Prijava kršitve varstva osebnih podatkov

Datum

27.03.2025

Številka

07121-1/2025/395

Kategorije

Obveščanje o kršitvah varnosti

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da imate preprost sistem glede zaznavanja vdorov do baz osebnih podatkov. S sledenjem svojih mailov in uporabniških računov lahko ugotovite, ko pride do izgube baz na spletnih straneh (npr. do vdora, kraje in zlonamerne prodaje osebnih podatkov). V enem primeru ste ob zaznavi obvestili lastnika baze, ki vas je ignoriral. Želite, da se o vdoru obvesti oškodovane in kaznuje podjetja, ne želite pa sami vztrajati pri lastniku baze, saj menite, da gre za zlonamerno prodajo podatkov. Sprašujete, kako lahko postopate v takih primerih, da se zaščitite pred maščevalnimi lastniki baz, hkrati pa dosežete informiranje in zaščito?

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Ob zaznani kršitvi varstva osebnih podatkov mora upravljavec oceniti tveganja za nastanek posledic, ki pa so odvisna od vsakokratnih konkretnih okoliščin. Od opravljene ocene je odvisno, ali bo treba o kršitvi obvestiti IP. Če je torej verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, mora o tem obvestiti IP (brez nepotrebnega odlašanja in najpozneje v 72 urah po seznanitvi s kršitvijo); če ni verjetno, potem obveščanje ni potrebno. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec, skladno s prvim odstavkom 34. člena Splošne uredbe o kršitvi brez nepotrebnega odlašanja obvestiti tudi zadevne posameznike.

Če v konkretnem primeru menite, da gre za kršitev varstva osebnih podatkov, lahko pri IP podate prijavo (podana je lahko tudi anonimno). Predlagamo vam, da kršitev konkretizirate in priložite ustrezne dokaze, da bo IP lahko prijavo obravnaval.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Če menite, da je v konkretnem primeru prišlo do kršitve varnosti osebnih podatkov, glede katere upravljavec ni izpolnil obveznosti po Splošni uredbi, lahko pri IP podate prijavo (podana je lahko tudi anonimno). Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na spletni strani IP, na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Predlagamo vam, da kršitev konkretizirate in priložite ustrezne dokaze, da bo IP lahko prijavo obravnaval.

Splošna uredba in ZVOP-2 pa ob zaznanih kršitvah varnosti osebnih podatkov upravljavcem nalagata določene obveznosti, ki jih pojasnjujemo v nadaljevanju.

V skladu z 12. točko 4. člena Splošne uredbe pomeni kršitev varstva osebnih podatkov kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

V primeru zaznave kršitve mora upravljavec glede na konkretne okoliščine oceniti verjetnost in resnost posledic za pravice in svoboščine posameznika. Verjetnost je povezana z možnostjo nastanka posledic, resnost pa s škodo, ki jo kršitev lahko povzroči posameznikom. Skladno z uvodno določbo 85 Splošne uredbe kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena revizija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katerakoli druga znatna gospodarska ali socialna škoda.

Od opravljene ocene je torej odvisno, ali bo treba o kršitvi obvestiti IP. Če je verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, mora upravljavec o tem obvestiti IP; če ni verjetno, potem obveščanje ni potrebno. Upravljavec mora skladno s prvim odstavkom 33. člena Splošne uredbe o kršitvi varstva osebnih podatkov uradno obvestiti nadzorni organ (v Sloveniji je to IP) brez nepotrebnega odlašanja in najpozneje v 72 urah po seznanitvi s kršitvijo. Tudi v primeru, ko upravljavec oceni, da ni verjetno, da bodo pravice in svoboščine posameznikov zaradi kršitve ogrožene, mora biti sposoben svojo odločitev utemeljiti, zato je vse zaznane kršitve priporočljivo dokumentirati.

Ob zaznani kršitvi mora upravljavec najprej izvedeti, kaj se je zgodilo, oceniti, kakšne so potencialne škodljive posledice za pravice in svoboščine posameznikov in sprejeti ustrezne ukrepe za odpravo posledic ali vsaj zmanjšanje tveganj. Temu sledijo tudi informacije, ki jih mora vsebovati uradno obvestilo o kršitvi:

-opis vrste kršitve, kategorije in približno število posameznikov, na katere se nanašajo osebni podatki, vrste in približno število evidenc osebnih podatkov;

-kontaktni podatki pooblaščene osebe za varstvo podatkov;

-opis verjetnih posledic kršitve varstva osebnih podatkov in

-opis ukrepov, ki jih je upravljavec sprejel ali pa predvidenih ukrepov za ublažitev tveganj za kršitve.

Ob prijavi kršitve IP si lahko upravljavec pomaga z obrazcem »Obrazec - Uradno obvestilo o kršitvi varnosti osebnih podatkov (člen 33 Splošne uredbe)«, ki je dostopen na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec, skladno s prvim odstavkom 34. člena Splošne uredbe o kršitvi brez nepotrebnega odlašanja obvestiti tudi zadevne posameznike. Posameznike je potrebo obvestiti neposredno, razen ko bi to zahtevalo nesorazmeren napor. V takem primeru lahko upravljavec posameznike obvesti preko javnega sporočila ali podobnega ukrepa, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

Opozarjamo tudi na določbo 23. člena ZVOP-2, ki ureja varnost osebnih podatkov na področju posebnih obdelav (npr. kadar upravljavec kot temeljno dejavnost izvaja obsežne obdelave osebnih podatkov ali obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov), ki se dotika tudi prijave kršitev oziroma priglasitve incidentov. Več informacij o tem, kakor tudi drugih informacij o prijavi kršitve varstva lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/prijava-kršitev.

IP dodaja še, da je v skladu z določili Splošne uredbe in ZVOP-2 neukrepanje ob zaznavi kršitev varstva osebnih podatkov in neobveščanje nadzornega organa, ko je to potrebno, samostojna kršitev, za katero je predpisana globa.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo