Prijava kršitev varnosti

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti prijave kršitve varnosti osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov presojati posameznih primerov obdelave osebnih podatkov.

V skladu z določili Splošne uredbe o varstvu podatkov kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki vodi do nezakonitega uničenja, izgube, spremembe ali nepooblaščenega razkritja oziroma dostopa do osebnih podatkov.

V primeru zaznave kršitve je treba oceniti verjetnost in resnost posledic za pravice in svoboščine posameznika. Verjetnost je povezana z možnostjo nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom. Skladno z uvodno določbo 85 Splošne uredbe o varstvu podatkov kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena revizija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katerakoli druga znatna gospodarska ali socialna škoda.

V primeru kršitve varnosti osebnih podatkov mora upravljavec o njej uradno obvestiti nadzorni organ (v RS je to IP) brez nepotrebnega odlašanja in najpozneje v 72 urah po seznanitvi s kršitvijo. Upravljavec tega ni dolžan storiti, v kolikor lahko v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varnosti osebnih podatkov ogrožala pravice in svoboščine posameznikov. Tudi v primeru, ko upravljavec oceni, da ni verjetno, da bodo pravice in svoboščine zaradi kršitve ogrožene, pa mora biti sposoben svojo odločitev utemeljiti, zato je vse zaznane kršitve priporočljivo dokumentirati.

Ob zaznani kršitvi mora upravljavec najprej izvedeti, kaj se je zgodilo, oceniti kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. Temu sledijo tudi informacije, ki jih mora vsebovati uradno obvestilo o kršitvi:

• opis vrste kršitve, kategorije in približno število posameznikov, na katere se nanašajo osebni podatki, vrste in približno število evidenc osebnih podatkov.

• Ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče dobiti več informacij.

• opis verjetnih posledic kršitve varstva osebnih podatkov

• opis ukrepov, ki jih je upravljavec sprejel ali katerih sprejetje predlaga za obravnavanje kršitve, ali pa predvidenih ukrepov za ublažitev morebitnih škodljivih učinkov kršitve.

IP je pripravil neobvezen obrazec za podajo obvestila o kršitvi, ki ga lahko prenesete na spodnji povezavi:

https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/OBRAZEC_-_Obvestilo_o_krsitvi.docx

Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec, skladno s 34. členom Splošne uredbe o varstvu podatkov, o kršitvi neposredno obvestiti tudi zadevne posameznike. Posameznike je potrebo obvestiti neposredno, razen, ko bi to zahtevalo nesorazmeren napor, lahko upravljavec posameznike obvesti preko javnega sporočila ali podobnega ukrepa, s čimer bodo posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

IP dodaja še, da je v skladu z določili Splošne uredbe o varstvu podatkov neukrepanje ob zaznavi kršitev varnosti osebnih podatkov in neobveščanje nadzornega organa, ko je to potrebno, samostojna kršitev, za katero je predpisana globa.

IP ponavlja, da v okviru mnenja ne more presojati, ali so v konkretnem primeru izpolnjeni pogoji za prijavo kršitve varnosti osebnih podatkov oziroma za obveščanje posameznikov o kršitvi. To je namreč naloga upravljavca, ki mora odločitev sprejeti ob upoštevanju zgoraj navedenih kriterijev.

S spoštovanjem.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka