Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Prijava kršitev

+ -

Na kratko

  • Uredba uvaja dolžnost obveščanja nadzornega organa (Informacijskega pooblaščenca) o zaznanih kršitvah varstva osebnih podatkov, če je (vsaj) verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje pa v 72 urah.
  • Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec kršitev sporočiti tudi posamezniku, na katerega se nanašajo osebni podatki.
  • Če ocenite, da kršitev ne bo povzročila velikega tveganja za pravice in svoboščine posameznikov, vendar to ugotovi po preučitvi obvestila o kršitvi Informacijski pooblaščenec, lahko Informacijski pooblaščenec naloži, da morate o kršitvi obvestiti posameznike.
  • Priporočljivo je, da imate vnaprej vzpostavljen (in dokumentiran) učinkovit sistem za zaznavanje in sporočanje kršitev. To bo zagotovilo skladnost z Uredbo in pomagalo preprečevati posledice za posameznike ter odvrnilo nepotrebne sankcije zaradi kršitve obveznosti uradnega obveščanja.
  • Priporočljivo je beležiti in hraniti vse zaznane kršitve varstva osebnih podatkov, ne glede na potrebo po uradnem obveščanju.
  • OBRAZEC: Obvestilo o kršitvi
  • RELEVANTNE DOLOČBE UREDBE
    člena: 33, 34
    uvodne določbe: 85-88
  • OBVEZNO BRANJE: Smernice v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov, Smernice delovne skupine po členu 29.

Kaj je kršitev varstva osebnih podatkov v smislu 33. in 34. člena Uredbe?

Kršitev varstva osebnih podatkov v smislu 33. in 34. člena Uredbe pomeni kršitev varnosti, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov. Kršitev je lahko storjena nehote (npr. iz malomarnosti) ali pa je načrtovana oziroma naklepna. Na splošno ta kršitev pomeni varnostni incident, ki ogroža zaupnost, celovitost in dostopnost osebnih podatkov.

Kršitve varstva osebnih podatkov so v praksi lahko npr.:

  • dostop s strani nepooblaščene osebe;
  • posredovanje osebnih podatkov nepravemu naslovniku;
  • izguba ali kraja računalniške opreme, ki vsebuje osebne podatke;
  • nepooblaščeno uničenje baz z osebnimi podatki;
  • sprememba osebnih podatkov brez potrebnega dovoljenja;
  • izguba dostopa do osebnih podatkov (izguba gesla; izguba opreme, ki omogoča dešifriranje; nepooblaščena namestitev šifrirnega programa, ki onemogoča dostop do podatkov, t.i. »izsiljevalski virus«).

O katerih kršitvah je treba obvestiti Informacijskega pooblaščenca?

V primeru zaznave kršitve je treba oceniti dva ključna faktorja: verjetnost in resnost posledic za pravice in svoboščine posameznikov. Verjetnost je povezana z možnostjo nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom. Uvodna določba 85 Uredbe opozarja, da lahko kršitev varstva osebnih podatkov (če se ne obravnavajo ustrezno in pravočasno), posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda.

Negativne posledice za posameznika so torej lahko čustvena prizadetost (duševne bolečine), kot tudi fizična in premoženjska škoda. Nekatere kršitve morda ne bodo presegale niti morebitnih manjših neugodnosti za posameznike, medtem ko lahko druge kršitve na posameznike znatno vplivajo.

Ob zaznani kršitvi morate oceniti tveganja za nastanek posledic, ki pa so odvisna od vsakokratnih konkretnih okoliščin. Od te ocene je odvisno, ali bo treba o kršitvi obvestiti Informacijskega pooblaščenca. Če je verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, morate o tem obvestiti Informacijskega pooblaščenca; če ni verjetno, potem obveščanje ni potrebno.

Tudi ko ocenite, da ni verjetno, da bodo pravice in svoboščine ogrožene, pa morate biti sposobni svojo odločitev utemeljiti, zato je vse zaznane kršitve priporočljivo dokumentirati.

Obrazec za obveščanje nadzornega organa o kršitvi najdetet tukaj.

Primer: Kraja baze podatkov strank, ki omogoča goljufijo ali krajo identitete, predstavlja resno tveganje za pravice in svoboščine posameznikov, o kateri bi bilo treba obvestiti Informacijskega pooblaščenca, saj je verjetno, da bodo v tem primeru posamezniki utrpeli finančne ali druge posledice.

