Najuobičajeniji način kojim tvrtke, udruge, ustanove, tijela javne vlasti i ostale organizacije dostavljaju svoje pakete, dokumentaciju ili pisma jest angažiranjem dostavnih službi. Nećemo ih nabrajati, ali ima ih na izbor.
 
Kad je u pitanju dostava dokumentacije koja sadrži osobne podatke ili poslovne tajne, zasigurno je dostava putem dostavnih službi dobro rješenje. Štoviše, ovakvo rješenje je puno bolje od slanja običnim mailom ako dokumenti priloženi mailu nisu zaštićeni enkripcijom.
 
No, nije tajna da se ponekad takve pošiljke izgube.
 
Ozbiljan problem nastaje ako se povjerljivi i osjetljivi dokumenti s osobnim podacima, npr. zdravstvenom dokumentacijom zaposlenika, sudskim rješenjem ili isplatnom listom, izgube, nestanu, ili budu isporučeni na krivu adresu i otvoreni od strane neovlaštene osobe.
 
U takvom slučaju imamo povredu osobnih podataka i ozbiljne obveze prema člancima 33. i 34. GDPR-a.
 
GDPR definicija povrede osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
 
Organizacija koja je angažirala dostavnu službu, po saznanju o takvom incidentu kojim se kompromitira osobne podatke, kao voditelj obrade, mora:
 
- izvijestiti nadzorno tijelo (AZOP) u roku 72 sata po saznanju, sa svim detaljima o incidentu iz članka 33. GDPR-a,
 
- obavijestiti osobu čiji su osobni podaci kompromitirani, ako bi gubitak osobnih podataka ili njihovo neovlašteno otkrivanje moglo osobi nanijeti ozbiljnu štetu, kao npr. otkrivanje zdravstvenih podataka, sudskog rješenja iz obiteljske parnice, otkrivanje podataka o bankovnoj kartici ili financijskim problemima, podataka kojima se omogućuje krađa identiteta ili prijevara...
 
- poduzeti sve moguće mjere umanjivanja mogućih štetnih posljedica povrede.
 
 
Da su ovakvi slučajevi vrlo osjetljivi i vrlo kažnjivi, pokazuje slučaj iz Poljske u kojem je tvrtka kažnjenja s čak 250.000 EUR zbog:
 
- bitno zakašnjelog izvješćivanja nadzornog tijela o višestrukim takvim povredama podataka
 
- bitno zakašnjelog obavještavanja kompromitiranih osoba kojima je mogla biti nanesena ozbiljna šteta u razdoblju od 2-3 mjeseca zbog izostanka obavijesti
 
- izostanka poduzimanja mjera za smanjenje šteta za osobe čiji su osobni podaci kompromitirani
 
 
Više o slučaju iz Poljske:
 
https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5130.3114.2020&mtc=today