- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Prijava kršitve varstva osebnih podatkov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Prijava kršitve varstva osebnih podatkov
Datum
08.05.2023
Številka
07121-1/2023/603
Kategorije
Obveščanje o kršitvah varnosti
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da so med prazniki vdrli v računalnik enega od vaših sodelavcev iz tujine. Sodelavec je imel na svojem računalniku tudi podatke vaših strank, ki jih potrebujete za pošiljanje elektronskih obvestil, zato bi radi naredili prijavo o incidentu. Zanima vas, kakšen je postopek.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Ob zaznani kršitvi varstva osebnih podatkov mora upravljavec oceniti tveganja za nastanek posledic, ki pa so odvisna od vsakokratnih konkretnih okoliščin. Od opravljene ocene je odvisno, ali bo treba o kršitvi obvestiti IP. Če je torej verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, morate o tem obvestiti IP (brez nepotrebnega odlašanja in najpozneje v 72 urah po seznanitvi s kršitvijo); če ni verjetno, potem obveščanje ni potrebno.
Ob prijavi kršitve IP si lahko pomagate z obrazcem, ki je dostopen na spletni strani IP.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali gre v konkretnem primeru za kršitev varstva osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago.
V skladu z 12. točko 4. člena Splošne uredbe pomeni kršitev varstva osebnih podatkov kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
V primeru zaznave kršitve mora upravljavec glede na konkretne okoliščine oceniti verjetnost in resnost posledic za pravice in svoboščine posameznika. Verjetnost je povezana z možnostjo nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom. Skladno z uvodno določbo 85 Splošne uredbe kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena revizija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katerakoli druga znatna gospodarska ali socialna škoda.
Od opravljene ocene je torej odvisno, ali bo treba o kršitvi obvestiti IP. Če je verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, morate o tem obvestiti IP; če ni verjetno, potem obveščanje ni potrebno. Upravljavec mora skladno s prvim odstavkom 33. člena Splošne uredbe o kršitvi varstva osebnih podatkov uradno obvestiti nadzorni organ (v Sloveniji je to IP) brez nepotrebnega odlašanja in najpozneje v 72 urah po seznanitvi s kršitvijo. Tudi v primeru, ko upravljavec oceni, da ni verjetno, da bodo pravice in svoboščine posameznikov zaradi kršitve ogrožene, mora biti sposoben svojo odločitev utemeljiti, zato je vse zaznane kršitve priporočljivo dokumentirati.
Ob zaznani kršitvi mora upravljavec najprej izvedeti, kaj se je zgodilo, oceniti, kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. Temu sledijo tudi informacije, ki jih mora vsebovati uradno obvestilo o kršitvi:
-opis vrste kršitve, kategorije in približno število posameznikov, na katere se nanašajo osebni podatki, vrste in približno število evidenc osebnih podatkov;
-kontaktni podatki pooblaščene osebe za varstvo podatkov;
-opis verjetnih posledic kršitve varstva osebnih podatkov in
-opis ukrepov, ki jih je upravljavec sprejel ali pa predvidenih ukrepov za ublažitev tveganj za kršitve.
Ob prijavi kršitve IP si lahko pomagate z obrazcem »Obrazec - Uradno obvestilo o kršitvi varnosti osebnih podatkov (člen 33 Splošne uredbe)«, ki je dostopen na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec, skladno s prvim odstavkom 34. člena Splošne uredbe o kršitvi brez nepotrebnega odlašanja obvestiti tudi zadevne posameznike. Posameznike je potrebo obvestiti neposredno, razen ko bi to zahtevalo nesorazmeren napor. V takem primeru lahko upravljavec posameznike obvesti preko javnega sporočila ali podobnega ukrepa, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
Če je za vas relevantno opozarjamo tudi na določbo 23. člena ZVOP, ki ureja varnost osebnih podatkov na področju posebnih obdelav (npr. kadar upravljavec kot temeljno dejavnost izvaja obsežne obdelave osebnih podatkov ali obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov), ki se dotika tudi prijave kršitev oziroma priglasitve incidentov. Več informacij o tem, kakor tudi drugih informacij o prijavi kršitve varstva lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/prijava-kršitev.
IP dodaja še, da je v skladu z določili Splošne uredbe in ZVOP-2 neukrepanje ob zaznavi kršitev varstva osebnih podatkov in neobveščanje nadzornega organa, ko je to potrebno, samostojna kršitev, za katero je predpisana globa.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo