Olajšano obveščanje o kršitvi varnosti osebnih podatkov

Olajšano obveščanje o kršitvi varnosti osebnih podatkov

Avtorica: Sanda Planinc

1. Obveznost poročanja v primeru kršitve varnosti osebnih podatkov

Splošna uredba o varstvu podatkov (»GDPR«) je za organizacije določila vrsto novih obveznosti, med njimi tudi dolžnost obveščanja nadzornega organa (Informacijskega pooblaščenca) o zaznanih kršitvah varnosti osebnih podatkov, če je verjetno, da so bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Obvestilo je potrebno podati brez nepotrebnega odlašanja po zaznani kršitvi oz. najkasneje v 72 urah. Kadar kršitev povzroči veliko tveganje za pravice in svoboščine posameznikov, je potrebno o kršitvi neposredno obvestiti tudi prizadete posameznike, na katere se osebni podatki nanašajo. Ta obveznost ima lahko zelo širok domet, saj z redkimi izjemami danes vsa podjetja obdelujejo osebne podatke in so izpostavljena tveganju kršitve varnosti podatkov.

2. Nove Smernice o kršitvi varnosti osebnih podatkov

Evropski odbor za varstvo osebnih podatkov je 18. januarja 2021 objavil osnutek praktično naravnanih Smernic št. 1/2021 s primeri kršitev varnosti osebnih podatkov (»Smernice«), na katere zainteresirana javnost lahko poda komentarje do 2. marca 2021. Te Smernice nadgrajujejo Smernice o obveščanju o kršitvi varnosti osebnih podatkov prejšnje Delovne skupine iz člena 29, ki so bile izdane leta 2018, in izhajajo iz izkušenj nacionalnih nadzornih organov od začetka veljavnosti GDPR s ciljem, da bi se organizacije pri sprejemanju ukrepov zaradi kršitve varnosti podatkov lažje odločale.

Smernice na praktičnih primerih pojasnjujejo obveznosti glede prijave kršitve nadzornemu organu in obveščanju prizadetih posameznikov. Kršitve so razdeljene na šest večjih skupin:

  1. izsiljevalski virus ali kakršenkoli napad, s katerim škodljiv program zašifrira osebne podatke in napadalec zahteva od upravljavca odkupnino v zameno za dešifriranje,
  2. napad z iznosom osebnih podatkov,
  3. notranja tveganja, povezana z zaposlenimi,
  4. izguba ali kraja naprav ali papirnatih dokumentov,
  5. pošiljanje podatkov napačnemu naslovniku in
  6. socialni inženiring.

Smernice pri vsaki od kršitev opisuje primere dobrih in slabih praks, vključno s priporočili glede predhodnih ukrepov, izvedbe ocene tveganj, predlogi organizacijskih in tehničnih ukrepov za preprečevanje in blaženje učinkov kršitev varnosti podatkov ter pojasnilom, ali je potrebno o kršitvi obvestiti nadzorni organ in/ali prizadete posameznike.

3. Praksa obveščanja v Sloveniji

Zadnji javni podatki Informacijskega pooblaščenca glede števila obvestil o kršitvah podatkov se nanašajo na leto 2019, ko je bilo prejetih 137 samoprijav. Največ obvestil se je nanašalo na: i) posredovanje dokumentov z osebnimi podatki (npr. zdravniških izvidov, računov, dokumentov v upravnih postopkih, debetne kartice) napačnim osebam kot posledica nenamerne človeške napake ali netočnih podatkov v zbirkah osebnih podatkov ter na ii) izgubo dostopa do osebnih podatkov (onemogočanje dostopa do podatkov zaradi šifriranja z zlonamerno programsko kodo, t. i. izsiljevalski virus, izguba ali kraja uporabniškega imena in gesla). Te najbolj pogoste kršitve in z njimi povezane obveznosti so zdaj podrobneje pojasnjene tudi v Smernicah. Priporočamo, da organizacije po sprejemu končne verzije Smernic preverijo in posodobijo interne postopke ukrepanja v primeru kršitve varnosti podatkov ter sledijo Smernicam v primeru zaznanih kršitev varnosti.

Arhiv