Da li ste u sklopu usklađivanja pripremili sebe, svoje zaposlenike i organizaciju za najgori scenarij - kompromitiranje osobnih podataka?
Jesmo li svjesni koliko je važno unaprijed se pripremiti za takve incidentne situacije?
Znamo li u kojim slučajevima moramo prijaviti incidente AZOP-u u roku od samo 72 sata, i koje informacije moramo dati AZOP-u?
Jesmo li sigurni da će naši izvršitelji obrada bez odlaganja izvijestiti nas o sumnji na povredu podataka?
Znamo li procjeniti kada moramo obavijestiti i osobe čiji su podaci kompromitirani?
Ovaj prethodni niz pitanja samo je dio priprema koje svaka organizacija mora osigurati tijekom svog usklađivanja s GDPR obvezama.
Nikako se ne smije zaobići ovaj skup priprema, koje uključuju i testiranje interne spremnosti i procedure otkrivanja, procjene, umanjivanja posljedica i obavješćivanja.
I Europska komisija posvetila je toj temi posebnu stranicu na svojim web stranicama:
Do povrede podataka dolazi kada podaci za koje je odgovorno vaše društvo/organizacija sudjeluje u sigurnosnom incidentu koji rezultira povredom povjerljivosti, dostupnosti ili cjelovitosti.
Dođe li do toga te ako je vjerojatno da povreda predstavlja rizik za prava i slobode pojedinca, o tome vaše društvo/organizacija treba obavijestiti nadzorno tijelo bez nepotrebnog odgađanja i najkasnije unutar 72 sata nakon saznanja o povredi.
Ako je vaše društvo/organizacija izvršitelj obrade, o svakoj povredi podataka mora obavijestiti voditelja obrade.
Ako povreda podataka predstavlja visok rizik za pojedince pogođene povredom, tada i oni svi trebaju biti informirani osim ako se provode učinkovite tehničke i organizacijske mjere zaštite ili druge mjere koje osiguravaju da više nije vjerojatno da će doći do visokog rizika.
Za vas kao za organizaciju ključno je da provodite odgovarajuće tehničke i organizacijske mjere kako biste izbjegli moguće povrede podataka.
- Primjeri -
Organizacija mora obavijestiti TZP i pojedince Otkriveni su podaci o zaposlenicima tekstilnog poduzeća. Podaci su uključivali osobne adrese, sastav obitelji, iznos mjesečne plaće i zdravstveni karton svakog zaposlenika. U tom slučaju tekstilno poduzeće o povredi mora obavijestiti nadzorno tijelo. Budući da osobni podaci obuhvaćaju osjetljive podatke, poput podataka o zdravlju, poduzeće o povredi mora obavijestiti i zaposlenike.
Zaposlenik bolnice odlučuje kopirati pojedinosti o pacijentima na CD te ih objavljuje na internetu. Bolnica je to otkrila nekoliko dana kasnije. Čim bolnica otkrije povredu, ima 72 sata da o povredi obavijesti nadzorno tijelo te, budući da osobne pojedinosti uključuju osjetljive informacije, primjerice ima li pacijent rak, je li pacijentica trudna itd., o povredi mora obavijestiti i pacijente. U tom bi slučaju bilo dvojbeno je li bolnica provodila odgovarajuće tehničke i organizacijske mjere zaštite. Ako je zaista provodila odgovarajuće mjere zaštite (primjer: enkripcija podataka), materijalni rizik se vjerojatno ne bi ostvario te bi mogla biti izuzeta od obveze obavještavanja pacijenata. Društvo može obavijestiti klijente i oni će tada možda morati obavijestiti TZP i pojedince Servis u oblaku izgubi nekoliko tvrdih diskova koji sadržavaju osobne podatke nekoliko klijenata.
Te klijente mora obavijestiti o povredi čim postane svjestan da je do nje došlo. Njegovi klijenti moraju obavijestiti TZP i pojedince koji ovise o podacima koje je izvršitelj obrade obrađivao.
