Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.01.2019
Naslov: Obveščanje o kršitvi varnosti
Številka: 0712-3/2018/2444
Vsebina: Obveščanje o kršitvah varnosti
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje glede primera suma nepooblaščene obdelave podatkov z obrazci Prijava dela izven razpisanega delovnega časa, ki vsebuje osebne podatke zaposlenih. Zaposleni meni, da je bila mapa odtujena in v rokah neznanih nepooblaščenih oseb, in da bi lahko šlo za kršitev varovanja osebnih podatkov. Kot pooblaščena oseba za varstvo podatkov ste začeli pripravljati obrazec za prijavo kršitve, vendar zadevi še niste prišli do dna in ne veste, na koga vse so se obrazci nanašali, koliko oseb je bilo vključeno v razkritje, čigavi podatki so bili razkriti... Zanima vas, kako ravnati v smislu obveznega poročanja o kršitvah varnosti glede na 33. člen Splošne uredbe o varstvu podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da je treba najprej ugotoviti dejansko stanje in sicer je treba ugotoviti, ali gre dejansko za kršitev varnosti, pri čemer kot varnost podatkov štejemo upoštevanje načel zaupnosti, celovitosti in razpoložljivosti. Kot sami ugotavljate, je treba raziskati, ali je do odtujitve dejansko tudi prišlo, za katere osebne podatke gre (in koliko), iz katere zbirke osebnih podatkov naj bi podatki ušli in podobno. Včasih se namreč lahko izkaže, da je določena dokumentacija z osebnimi podatki zgolj založena oziroma da še ni prispela v roke predvidenemu naslovniku (osebi, oddelku ipd.). V konkretnem primeru žal tudi mi ni moremo vnaprej podati ocene, ali je do kršitve dejansko prišlo ali ne in kakšna je resnost in verjetnost posledic, zato vam lahko kvečjemu priporočimo, da kar se da natančno preučite dejansko stanje in se potem odločite, ali boste podali prijavo kršitve varnosti.

 

Glede na Smernice delovne skupine iz člena 29 je treba sprejeti oceno, ali obstaja dovolj velika verjetnost, da je do kršitve varnosti dejansko prišlo. Pri tem je pomembno tudi dejstvo, ali gre za takšno kršitev varnosti, ki dejansko terja obveščanje nadzornega organa za varstvo podatkov glede na določbe 33. člena Splošne uredbe. Upravljavec mora oceniti verjetnost in resnost vpliva na pravice in svoboščine posameznikov. Iz vašega opisa situacije ni mogoče ugotoviti, ali je kopiranje dokumentov izvedla oseba, ki je imela dostop do teh dokumentov in je to opravila zaradi opravljanja svojih nalog oz. ali obstaja sum, da je to izvedla nepooblaščena oseba.

 

Brez (kolikor se da) natančno ugotovljenega dejanskega stanja je nemogoče podati oceno, ali je do kršitve varnosti res prišlo ali ne in kakšne so morebitne posledice za posameznike. Ko boste navedeno z dovolj visoko verjetnostjo ugotovili se je treba odločiti in podati prijavo ali ne. Glede na smernice se 72-urni rok upošteva od takrat, ko ste z dovolj visoko stopnjo verjetnosti menite, da je dejansko prišlo do kršitve in da ima kršitev lahko posledice na pravice in svoboščine posameznikov.

 

 

Lep pozdrav,

 

 

 

                                                                                                Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

                                                                                                informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke