Nazaj na glavno stran smernic za varstvo podatkov za organizatorje
Smernice za varstvo podatkov – vprašanje 11
Kaj storiti v primeru kršitve varstva osebnih podatkov?
Velja za scenarij 2 razen v zvezi z uporabo storitve Komisije za izmenjavo datotek.
Kršitev varstva osebnih podatkov pomeni kršitev varstva, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Obvestilo o kršitvi varstva podatkov
V primeru kršitve varstva osebnih podatkov predstavnik skupine organizatorjev brez odlašanja in načeloma najpozneje v 72 urah po seznanitvi s kršitvijo o njej obvesti pristojni organ za varstvo podatkov, razen če ni verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov.
Obvestilo mora zajemati vsaj:
- opis kršitve varstva osebnih podatkov, vključno s številom zadevnih podpisnikov in kategorijami zadevnih podatkov,
- ime in kontaktne podatke pooblaščene osebe za varstvo podatkov (ali druge ustrezne kontaktne točke),
- verjetne posledice kršitve varstva osebnih podatkov po preučitvi vsebine ter
- vse ukrepe, ki jih upravljavec sprejme za odpravo ali ublažitev kršitve.
Kadar informacij ni mogoče zagotoviti istočasno, se lahko zagotovijo postopoma brez odlašanja.
Predstavnik mora dokumentirati tudi dejstva, njihove učinke in že sprejete popravne ukrepe (ali ukrepe, ki jih je treba nujno sprejeti, pri čemer je treba zagotoviti njihovo načrtovanje).
Tveganja za pravice in svoboščine
Poleg tega morajo biti podpisniki, kadar je verjetno, da bo kršitev povzročila veliko tveganje za pravice in svoboščine podpisnikov, o tem ustrezno obveščeni, razen kadar:
- so zaradi izvedenih ukrepov (kot je šifriranje, če ključ ni ogrožen) podatki postali nerazumljivi ali če izvedeni ukrepi zagotavljajo, da ni več verjetno, da bi se tveganja uresničila, ali
- bi individualno obveščanje podpisnikov zahtevalo nesorazmeren napor. V takem primeru bi bilo namesto tega mogoče podpisnike obvestiti z javno objavo o kršitvi.
OPOMBA:
V primeru obdelave podatkov v okviru skupnega upravljanja s Komisijo in razen če je kršitev varstva osebnih podatkov mogoče pripisati ravnanju članov skupine organizatorjev, Komisija izpolnjuje zgoraj navedene obveznosti. Skupina organizatorjev bi morala po potrebi in kolikor je mogoče pomagati Komisiji pri obvladovanju kršitev varstva osebnih podatkov.
Sklici:
- Člena 33 in 34 GDPR
- Odgovori Komisije na pogosta vprašanja o varstvu podatkov – „Kaj je kršitev varstva podatkov in kaj moramo storiti v tem primeru?“