Glede na zaznano kršitev je odgovornost upravljavca, da nemudoma oceni potencialno tveganje glede na to, kako resno lahko kršitev prizidane posameznike in kako verjetno je, da bodo posledice nastale. Podrobneje je ocena tveganj v primeru zaznanih kršitev opisana v smernicah Delovne skupine iz člena 29, poglavje VI Smernic v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov.

Kakšni sta vloga in odgovornost obdelovalcev?

Obdelovalci so dolžni obvestiti upravljavca o vsaki kršitvi takoj, ko kršitev zaznajo. Obdelovalec mora upravljavcu zagotoviti tudi vse potrebne informacije za oceno tveganj posledic kršitve, ki bo določilo, ali mora upravljavec podati uradno obvestilo nadzornemu organu o kršitvi.

Primer: Upravljavec pri podjetju, ki nudi informacijske storitve (obdelovalec), koristi storitve hrambe in arhiviranja podatkov o njegovih kupcih. Obdelovalec zazna vdor v svoj informacijski sistem in nepooblaščen dostop do baz podatkov strank svojega naročnika - upravljavca. Obdelovalec incident nemudoma sporoči upravljavcu, ki nato o tem poda uradno obvestilo Informacijskemu pooblaščencu.    

Zahteva po obveščanju upravljavca o kršitvi mora biti vsebovana tudi v pogodbi o pogodbeni obdelavi osebnih podatkov (usmeritev na člen 28 (f) in (h) Uredbe).

V kolikšnem času po kršitvi je treba obveščati?

Upravljavec mora o kršitvi obvestiti Informacijskega pooblaščenca brez odlašanja, najkasneje pa v 72 urah po zaznani kršitvi (obrazec za obveščanje se nahaja tukaj).

Obdelovalec mora o kršitvi obvestiti upravljavca v najkrajšem možnem času po zaznani kršitvi.

Kdaj se šteje, da je bila kršitev »zaznana«, natančneje opredeljujejo smernice Delovne skupine iz člena 29, v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov v poglavju II.

Da bi zadostili pogojem uradnega obvestila, mora upravljavec najprej izvedeti, kaj se je zgodilo, nato oceniti kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. V predvidenem času 72 ur včasih ni mogoče zagotoviti vseh potrebnih informacij o incidentu, kot zahteva uradno obvestilo iz 33. člena Uredbe.

Iz navedenega razloga je Uredba v členu 33(4) predvidela, da lahko informacije upravljavci posredujejo po fazah, vendar brez odlašanja. Od upravljavcev se pričakuje, da bodo svoje obveznosti v zvezi s preiskovanjem varnostnih incidentov izvedli prioritetno in hitro. Ne glede na to, pa je treba v roku 72 ur podati vsaj informacijo o zaznani kršitvi, izsledki notranje preiskave pa se lahko posredujejo kasneje. Upravljavci naj razlog za zamudo pri podaji popolnega obvestila o kršitvah posebej obrazložijo.

Katere informacije mora vsebovati obvestilo o kršitvi IP?

Ob zaznani kršitvi mora upravljavec najprej izvedeti, kaj se je zgodilo, oceniti kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. Temu sledijo tudi informacije, ki jih mora vsebovati uradno obvestilo o kršitvi:

  • Opis vrste kršitve, kategorije in približno število posameznikov, na katere se nanašajo osebni podatki, vrste in približno število evidenc osebnih podatkov. 
  • Kontaktne podatke pooblaščene osebe za varstvo podatkov.
  • Opis verjetnih posledic kršitve varstva osebnih podatkov.
  • Opis ukrepov, ki jih je upravljavec sprejel ali pa predvidenih ukrepov za ublažitev tveganj za kršitve.

Kako obvestimo nadzorni organ?

Minimalne zahteve, kaj mora vsebovati uradno obvestilo o kršitvi predpisuje člen 33(3) Uredbe. Neobvezen obrazec za podajo obvestila o kršitvi je v pripravi pri IP. Za najnovejše informacije v zvezi z obrazci in drugimi gradivi s področja varstva osebnih podatkov, spremljajte našo rubriko »AKTUALNO«.

