Razumevanje kršitve in prva ocena tveganj
Ob zaznani kršitvi je ključno oceniti verjetnost in resnost posledic za posameznike. Verjetnost pomeni možnost nastanka škode, resnost pa obseg posledic za osebo. Splošna uredba opozarja, da lahko nepravilno obvladana kršitev posamezniku povzroči fizično, premoženjsko ali čustveno škodo. Ta škoda lahko vključuje izgubo nadzora nad podatki, krajo identitete, diskriminacijo ali finančno izgubo.
Organizacije morajo zato hitro oceniti tveganje in določiti, ali incident zahteva uradno obveščanje. Pomembno je tudi, da vsak incident dokumentirajo. S tem lahko pozneje utemeljijo svojo odločitev, če obveščanje ni bilo potrebno. Dokumentiranje je ključni del dobrega sistema upravljanja.
Prav tako je nujno, da imajo organizacije vzpostavljen dokumentiran sistem za zaznavanje in sporočanje incidentov. Ta sistem omogoča hitrejše ukrepanje in zmanjšuje tveganje dodatnih posledic. Dober odzivni načrt je temelj skladnosti s predpisi in učinkovite zaščite posameznikov.
Obveščanje pristojnega organa in vloga obdelovalcev
Ko organizacija oceni, da je kršitev varstva osebnih podatkov verjetno nevarna za pravice posameznikov, mora incident prijaviti Informacijskemu pooblaščencu. Obvestilo mora biti poslano brez odlašanja, najkasneje v 72 urah po zaznani kršitvi. Če v tem času ni mogoče zbrati vseh potrebnih informacij, jih je dovoljeno posredovati postopoma. Pomembno pa je pravočasno podati prvo obvestilo.
Obvestilo mora vsebovati opis narave incidenta, obseg prizadetih oseb, kontaktne podatke pooblaščene osebe ter verjetne posledice kršitve. Vključevati mora tudi ukrepe, sprejete za zmanjšanje ali preprečitev škode. S tem nadzorni organ prejme jasen pregled na situacijo in morebitnimi tveganji.
Če organizacija sodeluje z obdelovalcem, mora ta upravljavca obvestiti o incidentu takoj po zaznani kršitvi. Pogodba o obdelavi mora jasno določati te obveznosti. Obdelovalec mora upravljavcu omogočiti hitro oceno tveganj in pripravo uradnega obvestila. Primer takšnega incidenta je vdor v sistem ponudnika informacijske podpore, kjer pride do dostopa do podatkov strank.
Organizacije, ki delujejo v več državah, morajo upoštevati tudi pravila o vodilnem nadzornem organu. Če incident vpliva na čezmejno obdelavo, je treba obvestiti organ, pristojen glede na sedež upravljavca. Če dvoma ni mogoče razrešiti, je priporočljivo obvestiti lokalni organ, kjer je kršitev odkrita.
Nadzorni organi pričakujejo jasno evidenco o tem, kdaj je bila kršitev varstva osebnih podatkov zaznana in kako je bila ocenjena. Zato je pomembno, da organizacije vzpostavijo interni sistem za evidentiranje vseh incidentov, ne glede na njihovo resnost.
Obveščanje posameznikov in priporočila za pravilno ravnanje
V nekaterih primerih mora organizacija poleg nadzornega organa obvestiti tudi posameznike. To je potrebno, kadar kršitev varstva osebnih podatkov povzroči veliko tveganje za njihove pravice in svoboščine. Takšna obvestila morajo biti jasna, razumljiva in brez tehničnih izrazov. Njihov namen je zagotoviti, da lahko posameznik sprejme zaščitne ukrepe.
Obvestilo mora vključevati opis kršitve, možne posledice in ukrepe, ki so bili sprejeti. Poleg tega mora posameznik dobiti priporočila, kako se lahko zaščiti. Vključeni morajo biti tudi kontaktni podatki za dodatna vprašanja. Obstajajo izjeme, pri katerih obveščanje posameznikov ni potrebno. To velja, kadar so bili podatki ustrezno šifrirani ali kadar so bili sprejeti ukrepi, ki preprečujejo nevarnost. Če bi obveščanje zahtevalo nesorazmeren napor, mora organizacija informacije objaviti na spletni strani ali v javnem obvestilu.
Za učinkovit odziv morajo organizacije razviti notranje postopke, ki omogočajo hitro odkrivanje incidentov. Ti postopki morajo vključevati oceno tveganj, odločanje o obveščanju in izvajanje zaščitnih ukrepov. Le tako lahko zmanjšajo škodo in izpolnijo obveznosti po Splošni uredbi.
Zato je pomembno, da imajo organizacije vzpostavljen odzivni načrt, ki opredeljuje korake ob incidentu. V njem morajo biti vključene odgovorne osebe, načini poročanja in postopki za odpravo posledic. Dobro pripravljen načrt zagotavlja, da je kršitev varstva osebnih podatkov obravnavana hitro in učinkovito.
FAQ
- Kaj pomeni kršitev varstva osebnih podatkov?
Kršitev varstva osebnih podatkov pomeni incident, ki ogroža zaupnost, celovitost ali dostopnost osebnih podatkov. To lahko vključuje izgubo podatkov, nepooblaščen dostop, razkritje ali uničenje podatkov.
- Kdaj moram obvestiti Informacijskega pooblaščenca?
Obvestiti ga morate, kadar je verjetno, da kršitev pomeni tveganje za pravice posameznikov. Obvestilo morate poslati brez odlašanja, najkasneje v 72 urah po zaznani kršitvi.
- Ali moram o kršitvi obvestiti tudi posameznike?
Da, kadar kršitev pomeni veliko tveganje za njihove pravice. Obvestilo mora biti jasno, razumljivo in poslano brez odlašanja, da lahko posamezniki pravočasno ukrepajo.
Več o samem varstvu osebnih podatkov si lahko preberete tudi na naši spletni strani: https://infocenter.si/varstvo-osebnih-podatkov/
