IZVJEŠTAVANJE AGENCIJE I OBAVJEŠTAVANJE NOSIOCA PODATAKA O POVREDI LIČNOG PODATKA

Pošalji dokument na e-mail

E-mail pošiljaoca (*):
E-mail primaoca (*):
Komentar:

IZVJEŠTAVANJE AGENCIJE I OBAVJEŠTAVANJE NOSIOCA PODATAKA O POVREDI LIČNOG PODATKA 

(Članovi 35 - 36 ili 86 - 87)


❄ Kontrolor podataka je dužan o povredi ličnih podataka izvijestiti Agenciju ako je vjerovatno da će povreda ličnih podataka biti rizik za prava i slobode nosioca podataka, bez odgađanja, a najkasnije u roku od 72 sata od saznanja za povredu. Navedeno izvještavanje  treba sadržavati: opis povrede, uz informacije o broju nosilaca podataka i ličnim podacima, ime i prezime službenika za zaštitu ličnih podataka, opis mogućih posljedica povrede, opis mjera koje su preduzete ili predložene za ublažavanje povrede.

❄ Kontrolor podataka je dužan obavijestiti nosioce podataka o povredi ličnih podataka koristeći se jasnim i jednostavnim jezikom, ako je vjerovatno da će povreda uzrokovati visok rizik za njihova prava i slobode.

❄ Izuzetno, kontrolor podataka, nije dužan obavijestiti nosioce podataka ako je:

  • primijenio zaštitne mjere (npr. enkripciju) kojima je spriječio korištenje povrijeđenih ličnih podataka; preduzeo naknadne mjere zaštite zbog kojih nije vjerovatan visok rizik ili
  • ako je kontaktiranje svakog nosioca podataka predstavljalo nesrazmjeran napor, pri čemu je onda nužno nosioce podataka obavijestiti putem sredstava javnog saopštavanja ili na drugi, jednako djelotvoran, način.

 

                       Kada nije potrebno dostaviti izvještaj Agenciji?

 

Primjer: Dokument koji sadrži lične podatke slučajno je proslijeđen zaposleniku koji nije ovlašten za uvid, no isti nije izašao iz posjeda kontrolora podataka, s obzirom da je zaposlenik upoznat sa obavezom čuvanja povjerljivosti ličnih podataka, te nije vjerovatno da će isto uzrokovati rizik za nosioce podataka.

Primjer: kontrolor podataka pohranio je sigurnosnu kopiju sa arhivom ličnih podataka koji su šifrirani na USB ključu. Ključ je ukraden tokom provale. Sve dok su podaci šifrirani uz pomoć najnaprednijeg algoritma, dok postoje sigurnosne kopije podataka i jedinstveni ključ nije ugrožen, a podaci se mogu blagovremeno oporaviti, to nije povreda koju treba prijaviti.

 

                       Kada je potrebno dostaviti izvještaj  Agenciji?

 

Primjer: Ukraden je laptop na kojem se nalaze podaci koji uključuju lične podatke zaposlenika. Laptop je zaštićen lozinkom, ali nije šifriran (kriptovan), te su lični podaci dostupni i trećim licima. Obzirom da se radi o velikom broju ličnih podataka može se zaključiti da isto može uzrokovati rizik za nosioce podataka.

Primjer: kontrolor podataka pretrpio je napad ucjenjivačkim softverom kojim su svi podaci šifrirani. Nema dostupnih sigurnosnih kopija, a podaci se ne mogu oporaviti. Nakon istrage postalo je jasno da je jedina funkcija ucjenjivačkog softvera bila šifriranje podataka, te je utvrđeno da u sistemu nije prisutan nikakav drugi zlonamjerni softver. Ovdje se radi o gubitku dostupnosti.

 

Više o povredama ličnih podataka možete saznati u Smjernicama Evropskog odbora za zaštitu podataka o obavještavanju o povredi ličnih podataka na osnovu Uredbe 2016/679 i Smjernicama Evropskog odbora za zaštitu podataka 01/2021 o primjerima obavještavanja o povredi ličnih podataka.

 

Obrazac izvještaja o povredi ličnih podataka, koji mogu koristiti kontrolori podatka /obrađivači, može se preuzeti ovdje.