Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Prijava kršitev varnosti

+ -

Na kratko

  • Splošna uredba uvaja dolžnost obveščanja nadzornega organa (Informacijskega pooblaščenca) o zaznanih kršitvah varnosti osebnih podatkov, če je (vsaj) verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje pa v 72 urah.
  • Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec kršitev sporočiti tudi posamezniku, na katerega se nanašajo osebni podatki.
  • Če ocenite, da kršitev ne bo povzročila velikega tveganja za pravice in svoboščine posameznikov, vendar pa navedeno tveganje po preučitvi obvestila o kršitvi ugotovi Informacijski pooblaščenec, vam lahko kljub vaši predhodni oceni Informacijski pooblaščenec naloži, da morate o kršitvi obvestiti posameznike.
  • Priporočljivo je, da imate vnaprej vzpostavljen (in dokumentiran) učinkovit sistem za zaznavanje in sporočanje kršitev. To bo zagotovilo skladnost s Splošno uredbo in pomagalo preprečevati posledice za posameznike ter odvrnilo nepotrebne sankcije zaradi kršitve obveznosti uradnega obveščanja.
  • Priporočljivo je beležiti in hraniti vse zaznane kršitve varstva osebnih podatkov, ne glede na potrebo po uradnem obveščanju.
  • OBRAZEC: Obvestilo o kršitvi
  • RELEVANTNE DOLOČBE SPLOŠNE UREDBE
    člena: 33, 34
    uvodne določbe: 85-88
  • RELEVANTNE DOLOČBE ZVOP-2
    člen: 23
  • OBVEZNO BRANJE: 
    Smernice Evropskega odbora za varstvo podatkov v zvezi z uradnim obvestilom o kršitvi varnosti osebnih podatkov (WP250rev.01)
    Smernice Evropskega odbora za varstvo podatkov o kršitvi varnosti podatkov po Splošni uredbi (9/2022)
    Smernice Evropskega odbora za varstvo podatkov s primeri kršitev  (1/2021)
    INFOGRAFIKA: Prijava kršitev varnosti  - PDF | PNG | (angl.: PDF)

Kaj je kršitev varnosti osebnih podatkov v smislu 33. in 34. člena Splošne uredbe?

Kršitev varnosti osebnih podatkov v smislu 33. in 34. člena Splošne uredbe pomeni kršitev, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov. Kršitev je lahko storjena nehote (npr. iz malomarnosti) ali pa je načrtovana oziroma naklepna. Na splošno ta kršitev pomeni varnostni incident, ki ogroža zaupnost, celovitost in dostopnost osebnih podatkov.

Kršitve varnosti osebnih podatkov so v praksi lahko npr.:

  • dostop s strani nepooblaščene osebe;
  • posredovanje osebnih podatkov nepravemu naslovniku;
  • izguba ali kraja računalniške opreme, ki vsebuje osebne podatke;
  • nepooblaščeno uničenje baz z osebnimi podatki;
  • sprememba osebnih podatkov brez potrebnega dovoljenja;
  • izguba dostopa do osebnih podatkov (izguba gesla; izguba opreme, ki omogoča dešifriranje; nepooblaščena namestitev šifrirnega programa, ki onemogoča dostop do podatkov, t.i. »izsiljevalski virus«).

O katerih kršitvah je treba obvestiti Informacijskega pooblaščenca?

V primeru zaznave kršitve je treba oceniti dva ključna faktorja: verjetnost in resnost posledic za pravice in svoboščine posameznikov. Verjetnost je povezana z možnostjo nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom. Uvodna določba 85 Splošne uredbe opozarja, da lahko kršitev varnosti osebnih podatkov (če se ne obravnavajo ustrezno in pravočasno), posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda.

Negativne posledice za posameznika so torej lahko čustvena prizadetost (duševne bolečine), kot tudi fizična in premoženjska škoda. Nekatere kršitve morda ne bodo presegale niti morebitnih manjših neugodnosti za posameznike, medtem ko lahko druge kršitve na posameznike znatno vplivajo.

Ob zaznani kršitvi morate oceniti tveganja za nastanek posledic, ki pa so odvisna od vsakokratnih konkretnih okoliščin. Od te ocene je odvisno, ali bo treba o kršitvi obvestiti Informacijskega pooblaščenca. Če je verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, morate o tem obvestiti Informacijskega pooblaščenca; če ni verjetno, potem obveščanje ni potrebno.

Tudi ko ocenite, da ni verjetno, da bodo pravice in svoboščine ogrožene, pa morate biti sposobni svojo odločitev utemeljiti, zato je vse zaznane kršitve priporočljivo dokumentirati.

Prenesite obrazec za obveščanje nadzornega organa o kršitvi

Primer: Kraja baze podatkov strank, ki omogoča goljufijo ali krajo identitete, predstavlja resno tveganje za pravice in svoboščine posameznikov, o kateri bi bilo treba obvestiti Informacijskega pooblaščenca, saj je verjetno, da bodo v tem primeru posamezniki utrpeli finančne ali druge posledice.

Glede na zaznano kršitev je odgovornost upravljavca, da nemudoma oceni potencialno tveganje glede na to, kako resno lahko kršitev prizidane posameznike in kako verjetno je, da bodo posledice nastale. Podrobneje je ocena tveganj v primeru zaznanih kršitev opisana v smernicah Evropskega odbora za varstvo podatkov, poglavje VI Smernic v zvezi z uradnim obvestilom o kršitvi varstva osebnih podatkov.

Kakšni sta vloga in odgovornost obdelovalcev?

Obdelovalci so dolžni obvestiti upravljavca o vsaki kršitvi takoj, ko kršitev zaznajo. Obdelovalec mora upravljavcu zagotoviti tudi vse potrebne informacije za oceno tveganj posledic kršitve, ki bo določilo, ali mora upravljavec podati uradno obvestilo nadzornemu organu o kršitvi.

Primer: Upravljavec pri podjetju, ki nudi informacijske storitve (obdelovalec), koristi storitve hrambe in arhiviranja podatkov o njegovih kupcih. Obdelovalec zazna vdor v svoj informacijski sistem in nepooblaščen dostop do baz podatkov strank svojega naročnika - upravljavca. Obdelovalec incident nemudoma sporoči upravljavcu, ki nato o tem poda uradno obvestilo Informacijskemu pooblaščencu.    

Zahteva po obveščanju upravljavca o kršitvi mora biti vsebovana tudi v pogodbi o pogodbeni obdelavi osebnih podatkov (glej člen 28 (f) in (h) Splošne uredbe).

V kolikšnem času po kršitvi je treba obveščati?

Upravljavec mora o kršitvi obvestiti Informacijskega pooblaščenca brez odlašanja, najkasneje pa v 72 urah po zaznani kršitvi (prenesite obrazec za obveščanje o kršitvi).

Obdelovalec mora o kršitvi obvestiti upravljavca v najkrajšem možnem času po zaznani kršitvi.

Kdaj se šteje, da je bila kršitev »zaznana«, natančneje opredeljujejo smernice Evropskega odbora za varstvo podatkov (EDPB) v zvezi z uradnim obvestilom o kršitvi varnosti osebnih podatkov v poglavju II.

Da bi zadostili pogojem uradnega obvestila, mora upravljavec najprej izvedeti, kaj se je zgodilo, nato oceniti kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. V predvidenem času 72 ur včasih ni mogoče zagotoviti vseh potrebnih informacij o incidentu, kot zahteva uradno obvestilo iz 33. člena Splošne uredbe.

Iz navedenega razloga je Splošna uredba v členu 33(4) predvidela, da lahko informacije upravljavci posredujejo po fazah, vendar brez odlašanja. Od upravljavcev se pričakuje, da bodo svoje obveznosti v zvezi s preiskovanjem varnostnih incidentov izvedli prioritetno in hitro. Ne glede na to, pa je treba v roku 72 ur podati vsaj informacijo o zaznani kršitvi, izsledki notranje preiskave pa se lahko posredujejo kasneje. Upravljavci naj razlog za zamudo pri podaji popolnega obvestila o kršitvah posebej obrazložijo.

Katere informacije mora vsebovati obvestilo o kršitvi IP?

Ob zaznani kršitvi mora upravljavec najprej izvedeti, kaj se je zgodilo, oceniti, kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. Temu sledijo tudi informacije, ki jih mora vsebovati uradno obvestilo o kršitvi:

  • Opis vrste kršitve, kategorije in približno število posameznikov, na katere se nanašajo osebni podatki, vrste in približno število evidenc osebnih podatkov. 
  • Kontaktne podatke pooblaščene osebe za varstvo podatkov.
  • Opis verjetnih posledic kršitve varnosti osebnih podatkov.
  • Opis ukrepov, ki jih je upravljavec sprejel ali pa predvidenih ukrepov za ublažitev tveganj za kršitve.

Kako obvestimo nadzorni organ?

Minimalne zahteve, kaj mora vsebovati uradno obvestilo o kršitvi, predpisuje člen 33(3) Splošne uredbe. Informacijski pooblaščenec je pripravil neobvezen obrazec za podajo obvestila o kršitvi.

Opozarjamo tudi, da ko kršitev zadeva podatke posameznikov iz različnih držav članic EU, Informacijski pooblaščenec ne bo nujno pristojen za vodenje postopka kot 'vodilni nadzorni organ'. To pomeni, da lahko v svojem mehanizmu odziva na kršitve upoštevate tudi, kateri evropski nadzorni organ za varstvo osebnih podatkov nastopa v vašem primeru kot vodilni nadzorni organ. Več informacij glede vodilnega nadzornega organa lahko najdete v smernicah Evropskega odbora za varstvo podatkov: Smernice za določitev vodilnega nadzornega organa za upravljavce ali obdelovalce.

Kdaj je treba obvestiti posameznike?

Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, Splošna uredba zahteva, da upravljavec o kršitvi neposredno obvesti zadevne posameznike in da to stori brez odlašanja.

Za obveščanje posameznikov Splošna uredba postavlja standard 'veliko tveganje', ki je višja stopnja ogroženosti pravic in svoboščin posameznikov, kot velja za uradno obvestilo nadzornemu organu. Kot je že bilo poudarjeno, je treba stopnjo tveganja ocenjevati v vsakem primeru posebej, upoštevaje verjetnost nastanka posledic in resnost teh posledic. Treba je zlasti upoštevati, da je potreba po obveščanju večja, če obstaja velika verjetnost neugodnih posledic, pri tem pa lahko ukrep obveščanja zmanjša tveganje za nastanek teh posledic. Cilj in smoter zahteve po obveščanju posameznikov o kršitvi je prav v možnosti zmanjševanja tveganj za nastanek neugodnih posledic. Na ta način se torej pomaga posameznikom preprečiti neugodne posledice, ki bi sicer lahko pomenile tudi premoženjsko ali nepremoženjsko škodo (upravljavec je lahko odškodninsko odgovoren poleg sankcij, ki jih lahko izreče nadzorni organ).

Primeri:

Če pride do nepooblaščenega dostopa do zdravstvenih podatkov pacientov določene bolnišnice, je že zaradi narave podatkov tveganje za pravice in svoboščine pacientov visoko in bo verjetno treba posameznike o kršitvi obvestiti.

Če uslužbenec na fakulteti pomotoma izbriše evidenco kontaktov študentov posameznega letnika, baza pa je s pomočjo rezervne kopije ponovno vzpostavljena, takšna kršitev ne bo povzročila velikega tveganja za pravice in svoboščine posameznikov. Posledično obveščanje ne bo potrebno.

Če upravljavec oceni, da kršitev ne bo povzročila velikega tveganja za pravice in svoboščine, obstaja pa verjetnost da do posledic pride, lahko o kršitvi obvesti le nadzorni organ. Če nadzorni organ oceni, da je treba posameznike o kršitvi vseeno obvestiti, lahko naloži upravljavcu, da to stori.

Kaj je treba navesti v obvestilu posameznikom in kako jih je treba obvestiti?

Obvestilo posameznikom morate podati v jasnem in preprostem jeziku. V obvestilu opišete kršitev in sporočite vsaj:  

  • kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov (ali druge kontaktne osebe), pri kateri lahko posameznik prejme več informacij oziroma pojasnil o kršitvi,
  • informacijo o posledicah,
  • informacijo o sprejetih ali predlaganih ukrepih in kjer je to mogoče, dodatna pojasnila posameznikom, kako lahko sami zmanjšajo tveganje za nastanek posledic.

Posameznike morate obvestiti neposredno, le izjemoma, ko bi to zahtevalo nesorazmeren napor, lahko namesto tega objavite javno sporočilo ali izvedete podoben ukrep, s katerim bodo posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

Kaj se zgodi, če ne obvestite Informacijskega pooblaščenca?

Neukrepanje ob zaznavi kršitev varnosti osebnih podatkov in neobveščanje nadzornega organa, ko je to potrebno, je samostojna kršitev po Splošni uredbi, za katero je predpisana globa do 10 milijonov evrov oz. do 2% letnega prometa. Upravljavca lahko doleti kazen za kršitev in kazen, če ni izpolnil zahteve po obveščanju. Temu se dodajo tudi popravljalni ukrepi, ki jih lahko nadzorni organ naloži upravljavcu skladno s členom 58. Zato morate zagotoviti učinkovit interni postopek javljanja kršitev, ki bo omogočil pravočasno zaznavo in sporočanje kršitev z vsemi potrebnimi informacijami o varnostnem incidentu.

Ali ZVOP-2 prinaša kakšne spremembe na tem področju?

ZVOP-2 v 23. členu ureja varnost osebnih podatkov na področju posebnih obdelav, ki se dotika tudi prijave kršitev oziroma priglasitve incidentov.

1. odstavek 23. člena ZVOP-2 določa, da se za določene informacijske sisteme smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz Zakona o informacijski varnosti (Uradni list RS, št. 30/18 in 95/21; ZInfV), ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po Zakonu o informacijski varnosti.

Navedeno velja za informacijske sisteme, v katerih:

  1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
  2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali
  3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
  4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Kakšne so določbe o varnostnih zahtevah in priglasitvi incidentov iz Zakona o informacijski varnosti (ZInfV)?

ZInfV zahteve glede informacijske varnosti izvajalcev bistvenih storitev ureja na naslednji način:

  • 11. člen določa varnostne zahteve,
  • 12. člen ureja zahteve glede varnostne dokumentacija in varnostnih ukrepov,
  • 13. člen ureja priglasitev incidentov nacionalnemu CSIRT (CSIRT je skupina, ki se odziva na incidente na področju informacijske varnosti, sprejema prijave o kršitvah varnosti, izvaja analize in pomaga priglasiteljem pri obvladovanju incidentov. Več informacij o tovrstnih odzivnih centrih: https://www.gov.si/teme/informacijska-varnost/.

Informacijski pooblaščenec ni neposredno pristojen za nadzor na določbami ZInfV, temveč te naloge izvaja Urad vlade za informacijsko varnost (USRIV). Več informacij o ZinfV najdete na njihovi spletni strani.

2. odstavek 23. člena ZVOP-2 pa določa, da kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v zgoraj navedenih informacijskih sistemih, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci teh podatkov, da se preprečuje huda škodo varnosti in interesom Republike Slovenije, obdelave izvajajo tako, da se sistemsko onemogoča:

  • uničenje,
  • nezakonite spremembe osebnih podatkov ali
  • razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage