When do you need to notify a data breach?
Ali so bili osebni podatki, ki jih obdelujete, izgubljeni, ukradeni ali ogroženi?
Is the processing likely to result in high risks?
Do I need to carry out a DPIA?
Yes, you need to carry out the DPIA
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Kršitve varstva podatkov lahko škodljivo vplivajo na vašo organizacijo. Vpliv kršitev podatkov je lahko ogromen - od finančne izgube, glob, do zmanjšanja zaupanja strank. Za preprečevanje varnostnih incidentov je zato bistvenega pomena izvajanje dobrih praks in postopkov na področju kibernetske varnosti. Kljub temu lahko še vedno pride do kršitve varnosti podatkov, o kateri boste morda morali obvestiti svoj organ za varstvo podatkov (DPA) ali o tem obvestiti prizadete posameznike.
Kaj je „kršitev varnosti osebnih podatkov“
Kršitev varnosti osebnih podatkov pomeni „kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov“.
Organizacije bi se morale zavedati, da kršitev varnosti osebnih podatkov lahko zajema veliko več kot le „izgubo“ osebnih podatkov. Vključuje incidente, ki vplivajo na zaupnost, celovitost ali razpoložljivost osebnih podatkov. Pomembno je, da kršitve varnosti podatkov vključujejo varnostne incidente, ki so posledica tako nesreč (kot so pošiljanje e-pošte napačnemu prejemniku, izguba USB ključa, ki vsebuje podatke o strankah ali nenamerno brisanje zdravstvenih podatkov, za katere ni na voljo varnostne kopije), kot tudi namernih dejanj (kot so napadi z lažnim predstavljanjem za pridobitev dostopa do podatkov o strankah).
Z drugimi besedami, to vključuje primere, ko nekdo dostopa do osebnih podatkov ali jih posreduje brez ustreznega dovoljenja ali kadar osebni podatki postanejo nedostopni zaradi šifriranja z izsiljevalsko programsko opremo ali naključne izgube ali uničenja. Čeprav so vse kršitve varnosti osebnih podatkov varnostni incidenti, niso vsi varnostni incidenti nujno kršitve varnosti osebnih podatkov (ker v določenem varnostnem incidentu morda ni vključenih nobenih osebnih podatkov).
Preberite več
Obveznosti upravljavcev
Če vaše majhno oz. srednje veliko podjetje (v nadaljevanju MSP) deluje kot upravljavec, obstajajo tri glavna načela v zvezi s kršitvami varstva podatkov.
-
dokumentiranje morebitnih kršitev varstva osebnih podatkov,
-
uradno obvestilo o vsaki kršitvi varnosti osebnih podatkov zadevnemu organu za varstvo podatkov v 72 urah, razen če ni verjetno, da bi povzročila tveganje za posameznike in
-
obveščanje posameznikov o tej kršitvi brez nepotrebnega odlašanja, kadar je verjetno, da bo kršitev povzročila veliko tveganje za posameznike.
Izjemno pomembno je, da upravljavci razumejo in izpolnjujejo te obveznosti ter vnaprej izvedejo ustrezne postopke, ki jim bodo omogočili, da pravočasno objektivno ugotovijo, ali je potrebno katero od zgoraj navedenih obveščanj.
V vsakem primeru mora upravljavec za vse kršitve – tudi tiste, ki niso bile priglašene organu za varstvo podatkov, ker so bile ocenjene kot malo verjetne, da bi lahko povzročile tveganje – evidentirati vsaj osnovne podatke o kršitvi, njeni oceni, učinkih in ukrepih, sprejetih v odziv, kot zahteva peti odstavek 33. člena Splošne uredbe o varstvu podatkov.
Kaj storiti in kako ukrepati?
Obvestilo o kršitvi varnosti podatkov pristojnemu organu za varstvo podatkov
V skladu s prvim odstavkom 33. člena Splošne uredbe o varstvu podatkov bi bilo treba o vseh kršitvah varnosti podatkov obvestiti pristojni organ za varstvo podatkov, razen tistih, ki verjetno ne predstavljajo tveganja za posameznike. Za lažje obveščanje so organi za varstvo podatkov pripravili postopke ali spletne obrazce, ki vas bodo vodili korak za korakom, da boste zagotovili vse zahtevane informacije.
Če do kršitve pride v okviru čezmejne obdelave in je potrebno uradno obvestilo, bo moral upravljavec, če ima sedež v EGP, o tem obvestiti vodilni organ za varstvo podatkov. Zato bi moral upravljavec pri pripravi načrta za odzivanje na kršitve že oceniti, kateri organ za varstvo podatkov je vodilni organ za varstvo podatkov, ki ga bo moral obvestiti. Če upravljavec dvomi, kateri je vodilni organ za varstvo podatkov, bi moral o tem vsaj obvestiti lokalni organ za varstvo podatkov, kjer je prišlo do kršitve.
Kadar se zahteva uradno obvestilo, je treba to storiti čim prej in v 72 urah po seznanitvi s kršitvijo. Če to ni mogoče, je potrebno zamudo utemeljiti. Za organizacijo bi bilo treba šteti, da se je „seznanila“ s kršitvijo, če obstaja razumna stopnja gotovosti, da se je zgodil varnostni incident in da so bili osebni podatki ogroženi.
Da bi lahko zadevnemu organu za varstvo podatkov dokazali, kdaj in kako so se seznanili s kršitvijo varnosti osebnih podatkov, je priporočljivo, da imajo vse organizacije v okviru svojih notranjih postopkov v zvezi s kršitvami varnosti osebnih podatkov vzpostavljen sistem za evidentiranje, kako in kdaj se seznanijo s kršitvami varnosti osebnih podatkov ter kako so ocenile morebitno tveganje, ki ga predstavlja kršitev.
Kadar organu za varstvo podatkov ni mogoče zagotoviti vseh ustreznih informacij v 72-urnem roku, je treba uradno obvestilo poslati v več korakih. Vložiti je treba prvo uradno obvestilo, nadaljnje informacije pa se lahko predložijo postopoma.
Podobno, v skladu z drugim odstavkom 33. člena Splošne uredbe o varstvu podatkov, morate upravljavca brez nepotrebnega odlašanja obvestiti o kakršni koli kršitvi varnosti osebnih podatkov, če je vaše MSP obdelovalec podatkov, ki obdeluje osebne podatke v imenu druge organizacije. To je ključnega pomena, da se upravljavcu omogoči, da pravočasno izpolni svoje obveznosti obveščanja. Zahteve glede poročanja o kršitvah bi morale biti podrobno opredeljene tudi v pogodbi med upravljavcem in obdelovalcem kot se zahteva skladno z 28. členom Splošne uredbe o varstvu podatkov.
Obvestilo zadevnemu organu za varstvo podatkov o kršitvi varnosti osebnih podatkov mora vsebovati vsaj:
- opis narave kršitve varnosti osebnih podatkov, po možnosti vključno s kategorijami in približnim številom zadevnih posameznikov ter kategorijami in približnim številom zadevnih evidenc osebnih podatkov;
- ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, kjer je mogoče pridobiti več informacij;
- opis verjetnih posledic kršitve varnosti osebnih podatkov in
- opis ukrepov, ki jih je MSP sprejelo ali predlagalo za obravnavanje kršitve varnosti osebnih podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve, kadar je to primerno.
Obveščanje prizadetih posameznikov o tej kršitvi
Poleg tega je treba o nekaterih kršitvah varstva podatkov brez nepotrebnega odlašanja obvestiti prizadete posameznike. To velja, kadar je verjetno, da bo kršitev varstva osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznika.
Namen te zahteve je zagotoviti, da lahko prizadeti posamezniki sprejmejo potrebne previdnostne ukrepe v primeru incidentov, ki bi lahko povzročili veliko tveganje zanje.
Takšna obvestila posameznikov je treba poslati nemudoma in po potrebi v tesnem sodelovanju s pristojnim organom za varstvo podatkov. V primerih, ko je treba zmanjšati neposredno tveganje za posameznike, bo potrebna hitra komunikacija.
Obstajajo okoliščine, v katerih upravljavcem ne bo treba obvestiti posameznikov, kot so:
- upravljavec je šifriral podatke, šifrirni ključi pa niso bili ogroženi;
- upravljavec je sprejel nadaljnje ukrepe, ki zagotavljajo, da se veliko tveganje za pravice in svoboščine posameznikov ne bo več uresničilo;
ali
- bi to vključevalo nesorazmeren napor. V takem primeru mora upravljavec z javno objavo ali podobnim ukrepom še vedno zagotoviti, da so posamezniki enako učinkovito obveščeni.
V tem sporočilu posameznikom bi bilo treba v jasnem in preprostem jeziku opisati naravo kršitve varnosti osebnih podatkov ter vključiti vsaj naslednje informacije:
- ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, kjer je mogoče pridobiti več informacij;
- opis verjetnih posledic kršitve varnosti osebnih podatkov in
- opis ukrepov, ki jih je organizacija sprejela ali jih namerava sprejeti za obravnavanje kršitve varnosti osebnih podatkov, vključno z ukrepi za ublažitev morebitnih škodljivih učinkov kršitve, kadar je to primerno.
- V sporočilu bi morala biti opisana tudi priporočila za zadevne posameznike za ublažitev morebitnih škodljivih učinkov kršitve
Upravljavce in obdelovalce se spodbuja, da vnaprej načrtujejo in vzpostavijo postopke, s katerimi bodo lahko odkrili in takoj preprečili kršitev, ocenili tveganje za posameznike in nato ugotovili, ali je treba o tem obvestiti pristojni organ za varstvo podatkov in po potrebi o kršitvi obvestiti zadevne posameznike.
Kdaj morate obvestiti o kršitvi varstva podatkov?
