❄ Koje je dvije promjene po pitanju povrede ličnih podataka donio Zakon?

Dvije glavne, važne novine koje je donio Zakon u odnosu na raniji Zakon o zaštiti ličnih podataka su:

• Novi zahtjev za obavještavanje Agencije o povredi ličnih podataka, te
• Zahtjev za obavještavanje nosilaca podataka na čije je lične podatke povreda uticala (u određenim slučajevima).

                    ❄ Kada je potrebno obavještavati Agenciju o povredi ličnih podataka? 

• Obavještavanje je obavezno za sve kontrolore podataka osim ako nije vjerovatno da će povreda prouzrokovati rizik za prava i slobode pojedinaca.
• Primjer: Povreda povodom koje se ne bi zahtijevalo obavještavanje Agencije bila bi gubitak šifriranog mobilnog uređaja kojim se koristi kontrolor obrade i zaposleni. Pod uslovom da ključ za šifriranje ostane u sigurnom posjedu kontrolora podataka i da se ne radi o jedinoj kopiji tih ličnih podataka, lični podaci bili bi nedostupni napadaču. To znači da nije vjerovatno da će povreda prouzrokovati rizik za prava i slobode odnosnih nosilaca ličnih podataka. Ako kasnije postane očito da je ključ za šifriranje ugrožen ili da kompjuterski program ili algoritam za šifriranje ima slabih tačaka, promijeniće se rizik  za prava i slobode pojedinaca, pa će se iz tog razloga možda zahtijevati obavještavanje. 

 ❄ Koje su koristi od obavještavanja Agencije? 

• Pri obavještavanju, kontrolori podataka mogu dobiti savjet o tome treba li obavijestiti pojedince pogođene povredom. Zapravo, Agencija može narediti kontroloru podataka da te pojedince obavijesti o povredi.
• Obavještavanjem nosilaca podataka o povredi omogućuje im se da budu obaviješteni o rizicima koji su proizašli iz povrede i o mjerama koje mogu poduzeti kako bi se zaštitili od mogućih posljedica povrede.

NAPOMENA: Svi planovi postupanja u slučaju povrede trebali bi biti usmjereni na zaštitu  nosilaca podataka. Stoga bi obavještavanje o povredi trebalo smatrati alatom za povećanje usklađenosti s obzirom na zaštitu ličnih podataka.  

 ❄ Koje su sankcije u slučaju neobavještavanja?

 Trebalo bi imati na umu da neprijavljivanje povrede  nosiocu podataka ili Agenciji može dovesti do mogućih kazni za kontrolore podataka.

 ❄ Kako preventivno djelovati da bi se izbjegle posljedice povrede ličnog podataka?

 Zakon propisuje da kontrolor podataka i obrađivač uspostave odgovarajuće tehničke i organizacione mjere kako bi garantovali nivo sigurnosti  koji je primjeren riziku koji postoji s obzirom na lične podatke koji se obrađuju.

 ❄ Šta je povreda ličnih podataka?

Povreda ličnog podataka predstavlja „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ličnim podacima koji su preneseni, sačuvani ili na drugi način obrađivani.”

• „uništenje” – radi se o tome da određeni podaci više ne postoje ili ne postoje u obliku koji je od ikakve koristi kontroloru podataka.
• „šteta” – radi se o situaciji u kojoj su lični podaci izmijenjeni, oštećeni ili više nisu cjeloviti.
• „gubitak” – podaci možda i dalje postoje, ali je kontrolor podataka izgubio kontrolu nad njima ili pristup njima ili oni više nisu u njegovom posjedu.
• neovlaštena ili nezakonita obrada – može uključivati otkrivanje ličnih podataka primaocima (ili njihov pristup tim podacima) koji nisu ovlašteni primati te podatke (ili im pristupati) ili bilo koji drugi oblik obrade kojim se krši Zakon. 

Primjer 1. Gubitak ličnih podataka može biti situacija u kojoj je uređaj koji sadržava kopiju baze podataka o klijentima kontrolora podataka izgubljen ili ukraden.

Primjer 2. Još jedan primjer gubitka podataka može biti situacija u kojoj je jedina kopija baze ličnih podataka šifrirana pomoću ucjenjivačkog softvera (ransomware) ili ju je kontrolor podataka šifrirao pomoću ključa koji više ne posjeduje.

 ❄ Koje su vrste povreda ličnih podataka?

Povrede ličnih podataka se mogu razvrstati u kategorije na osnovu sljedeća tri dobro poznata načela informacione sigurnosti: 

• „povreda povjerljivosti” – u slučaju neovlaštenog ili slučajnog otkrivanja ličnih podataka ili pristupa tim podacima
• „povreda cjelovitosti” – u slučaju neovlaštene ili slučajne izmjene ličnih podataka
• „povreda dostupnosti” – u slučaju slučajnog ili neovlaštenog gubitka pristupa ličnim podacima ili uništenja tih podataka

Povreda će se uvijek smatrati povredom dostupnosti ako je došlo do trajnog gubitka ili uništenja ličnih podataka. 

Primjeri gubitka dostupnosti uključuju situacije u kojima su podaci slučajno izbrisani ili ih je izbrisalo neovlašteno lice ili ako je, u primjeru sa  šifriranim podacima, izgubljen ključ za dešifriranje. U slučaju da kontrolor podataka ne može ponovo uspostaviti pristup podacima, na primjer, pomoću sigurnosne kopije, tada se to smatra trajnim gubitkom dostupnosti. 

                       ❄ Koje su moguće posljedice povrede ličnih podataka?

Povreda potencijalno može imati niz značajnih negativnih učinaka na nosioce podataka koji im mogu prouzrokovati fizičku, materijalnu ili nematerijalnu štetu.

To dakle može uključivati gubitak nadzora nad ličnim podacima nosilaca podataka, ograničavanje njihovih prava, diskriminaciju, krađu identiteta ili prevaru, finansijske gubitke, neovlašteni obrnuti postupak pseudonimizacije, štetu za ugled i gubitak povjerljivosti ličnih podataka zaštićenih profesionalnom tajnom.

Ako je vrlo vjerovatno da će nastati ti negativni učinci, Zakon propisuje da kontrolor podataka što prije, u razumnim granicama, obavijesti pogođene nosioce podataka o povredi. 

❄ Kako procijeniti rizik za pojedince i dokumentovati povredu?

U praksi, službenik će morati biti duboko uključen u ova pitanja. Često, sumnja na povredu će vjerovatno biti prvo prijavljena interno službeniku, a nakon toga on mora sačiniti prvu, trenutnu procjenu barem sljedećih pitanja: 

• je li se zaista dogodila povreda ličnih podataka kako je definisana u Zakonu (i ako se utvrdi da je zaista došlo do povrede ili je vjerovatno da je moglo doći do povrede)
• koje (kategorije) nosioce ličnih podataka su, ili su mogle biti, pogođene povredom i
• koje (kategorije) ličnih podataka su moguće izgubljene ili na drugi način pogođene (preporučuje da se te kategorije prijave Agenciji kod bilo kojeg obavještavanja o povredi),

i uzimajući te stvari u obzir: 

• je li „vjerovatno“ ili „nije vjerovatno“ da će povreda dovesti do rizika za prava i slobode pojedinaca

Pitanje kada to obavijest nije potrebna donekle daje sljedeći primjer: 

Primjer:

Povreda za koju nije potrebno obavještavanje Agencije bila bi gubitak sigurnosno enkriptiranog mobilnog uređaja, kojeg kontrolor podataka i njegovi zaposleni posjeduju. Pod uslovom da enkripcijski ključ ostane unutar sigurnog posjeda kontrolora podataka i da to nije jedina kopija ličnih podataka, tada bi lični podaci bili nedostupni napadaču. To znači da povreda vjerovatno ne bi dovela do rizika za prava i slobode nosilaca ličnih podataka u tom slučaju. Ako kasnije postane očigledno da je enkripcijski ključ kompromitovan ili da je enkripcijski softver ili algoritam ranjiv, tada će se rizik za prava i slobode pojedinaca izmijeniti, te stoga obavještavanje možda sada bude potrebno.

Ali ako je procjena da postoji vjerovatnost takvog potencijalnog rizika: 

• je li rizik „visok rizik za prava i slobode tih pojedinaca“ (zato što bi to zahtijevalo ne samo obavještavanje o povredi Agenciju, već, takođe, i obavještavanje nosilaca podataka)

VAŽNO ako procjene ukazuju na to da je došlo do povrede, te da postoje rizici za interese pojedinaca, tada treba hitno zatražiti mjere za ublažavanje rizika.

Navedena pitanja bi trebalo, takođe, hitno, čim prije bude moguće, proslijediti najvišem rangu upravljanja kontrolora podataka, te bi povrede trebale biti pažljivo evidentirane, zajedno s ishodima relevantnih procjena i razlozima za te procjene.

❄ U kojem roku je potrebno obavijestiti o povredi podataka?

U slučaju povrede ličnih podataka kontrolor podataka bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvještava Agenciju o povredi ličnih podataka, osim ako nije vjerovatno da će povreda ličnih podataka prouzrokovati rizik za prava i slobode pojedinaca.

Tokom tog roka kontrolor podataka trebao bi procijeniti vjerovatni rizik za pojedince kako bi utvrdio je li zahtjev za obavještavanje aktiviran, te koje su mjere potrebne za rješavanje problema povrede.

Ako izvještavanje nije učinjeno unutar 72 sata, mora biti praćeno razlozima za kašnjenje. 

❄ Kada se smatra da je kontrolor podataka saznao za povredu?

Smatra se da je kontrolor podataka „saznao” za povredu kada sa razumnim stepenom sigurnosti može smatrati da je došlo do sigurnosnog incidenta kojim su ugroženi lični podaci.

Kada se tačno može smatrati da je kontrolor „saznao” za određenu povredu zavisi o okolnostima konkretne povrede.

NAGLASAK bi trebalo staviti na hitno djelovanje kako bi se incident ispitao i kako bi se utvrdilo je li zaista došlo do povrede ličnih podataka, te kako bi se u tom slučaju preduzele mjere za popravljanje štete i prema potrebi obavijestilo o povredi.

Primjeri slučaja kada se smatra da je kontrolor podataka „saznao“ za povredu:

• U slučaju gubitka USB ključa s nešifriranim ličnim podacima često nije moguće utvrditi jesu li neovlaštena lica dobila pristup tim podacima. Uprkos tome, iako kontrolor podataka možda i ne može utvrditi je li došlo do povrede povjerljivosti, o takvom se slučaju mora provesti obavještavanje jer postoji razuman stepen sigurnosti da je došlo do povrede dostupnosti. U tom bi slučaju kontrolor podataka „saznao” za povredu u trenutku u kojem je shvatio da je USB ključ izgubljen.
• Treća strana obavijesti kontrolora podataka da je slučajno primila lične podatke jednog od njegovih klijenata i pruži dokaze o neovlaštenom otkrivanju. Budući da su kontroloru podataka predstavljeni jasni dokazi o povredi povjerljivosti, nema nedoumica o tome da je kontrolor podataka „saznao” za povredu.
• Kontrolor podataka otkrije da je došlo do neovlaštenog upada u njegovu mrežu. Kontrolor podataka provjerava svoje sisteme kako bi utvrdio jesu li ugroženi podaci koji se nalaze u tim sistemima i potvrđuje da se to dogodilo. Budući da kontrolor podataka sada ima jasne dokaze o povredi, ponovo nema nedoumica o tome da je kontrolor podataka „saznao” za povredu.

❄ Zašto su korisna prethodna djelovanja za sprječavanje povreda?

Iako su kontrolori podataka i obrađivači odgovorni za uspostavljanje primjerenih mjera za sprječavanje povreda, reagovanje na njih i njihovo otklanjanje, postoje određene praktične mjere koje bi trebalo preduzeti u svim slučajevima:

• Informacije koje se odnose na sve događaje povezane sa sigurnošću trebale bi biti usmjerene prema odgovornoj licu ili licima čiji je zadatak odgovor na incidente, utvrđivanje postojanja povrede i procjenjivanje rizika
• Potom bi trebalo procijeniti rizik za pojedince koji je prouzročen povredom (vjerovatnost da rizik ne postoji, postoji ili da postoji visoki rizik), pri čemu je potrebno obavijestiti relevantne dijelove unutar organizacije
• Ako se to zahtijeva, o povredi bi trebalo obavijestiti Agenciju, a možda i pogođene pojedince
• Istovremeno bi kontrolor podataka trebao djelovati kako bi obuzdao povredu i otklonio njezine posljedice
• Povredu bi trebalo kontinuirano dokumentovati tokom njezina trajanja

U skladu s tim, trebalo bi biti jasno da je kontrolor podataka obavezan djelovati povodom svakog početnog upozorenja i utvrditi je li stvarno došlo do povrede.

VAŽNO!! Te mjere i mehanizmi za izvještavanje mogu se podrobno opisati u planovima kontrolora podataka za postupanje u slučaju incidenta i/ili u sistemima upravljanja.

                   ❄ Kako postupati u slučaju zajedničkih kontrolora podataka?

Zajednički kontrolori podataka moraju odrediti svoje odgovornosti za poštovanje Zakona. Preporučuje da se u ugovorne dogovore među zajedničkim kontrolorima podataka uključe odredbe kojima se određuje koji će kontrolor podataka voditi ili biti odgovoran za poštovanje obaveza izvještavanja o povredama iz Zakona.  

❄  Koje su obaveze obrađivača?

Kontrolor podataka zadržava opštu odgovornost za zaštitu ličnih podataka, ali i obrađivač  ima važnu ulogu u omogućavanju kontroloru podataka da ispuni svoje obaveze, a to uključuje izvještavanje o povredama.

Ako se kontrolor podataka koristi obrađivačem, a obrađivač sazna za povredu ličnih podataka koje obrađuje u ime kontrolora podataka, taj obrađivač mora „bez nepotrebnog odgađanja” obavijestiti kontrolora podataka.

Zakonom nije predviđen nikakav izričit rok u kojem obrađivač mora upozoriti kontrolora podataka, osim što se propisuje da to mora učiniti „bez nepotrebnog odgađanja”.

                  ❄ Šta sadrži izvještavanje o povredi ličnih podataka?

Ako kontrolor podataka izvještava Agenciju o povredi mora u najmanjoj mjeri: 

• opisati prirodu povrede ličnih podataka, uključujući, ako je moguće, kategorije i približan broj odnosnih nosilaca ličnih podataka, te kategorije i približan broj odnosnih evidencija ličnih podataka; 
• navesti ime i kontaktne podatke Službenika ili druge kontaktne tačke od koje se može dobiti još informacija; 
• opisati vjerovatne posljedice povrede ličnih podataka; 
• opisati mjere koje je kontrolor podataka preduzeo ili predložio preduzeti za rješavanje problema povrede ličnih podataka, uključujući prema potrebi mjere umanjivanja njenih mogućih štetnih posljedica. 

❄ Kako postupiti kada nisu poznate sve informacije o povredi ličnih podataka?

Ako precizne informacije nisu dostupne (npr. tačan broj pogođenih nosilaca ličnih podataka), to ne bi trebalo spriječiti blagovremeno izvještavanje o povredi. Zakonom se propisuje navođenje približnog broja predmetnih pogođenih pojedinaca i predmetnih evidencija ličnih podataka. Naglasak bi trebao biti na otklanjanju negativnih učinaka povrede, a ne na pružanju preciznih podataka. Stoga, ako je postalo jasno da je došlo do povrede, ali njezini razmjeri još nisu poznati, postepeno izvještavanje (vidjeti u nastavku) siguran je način ispunjavanja obaveza izvještavanja. 

 

❄ Da li je moguće postepeno izvještavanje?

 

Ako i u onoj mjeri u kojoj nije moguće istovremeno pružiti informacije, informacije je moguće postepeno pružati bez nepotrebnog daljnjeg odgađanja.

To znači da se u Zakonu priznaje da kontrolori podataka neće uvijek imati sve potrebne informacije o povredi u roku od 72 sata nakon što su saznali za nju jer potpune i sveobuhvatne pojedinosti o incidentu možda neće uvijek biti dostupne u početku. Zato se Zakonom dozvoljava postepeno izvještavanje.

NAPOMENA: Trebalo bi biti jasno i to da kontrolor podataka, nakon početnog izvještavanja, može Agenciji dostaviti ažurirane informacije ako su daljnjom istragom otkriveni dokazi da je sigurnosni incident spriječen i da se zapravo nije dogodila nikakva povreda.

Primjer: Kontrolor podataka u roku od 72 sata nakon otkrivanja povrede podnese izvještaj Agenciji  da je izgubio USB ključ s kopijom ličnih podataka nekih od svojih klijenata. Kasnije se utvrdi da je USB ključ bio pohranjen na krivom mjestu u poslovnim prostorijama kontrolora podataka, te je pronađen. Kontrolor podataka dostavlja ažurirane informacije Agenciji  i traži da se izvještaj izmijeni.

 

❄ Šta ako se izvještavanje ne izvrši u roku od 72 sata?

 

Ako izvještavanje nije učinjeno u okviru 72 sata, ono mora biti propraćeno razlozima za kašnjenje. Time se, zajedno s konceptom postepenog izvještavanja, priznaje da kontrolor podataka možda neće uvijek moći obavijestiti Agenciju o povredi u tom roku, te da se odgođeno izvještavanje može dopustiti.

Primjer: kako bi kontrolor podataka izbjegao preveliko opterećenje on bi mogao podnijeti „objedinjeni” izvještaj u kojem su prikazane sve te povrede, pod uslovom da se one odnose na istu vrstu ličnih podataka koji su povrijeđeni na isti način tokom relativno kratkog vremenskog perioda. 

 

❄ Da li nosioce ličnih podataka treba upoznati sa povredom?

 

U slučaju povrede ličnih podataka koje će vjerovatno prouzrokovati visok rizik za prava i slobode pojedinaca, kontrolor podataka bez nepotrebnog odgađanja obavještava nosioce podataka o povredi ličnih podataka.

Dakle, granica za obavještavanje nosilaca podataka o povredi  je viša nego za izvještavanje Agenciji, te se neće za sve povrede tražiti obavještavanje nosilaca podataka, time ih štiteći od nepotrebnog zamora obavještenjima.

 

❄ U kojem roku treba obavijestiti nosioce podataka? 

Zakon propisuje da obavještavanje o povredi  treba biti učinjeno „bez nepotrebnog odgađanja“, što znači što je prije moguće. 

❄ Koji je glavni cilj obavještavanja nosilaca podataka?

Glavni je cilj obavještavanja nosilaca podataka pružiti im posebne informacije o koracima koje oni trebaju poduzeti kako bi zaštitili sami sebe. Kako je navedeno ranije u tekstu, zavisno o prirodi povrede i nametnutom riziku, blagovremeno obavještavanje će pomoći pojedincima da preduzmu korake kako bi se zaštitili od bilo kojih negativnih posljedica povrede. 

❄ Koje informacije kontrolor podataka daje u obavještenju o povredi ličnih podataka?

Prilikom obavještavanja nosilaca podataka  potrebna je upotreba jasnog i jednostavnog jezika, te ono sadržava barem sljedeće informacije:

• opis prirode povrede;
• ime i kontaktne podatke službenika ili drugog kontakt lica;
• opis vjerovatnih posljedica povrede; i
• opis preduzetih mjera ili predloženih mjera koje treba preduzeti kontrolor podataka kako bi riješio povredu, uključujući, kada je to primjereno, mjere za ublažavanje njenih mogućih negativnih učinaka.

Primjer:

Kao primjer preduzetih mjera za rješavanje povrede i ublažavanje njenih mogućih negativnih učinaka, kontrolor podataka može navesti da, nakon što je obavijestio o povredi Agenciju, kontrolor podataka je dobio savjet o rješavanju povrede i umanjivanju njenog učinka.

Kontrolor podataka bi, takođe, trebao, kada je to primjereno, pružiti specifičan savjet pojedincima kako bi se zaštitili od mogućih negativnih posljedica povrede, kao što  je resetiranje lozinke u slučaju kada su kompromitirane njihove pristupne autorizacije. Kontrolor podataka može odabrati pružiti i druge informacije osim ovdje navedenih.

❄ Da li nosioci podataka trebaju biti neposredno obaviješteni?

Generalno, o relevantnoj povredi bi pogođeni nosioci podataka trebali biti obaviješteni neposredno, osim ako bi se time zahtijevao nesrazmjeran napor. U takvom slučaju mora postojati javno obavještenje ili slična mjera kojom se nosioci podataka obavijestili na jednako djelotvoran način. 

❄ U kojim uslovima nije potrebno obavještavati nosioce podataka?

Postoje tri uslova koji, ako su ispunjeni, ne zahtijevaju obavještavanje nosilaca podataka u slučaju povrede. To su: 

• Kontrolor podataka je preduzeo odgovarajuće tehničke i organizacione mjere zaštite i te su mjere primijenjene na lične podatke pogođene povredom, posebno one koje lične podatke čine nerazumljivima bilo kojoj licu koje im nije ovlaštena pristupiti, kao što je enkripcija.
• Odmah nakon povrede, kontrolor podataka je preduzeo korake kojima se osigurava da više nije vjerovatno da će doći do visokog rizika za prava i slobode nosilaca podataka. Na primjer, zavisno o okolnostima slučaja, kontrolor podataka  je moguće odmah identificirao i poduzeo mjere protiv pojedinca koji je pristupio ličnim podacima prije nego li je taj pojedinac bio u mogućnosti nešto sa tim učiniti.
• Ako bi to uzrokovalo nesrazmjeran napor da se kontaktiraju nosioci podataka ako je moguće kada su njihovi kontaktni podaci izgubljeni usljed povrede ili uopšte nisu ni bili poznati.

Primjer: Skladište ureda za statistiku je poplavljeno i dokumenti koji sadrže lične podatke su bili čuvani samo u papirnom obliku. Umjesto toga, kontrolor podataka mora obavijestiti javnost  javnim obavještenjem ili preduzeti drugu sličnu mjeru, čime se pojedinci obavještavaju na jednako djelotvoran način.

 

Primjer	Izvještavanje Agencije	Obavještavanje nosilaca ličnih podataka?	Bilješke/ preporuke
Kontrolor podataka je pohranio sigurnosnu kopiju (backup) arhive enkriptiranih ličnih podataka na USB ključu. Ključ je ukraden tokom provale	Ne.	Ne.	Dokle god su podaci enkriptirani vrhunskim algoritmom, sigurnosne kopije postoje, jedinstveni ključ nije kompromitiran, i podaci se mogu u razumno vrijeme vratiti, moguće je da to nije povreda koju treba prijaviti.  Međutim, ako kasnije budu kompromitirani, izvještavanje/obavještavanje je potrebno.
Kontrolor podataka ima mrežnu uslugu. Kao rezultat cyber-napada na tu uslugu, lični podaci pojedinaca su izvučeni. Kontrolor podataka ima klijente u samo jednoj državi članici EU.	Da, obavijestite Agenciju ako postoje vjerovatne posljedice za nosioce ličnih podataka.	Da, obavijestite nosioce ličnih podataka zavisno o prirodi ugroženih ličnih podataka, te ako je težina vjerovatnih posljedica za njih visoka.
Kratak nestanak struje u trajanju od nekoliko minuta u pozivnom centru kontrolora podataka, što znači da kupci ne mogu zvati kontrolora podataka i pristupiti svojim evidencijama	Ne.	Ne.	Ovo nije povreda koju treba prijaviti, ali i dalje jeste incident kojeg treba zabilježiti po članu 35(5) Zakona Odgovarajuće evidencije treba održavati kontrolor podataka.
Kontrolor podataka  pretrpi napad ucjenjivačkim softverom (ransomware), što dovodi do toga da su svi podaci enkriptirani. Nikakve sigurnosne kopije nisu dostupne i podaci se ne mogu vratiti. Nakon istrage, postaje jasno da je jedina funkcionalnost malicioznog softvera bila enkriptirati podatke, te da nije bilo drugog malwarea u sustavu.	Da. Obavijestite Agenciju, ako postoje vjerovatne posljedice za nosioce ličnih podataka jer ovo jest gubitak dostupnosti.	Da. Obavijestite nosioce ličnih podataka, zavisno o prirodi ugroženih ličnih podataka i mogućem učinku manjka dostupnosti podataka, kao i njihovim vjerovatnim posljedicama.	Ako su bile dostupne sigurnosne kopije (backup) i podaci se mogu vratiti u skorije vrijeme, to ne bi trebalo prijaviti Agenciji ili nosiocima podataka jer ne bi bilo trajnog gubitka dostupnosti ili povjerljivosti.  Međutim, ako je Agencija saznala za incident drugim putem, može razmotriti ispitivanje da bi se provjerila usklađenost sa širim zahtjevima za sigurnost iz člana 34. Zakona
Lice telefonom zove pozivni centar banke  da bi prijavio povredu podataka. Pojedinac je zaprimio mjesečni izvještaj za nekoga drugoga. Kontrolor podataka preduzima kratku istragu (tj. završenu unutar 24 sata) i utvrđuje  s razumnom sigurnošću da se povreda ličnih podataka dogodila i  ima li sistemsku grešku koja može značiti da su i drugi pdnosioci ličnih podataka bili ili bi mogli biti ugroženi.	Da.	Obavještava se samo ugrožene nosioce ličnih podataka ako postoji visok rizik i jasno je da drugi nisu bili ugroženi.	Ako, nakon daljnje istrage, bude prepoznato da je ugroženo više nosilaca ličnih podataka, moraju se poslati ažurirane informacije Agenciji, a kontrolor podataka preduzima dodatne korake obavještavanja drugih nosilaca ako za njih postoji visok rizik.
Kontrolor podataka vodi mrežnu trgovinu i ima klijente u više država. Trgovina pretrpi cyber-napad tako da napadač objavi korisnička imena, lozinke i istoriju kupovina na mreži.	Da. Obavijestite Agenciju ako to uključuje prekograničnu obradu.	Da, jer bi moglo dovesti do visokog rizika.	Kontrolor podataka bi trebao preduzeti radnje, tj. forsirajući ponovno postavljanje lozinki za ugrožene račune, kao i druge mjere za ublažavanje rizika. Kontrolor podataka bi, takođe, trebao razmotriti bilo koje druge obaveze obavještavanja.
Društvo koje pruža usluge hostinga mrežnih stranica, koje djeluje  kao obrađivač, identificira grešku u kodu koji kontrolira autorizaciju korisnika. Učinak greške znači da bilo koji korisnik može pristupiti podacima o računu bilo kojeg drugog korisnika.	Kao obrađivač, društvo koje pruža usluge hostinga mrežnih stranica mora obavijestiti svoje ugrožene klijente (kontrolore podataka) bez nepotrebnog odugovlačenja. Pretpostavljajući da je društvo za usluge hostinga mrežnih stranica provelo svoju vlastitu istragu, ugroženi kontrolori podataka obrade bi razumno trebali imati povjerenja o tome je li svaki od njih pretrpio povredu i stoga je vjerovatno smatrati da je „saznao“ kad ih je obavijestilo društvo koje pruža usluge hostinga (obrađivač). Kontrolor podataka mora mora tada obavijestiti Agenciju.	Ako nije vjerovatno da će nastupiti visok rizik za nosioce ličnih podataka, oni ne trebaju biti obaviješteni.	Društvo koje pruža usluge hostinga (obrađivač) mora razmotriti bilo koje druge obaveze obavještavanja. Ako nema dokaza da je ova ranjivost iskorištena kod bilo kojeg od njegovih kontrolora podataka, značajna povreda se moguće nije dogodila, ali je vjerovatno da je treba evidentirati ili će biti predmet neusklađenosti prema članu 34. Zakona.
Zdravstvene evidencije u bolnici su nedostupne u trajanju od 30 sati zbog cyber-napada.	Da, bolnica je dužna obavijestiti o tome jer se visok rizik za dobrobit i privatnost pacijenata može dogoditi.	Da, obavijestite pogođene nosioce ličnih podataka.
Lični podaci velikog broja studenata su greškom poslani na pogrešan spisak e-adresa s  1000+ primalaca.	Da, Obavijestite Agenciju.	Da, obavijestite nosioce ličnih podataka, zavisno o broju i vrsti ličnih podataka koji su uključeni, te o težini mogućih posljedica.
E-poruka sadržaja direktnog marketinga je poslana primaocima pod „to:” ili “cc:” poljima, time omogućujući primaocu da vidi adrese e-pošte drugih primalaca.	Da, obavještavanje Agencije može biti obavezno ako je pogođen velik broj nosilaca ličnih podataka, ako su otkriveni osjetljivi podaci, (npr. adresar psihoterapeuta s adresama e-pošte klijenata) ili ako drugi činioci predstavljaju visoke rizike (npr. e-pošta sadrži početne lozinke).	Da, obavijestite nosioce ličnih podataka zavisno od broja i vrsti uključenih ličnih podataka i težini mogućih posljedica.	Obavijest ne mora biti nužna ako nisu otkriveni nikakvi osjetljivi podaci i ako je samo manji broj adresa e-pošte otkriven.