva osigurati da pogođeni pojedinci mogu poduzeti potrebne mjere opreza ako su se dogodili incidenti koji bi mogli dovesti do visokog rizika za njih.

Takve obavijesti pojedincima moraju se dostaviti bez odgode i, prema potrebi, u bliskoj suradnji s relevantnim tijelom za zaštitu podataka. U slučajevima kada postoji potreba za ublažavanjem neposrednog rizika za pojedince, bit će potrebna brza komunikacija.

Postoje okolnosti u kojima voditelji obrade neće biti obvezni obavijestiti pojedince, kao što su:

  • voditelj obrade podataka šifrirao je podatke, a ključevi za šifriranje nisu bili ugroženi;
  • voditelj obrade podataka poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će se visoki rizik za prava i slobode pojedinaca ostvariti;

ili

  • to bi uključivalo nerazmjeran napor. Međutim, u takvom slučaju voditelj obrade i dalje mora putem javnog priopćavanja ili slične mjere osigurati da su pojedinci informirani na jednako učinkovit način.

Ta obavijest pojedincu trebala bi jasnim i jednostavnim jezikom opisati prirodu povrede osobnih podataka i sadržavati barem sljedeće informacije:

  • ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke na kojoj se može dobiti više informacija;
  • opis vjerojatnih posljedica povrede osobnih podataka; i
  • opis mjera koje je organizacija poduzela ili predložila da ih poduzme kako bi riješila povredu osobnih podataka, uključujući, prema potrebi, mjere za ublažavanje njezinih mogućih štetnih učinaka.
  • U komunikaciji bi se trebale opisati i preporuke za pojedince na koje se to odnosi kako bi se ublažili mogući štetni učinci kršenja.
     

Voditelje obrade i izvršitelje obrade potiče se da unaprijed planiraju i uspostave postupke za otkrivanje i brzo ograničavanje povrede, procjenu rizika za pojedince, a zatim da utvrde je li potrebno obavijestiti nadležno tijelo za zaštitu podataka i, prema potrebi, obavijestiti dotične pojedince o povredi.

Kada trebate obavijestiti o povredi podataka?

Kada trebate obavijestiti o povredi podataka?