Opozarjamo tudi, da ko kršitev zadeva podatke posameznikov iz različnih držav članic EU, IP ne bo nujno pristojen za vodenje postopka kot 'vodilni nadzorni organ'. To pomeni, da lahko v svojem mehanizmu odziva na kršitve upoštevate tudi, kateri evropski nadzorni organ za varstvo osebnih podatkov, nastopa v vašem primeru kot vodilni nadzorni organ. Več informacij glede vodilnega nadzornega organa lahko najdete v smernicah Delovne skupine iz člena 29, Smernice za določitev vodilnega nadzornega organa za upravljavce ali obdelovalce.

Kdaj je treba obvestiti posameznike?

Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, Uredba zahteva, da upravljavec o kršitvi neposredno obvesti zadevne posameznike in da to stori brez odlašanja.

Za obveščanje posameznikov Uredba postavlja standard 'veliko tveganje', ki je višja stopnja ogroženosti pravic in svoboščin posameznikov, kot velja za uradno obvestilo nadzornemu organu. Kot je že bilo poudarjeno je treba stopnjo tveganja ocenjevati v vsakem primeru posebej, upoštevaje verjetnost nastanka posledic in resnost teh posledic. Treba je zlasti upoštevati, da je potreba po obveščanju večja, če obstaja velika verjetnost neugodnih posledic, pri tem pa lahko ukrep obveščanja zmanjša tveganje za nastanek teh posledic. Cilj in smoter zahteve po obveščanju posameznikov o kršitvi je prav v možnosti zmanjševanja tveganj za nastanek neugodnih posledic. Na ta način se torej pomaga posameznikom preprečiti neugodne posledice, ki bi sicer lahko pomenile tudi premoženjsko ali nepremoženjsko škodo (upravljavec je lahko odškodninsko odgovoren poleg sankcij, ki jih lahko izreče nadzorni organ).

Primera:

Če pride do nepooblaščenega dostopa do zdravstvenih podatkov pacientov določene bolnišnice je že zaradi narave podatkov tveganje za pravice in svoboščine pacientov visoko in bo verjetno treba posameznike o kršitvi obvestiti.

Če uslužbenec na fakulteti pomotoma izbriše evidenco kontaktov študentov posameznega letnika, baza pa je s pomočjo rezervne kopije ponovno vzpostavljena, takšna kršitev ne bo povzročila velikega tveganja za pravice in svoboščine posameznikov. Posledično obveščanje ne bo potrebno.

Če upravljavec oceni, da kršitev ne bo povzročila velikega tveganja za pravice in svoboščine, obstaja pa verjetnost da do posledic pride, lahko o kršitvi obvesti le nadzorni organ. Če nadzorni organ oceni, da je treba posameznike o kršitvi vseeno obvestiti, lahko naloži upravljavcu, da to stori.

Kaj je treba navesti v obvestilu posameznikom in kako jih je treba obvestiti?

Obvestilo posameznikom morate podati v jasnem in preprostem jeziku. V obvestilu opišete kršitev in sporočite vsaj:  

  • kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov (ali druge kontaktne osebe), pri kateri lahko posameznik prejme več informacij oziroma pojasnil o kršitvi,
  • informacijo o posledicah,
  • informacijo o sprejetih ali predlaganih ukrepih in kjer je to mogoče, dodatna pojasnila posameznikom, kako lahko sami zmanjšajo tveganje za nastanek posledic.

Posameznike morate obvestiti neposredno, le izjemoma, ko bi to zahtevalo nesorazmeren napor, lahko namesto tega objavite javno sporočilo ali izvedete podoben ukrep, s katerim bodo posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

Kaj se zgodi, če ne obvestite Informacijskega pooblaščenca?

Neukrepanje ob zaznavi kršitev varstva osebnih podatkov in neobveščanje nadzornega organa, ko je to potrebno, je samostojna kršitev po Uredbi, za katero je predpisana globa do 10 milijonov evrov oz. do 2% letnega prometa. Upravljavca lahko doleti kazen za kršitev in kazen, če ni izpolnil zahteve po obveščanju. Temu se dodajo tudi popravljalni ukrepi, ki jih lahko nadzorni organ naloži upravljavcu skladno s členom 58. Zato morate zagotoviti učinkovit interni postopek javljanja kršitev, ki bo omogočil pravočasno zaznavo in sporočanje kršitev z vsemi potrebnimi informacijami o varnostnem incidentu.