Primjer:

Kadrovska služba u javnoj ustanovi poslala je email o nadolazećoj edukaciji svim prijavljenim kandidatima za radno mjesto.

No, pogreškom su u mailu priložili dokument s osobnim podacima velikog broja kandidata za radno mjesto, uključujući ime, prezime, email adrese, adrese stanovanja i osobne identifikacijske brojeve.

Služba je shvatila propust i odmah kontaktirala sve osobe iz popisa sa zahtjevom da izbrišu email i dokument i da ne koriste taj popis.

No je li kadrovska služba svjesna obveza po GDPR-u?

KORAK 1.

Organizacija mora po prvom saznanju shvatiti da ima potencijalnu ili stvarnu povredu osobnih podataka, koliko god je to teško priznati. To je prvi i najteži korak.

KORAK 2.

Moramo li obavijestiti AZOP o toj povredi ili i osobe čiji su podaci otkriveni?

Konkretno se radi o povredi povjerljivosti osobnih podataka i očiglednom riziku da netko zlorabi otkrivene osobne podatke.

Da, rizik za pogođene osobe itekako postoji.

KORAK 3.

U roku od najviše 72 sata mora se izvijestiti AZOP u skladu s uputama na stranicama:

https://azop.hr/izvjescivanje-o-povredi-osobnih-podataka/

KORAK 4.

S obzirom da smo utvrdili da otkriveni osobni podaci jesu takve prirode da bi se pogođene osobe mogle suočiti s visokim rizikom za njhova prava i slobode, organizacija ima GDPR obvezu izravnog obavještavanja pogođenih pojedinaca o povredi.

Takvo izravno obavještavanje ima svrhu da upozori sve pogođene pojedince da se pripreme na moguće zlouporabe svojih osobnih podataka.

To, što smo poslali svima email da izbrišu dokument i tuše osobne podatke nije nikakvo jamstvo da će tako i biti učinjeno.

Posebno je važno uočiti da pojedini kandidati za radno mjesto ne žele da im njihov sadašnji poslodavac zna da kandidiraju negdj drugdje. Što će se dogoditi ako im sadašnji poslodavac sazna?

Izvor: EDBP javna rasprava o Smjernicama u vezi obavještavanja o povredama podataka

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en