GDPR zahtijeva od pravnih subjekata i drugih voditelja obrade da informiraju pojedince u slučaju povrede osobnih podataka kada bi takav incident mogao ozbiljno ugroziti prava i slobode pojedinaca, i to bez odgode.
Primjeri takvih slučajeva mogu biti pri curenju podataka npr. o bankovnim karticama, o seksualnoj orijentaciji, kartonu pacijenta ili biometrijskih podataka ili npr. nedostupnost podataka o pacijentu prije provođenja operativnog zahvata.
Visok rizik za pojedinca postoji kada sigurnosni incident može rezultirati fizičkom, imovinskom ili nematerijalnom štetom. Neki primjeri takve štete su diskriminacija, krađa identiteta ili prijevare, financijski gubitak i gubitak ugleda.
No, budimo objektivni, poslovnim subjektima nije baš u interesu otkriti javnosti da su imali sigurnosni incident i time uzrokovali možda i tešku štetu za pojedinca. Negativan PR je uvijek nepoželjan.
Naravno, u takvim slučajevima povreda se mora uvijek prijaviti i AZOP-u, a AZOP ima pravo prema članku 34. GDPR-a naložiti voditelju obrade da obavijesti pogođene pojedince.
A što ako se voditelj obrade ogluši o nalog AZOP-a?
Srećom, nismo imali takav slučaj u Hrvatskoj, ali se dogodio u Poljskoj.
S 20.000 EUR kažnjena je privatna tvrtka u zdravstvenom sektoru koja je ignorirala obvezu obavještavanja svojih pacijenata da su njihovi osobni podaci kompromitirani i pacijenti nisu imali pojma o tome niti su se mogli pripremiti za moguće posljedice.
Treba uvijek imati na umu da se istina kad-tad sazna.
Uvjereni smo da je oglušivanje na obvezu obavještavanja pogođenih pojedinaca u takvim slučajevima najgora odluka, jer nakon kazne nadzornog tijela nemoguće je izbjeći i interes medija i javnosti, negativni PR-a, rušenje kredibiliteta, reputacije i vjernosti klijenata.
Više o slučaju iz Poljske:
https://gdprhub.eu/index.php?title=UODO_-_DKE.561.11.2020&mtc=today
