Glavni sadržaj
Europska građanska inicijativa

Smjernice za zaštitu podataka - 11. pitanje

Povratak na početnu stranicu Smjernica za zaštitu podataka za organizatore

 

Smjernice za zaštitu podataka - 11. pitanje

Što trebate učiniti u slučaju povrede osobnih podataka?

Primjenjuje se na 2. scenarij, osim pri upotrebi Komisijina sustava razmjene datoteka

Povreda osobnih podataka znači kršenje sigurnosti koje za posljedicu ima slučajno ili nezakonito uništenje, gubitak, izmjenu, neovlašteno otkrivanje osobnih podataka ili neovlašteni pristup osobnim podacima koji su preneseni, pohranjeni ili obrađeni.

Obavijest o povredi podataka

U slučaju povrede osobnih podataka, predstavnik skupine organizatora trebao bi o njoj bez odgode i u načelu najkasnije 72 sata nakon što za nju sazna obavijestiti nadležno tijelo za zaštitu podataka,osim ako nije vjerojatno da će ta povreda prouzročiti rizik za prava i slobode fizičkih osoba.

Obavijest mora sadržavati najmanje sljedeće:

  • opis povrede podataka, uključujući broj uključenih potpisnika i kategorije podataka na koje se povreda odnosi
  • ime i podaci za kontakt službenika za zaštitu podataka (ili druge relevantne kontaktne točke)
  • vjerojatne posljedice povrede podataka nakon razmatranja predmeta i
  • sve mjere koje je voditelj obrade poduzeo kako bi ispravio ili ublažio povredu.

Ako nije moguće istodobno dati informacije, one se bez odgode mogu davati u fazama.

Predstavnik također mora dokumentirati činjenice, njihove učinke i korektivne mjere koje su već poduzete (ili koje će se hitno poduzeti, uz plan njihova poduzimanja).

Rizici za prava i slobode

Nadalje, ako će povreda vjerojatno prouzročiti visok rizik za prava i slobode potpisnikâ, o tome se potpisnike mora obavijestiti, osim u sljedećim slučajevima:

  • provedene mjere (kao što je šifriranje, pod uvjetom da ključ nije ugrožen) učinile su podatke nerazumljivima ili osigurale da se rizici vjerojatno više neće pojaviti, ili
  • pojedinačna komunikacija s potpisnicima podrazumijevala bi nerazmjerne napore. U tom bi se slučaju umjesto pojedinačnih obavijesti potpisnicima mogla uputiti javna obavijest o povredi.

NAPOMENA:

Ako je obrada podataka provedena u okviru zajedničkog vođenja s Komisijom, prethodno navedene obveze ispunjava Komisija, osim ako se povreda podataka može pripisati ponašanju članova skupine organizatora. Skupina organizatora trebala bi pomoći Komisiji, ako je potrebno i u mjeri u kojoj je to moguće, u upravljanju povredama osobnih podataka.

Referentni dokumenti:

Zainteresirani ste za učenje i suradnju?