Nove Smjernice 01/2021 o načinu izvješćivanja u slučajevima povrede osobnih podataka Europskog odbora za zaštitu podataka („EDPB“) usvojene su 14. prosinca 2021. g., te su objavljene 3. siječnja 2022. g.
Novoobjavljene smjernice dopuna su prvotne verzije istih smjernica o načinu izvješćivanja u slučajevima povreda osobnih podataka iz 2017. g. (revidiranih 2018. g). Obzirom da prvotna verzija smjernica nije dovoljno detaljno obradila sva praktična pitanja, ukazala se potreba za smjernicama orijentiranima na praktičnim slučajevima, koje koriste iskustva stečena otkako je GDPR na snazi.
Opća uredba o zaštiti podataka (dalje: GDPR) u određenim slučajevima zahtijeva da se o povredi osobnih podataka obavijesti nadležno nacionalno nadzorno tijelo i pojedinci čiji su osobni podaci povrijeđeni (članci 33. i 34. GDPR).
U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.
GDPR definira „povredu osobnih podataka” kao povrede sigurnosti koje dovode do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani (članak 4(12) GDPR-a).
Povrede se mogu razvrstati u kategorije na temelju sljedećih triju dobro poznatih načela informacijske sigurnosti:
- „povreda povjerljivosti” – u slučaju neovlaštenog ili slučajnog otkrivanja osobnih podataka ili pristupa tim podacima
- „povreda cjelovitosti” – u slučaju neovlaštene ili slučajne izmjene osobnih podataka
- „povreda dostupnosti” – u slučaju slučajnog ili neovlaštenog gubitka pristupa osobnim
- podacima ili uništenja tih podataka.
Treba napomenuti i da se, ovisno o okolnostima, povreda može istodobno odnositi na povjerljivost, cjelovitost i dostupnost osobnih podataka te na bilo koju kombinaciju tih elemenata.
Dok je utvrđivanje povrede povjerljivosti ili cjelovitosti relativno jasno, povreda dostupnosti može biti manje očita. Povreda će se uvijek smatrati povredom dostupnosti ako je došlo do trajnog gubitka ili uništenja osobnih podataka.
Povreda potencijalno može imati niz značajnih štetnih učinaka na pojedince, što može rezultirati fizičkom, materijalnom ili nematerijalnom štetom. GDPR objašnjava da to može uključivati gubitak kontrole pojedinaca nad osobnim podacima, ograničenje njihovih prava, diskriminaciju, krađu identiteta ili prijevaru, financijski gubitak, neovlašteno ukidanje pseudonimizacije, narušavanje ugleda i gubitak povjerljivosti osobnih podataka koji su zaštićeni poslovnom tajnom. Također može uključivati bilo koje druge značajne ekonomske ili društvene probleme za te pojedince. Jedna od najvažnijih obveza voditelja obrade podataka je evaluacija rizika za prava i slobode ispitanika i za provedbu odgovarajućih tehničkih i organizacijskih mjera za njihovo rješavanje.
Sukladno tome, GDPR zahtijeva od voditelja obrade da:
- dokumentira svaku povredu osobnih podataka, uključujući činjenice koje se odnose na povredu osobnih podataka, njihove učinke i poduzete korektivne mjere
- obavijestiti nadzorno tijelo o povredi osobnih podataka, osim ako je malo vjerojatno da će doći do povrede podataka u riziku za prava i slobode fizičkih osoba
- obavijestiti o povredi osobnih podataka ispitanika kada je vjerojatno da će povreda osobnih podataka rezultirati visokim rizikom za prava i slobode fizičkih osoba
Povrede osobnih podataka su problemi sami po sebi, ali mogu biti i simptomi ranjivog, možda zastarjelog režima sigurnosti podataka te također mogu ukazivati na slabosti sustava koje treba riješiti. Načelno, uvijek je bolje spriječiti povredu podataka i unaprijed se pripremiti, budući da mogu nastati posljedice koje nije moguće ispraviti. Prije nego što voditelj obrade može u potpunosti procijeniti rizik koji proizlazi iz povrede uzrokovane nekim oblikom napada, potrebno je utvrditi korijenski uzrok problema kako bi se utvrdilo postoje li ranjivosti koje su dovele do incidenta i jesu li one još uvijek prisutne i mogu li se ponovo iskoristiti. U mnogim slučajevima voditelj obrade je u mogućnosti ranije identificirati da će neki incident vjerojatno rezultirati rizikom. Obavijest se ne mora odgađati dok se ne pojavi konkretan rizik, budući da se potpuna procjena rizika može odvijati paralelno s obavijesti, i tako dobivene informacije mogu se dostaviti nadzornom tijelu bez nepotrebnog daljnjeg odgađanja.
