BI CONSULT - Nismo prijavili povredu podataka AZOP-u jer ne znamo jesu li podaci zaista otkriveni neovlaštenim osobama?

GDPR Croatia

Napisao/la BI CONSULT 28 Studeni 2021

To je pogrešno. Vrlo pogrešno.

Jedna od najstrožih obveza iz GDPR-a dolazi nam u članku 33. stavku 1. koja nalaže slijedeće:

"U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca."

Jesmo li uočili dio rečenice koji glasi "osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca."

To što ne znamo je li do sada netko treći pristupio izgubljenoj kuverti sa zdravstvenim podacima zaposlenika ili su nam ukrali nekritpirani laptop ili nam kroz vikend provalili u poslovne prostore i "samo" razbacali dosjee zaposlenika, nikako ne znači da NIJE VJEROJATNO da će doći do rizika za pojedince.

U takvim slučajevima moramo prijaviti povredu podataka AZOP-u.

Pišemo ovaj post jer pod dojmom službenih brojeva prijavljenih povreda podataka AZOP-u zadnjih godina:

2018. 49 prijavljenih povreda

2019. 73 prijavljene povrede

2020. 107 prijavljenih povreda

Istovremeno u zemljama EU, npr. u Njemačkoj, Nizozemskoj, Danskoj, Irskoj bilježi se godišnje na desetine tisuća prijavljenih povreda podataka.

Očigledno nešto ne štima s razinom informacijske i cyber sigurnosti u tim zemljama, zar ne? Osjećamo li ironiju u ovom pitanju?

A mi u RH smo (zaokružimo točan odgovor):

1) Izvrsni u području informacijske sigurnosti i educiranosti

2) Vidjeli da imamo povredu ali nismo znali da je moramo prijaviti

3) Uočili povredu ali je nismo željeli prijaviti

4) Zapravo ne znamo kako prepoznati da imamo Data Breach.

Upravo ovaj zadnji slučaj smo vidjeli na vlastite oči i najopasniji je za organizacije.

Imamo li procese kojima otkrivamo i interno prijavljujemo svaku sumnju na povredu podataka u organizaciji, jesmo li educirali članove svojih timova na tu temu?

Da takvo (ne)postupanje može biti vrlo skupo pokazuje nam slučaj iz Poljske u kojem je nadzorno tijelo izdalo kaznu u iznosu od čak 80.000 EUR.

https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.16.2021

Nismo prijavili povredu podataka AZOP-u jer ne znamo jesu li podaci zaista otkriveni neovlaštenim osobama?

Kontaktiraj nas

Izbornik

Nismo prijavili povredu podataka AZOP-u jer ne znamo jesu li podaci zaista otkriveni neovlaštenim osobama?

Dok vi gradite svoj poslovni uspjeh

mi brinemo o zaštiti podataka

Kontaktiraj nas

Izbornik