O povredi treba obavijestiti kada voditelj obrade smatra da bi to moglo dovesti do rizika za prava i slobode ispitanika. Voditelji obrade bi trebali napraviti ovu procjenu u trenutku kada postanu svjesni povrede. Voditelj obrade ne bi trebao čekati na detaljan forenzički pregled i korake za ublažavanje prije nego se procijeni hoće li povreda podataka rezultirati rizikom.
Ako voditelj obrade sam procijeni da je rizik malo vjerojatan, ali se kasnije pokaže da je došlo do povrede, nadležno tijelo može koristiti svoje korektivne ovlasti i može se odlučiti na sankcije. Svaki voditelj obrade i izvršitelj trebaju imati planove i postupke za rukovanje eventualnim povredama podataka. Organizacije bi trebale imati jasne linije izvješćivanja i osobe odgovorne za određene aspekte oporavka od povrede.
Obuka i svijest o pitanjima zaštite podataka za osoblje voditelja obrade i izvršitelja s naglaskom na upravljanje povredama osobnih podataka (prepoznavanje incidenta, povrede osobnih podataka i daljnje radnje za poduzeti, itd.) također su bitni za voditelje obrade i izvršitelje. Potrebno je redovito educiranje, ovisno o vrsti aktivnosti obrade i obujmu obrade, s posebnim naglaskom na aktualnosti vezano uz kibernetičke napade ili druge sigurnosne incidente. Načelo odgovornosti i koncept zaštite podataka dizajnom mogli bi uključiti analizu koja se unosi u vlastiti priručnik o postupanju s povreda osobnih podataka voditelja obrade podataka i izvršitelja podataka koji ima za cilj utvrditi činjenice za svaki aspekt obrade u svakoj glavnoj fazi operacije. Unaprijed pripremljeni priručnik bi pružio mnogo brži izvor informacija za omogućavanje voditelju obrade i izvršitelju obrade podataka kako bi umanjili rizike i ispunili obveze bez nepotrebnog odgađanja. Osiguralo bi se da ljudi u organizaciji znaju što im je činiti ako dođe do povrede osobnih podataka učiniti, a incident bi se vjerojatno riješio brže nego kad nema plana.
Iako su slučajevi prikazani u smjernicama izmišljeni, temelje se na tipičnim slučajevima iz iskustva nadzornih tijela s obavijestima o povredi podataka. Ponuđene analize se eksplicitno odnose na slučajeve koji se ispituju, ali s ciljem pružanja pomoći voditeljima obrade podataka u procjeni vlastitih povreda podataka. Bilo koji izmjena okolnosti opisanih u smjernicama može rezultirati drugačijim ili značajnijim razinama rizika, što zahtijeva različite ili dodatne mjere. Ove smjernice strukturiraju slučajeve prema određenim kategorija povreda osobnih podaka (npr. ransomware napadi). Potrebne su određene ublažavajuće mjere kada se radi o određenoj kategoriji kršenja. Interna dokumentacija povrede je obveza neovisno o rizicima koji se odnose na povredu, i mora se napraviti u svakom slučaju.
Smjernice možete pronaći ovdje:
Možete se prijaviti na našu specijalističku edukaciju na kojoj možete saznati više!
