GDPR stručnjak Nandino Lončar napisao je za rep.hr članak o tome kako se ponašati u slučaju da se u tvrtki dogodi data breach, odnosno povreda podataka
Uz sve one procedure koje se trebaju definirati prilikom usklađivanja poslovnih procesa sa zahtjevima Opće uredbe o zaštiti podataka (General Data Protection Regulation - GDPR), ima i jedna o kojoj većina ne razmišlja i ne vodi računa. Sve dok ne nastane problem i dok nije kasno. Radi se, naravno, o povredi osobnih podataka (Data Breach). Takva se povreda može dogoditi svakome, od kozmetičkog salona ili taxi prijevoznika, do Facebooka i Googla. Povredu osobnih podataka ne možemo uvijek spriječiti, ali možemo biti spremni za takvu situaciju te brzo i organizirano reagirati.
Opća uredba definira povredu osobnih podataka kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. Člancima 33. i 34. Opće uredbe definirano je izvještavanje nadzornog tijela o povredi osobnih podataka i obavještavanje ispitanika o povredi osobnih podataka.
Što napraviti kada do povrede osobnih podataka dođe? Prije svega, potrebno je utvrditi izglednu štetu koja tim incidentom može nastati. Ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika, odnosno osoba o čijim se osobnim podacima radi, voditelj obrade mora bez odgađanja izvijestiti nadzorno tijelo (u Hrvatskoj je to Agencija za zaštitu osobnih podataka - AZOP) o povredi osobnih podataka, i to najkasnije u roku od 72 sata od saznanja o povredi. Navedeno izvještavanje treba sadržati opis povrede uz informacije o ispitanicima i osobnim podacima, opis vjerojatnih posljedica povrede, opis mjera koje su poduzete ili predložene za rješavanje povrede te kontakt točku voditelja obrade.
Ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode ispitanika, voditelj obrade dužan je informirati ispitanike o povredi osobnih podataka koristeći se jasnim i jednostavnim jezikom. Međutim, to neće biti potrebno ako je voditelj obrade primijenio zaštitne mjere (npr. enkripciju) kojima je spriječio korištenje kompromitiranih osobnih podataka, poduzeo naknadne mjere zaštite zbog kojih nije vjerojatan visok rizik ili ako bi kontaktiranje svakog ispitanika predstavljalo nerazmjeran napor, pri čemu je onda nužno ispitanike obavijestiti sredstvima javnog priopćavanja ili na drugi djelotvoran način. Povreduje potrebno zavesti u evidenciju povreda, obavijestiti AZOP i zatražiti anonimizaciju, vraćanje ili brisanje čim prije kako bi se što je više moguće umanjili rizici.
Primjer jednog takvog postupanja je hakerski napad na Tele2 tijekom kojeg su hakeri dobili uvid u podatke korisnika. Prema priopćenju iz Tele2, nakon saznanja o incidentu, prvo je forenzičkom analizom ustanovljeno kako nema dokaza da su hakeri preuzeli podatke koji su se nalazili na serverima. Navedeno je o kojim se sve podacima korisnika radi te da među tim podacima nisu podaci o bankovnim karticama korisnika. Nakon toga su sigurnosni incident prijavili AZOP-u te su obavijestili osobe koje su bile zahvaćene incidentom, odnosno čiji su osobni podaci kompromitirani. Istovremeno, kako navode, poduzeli su sve tehničke i sigurnosne mjere kako bi spriječili ponavljanje takvog incidenta.
Možemo razgovarati o razini sigurnosti koja je prethodila incidentu, no da nisu imali utvrđene procedure što i kako postupiti u ovakvoj situaciji i da se razdoblje reakcije produljilo, šteta za korisnike i za tvrtku mogla je biti daleko veća.
AZOP će po službenoj dužnosti istražiti prijavljeni incident, no to ne znači odmah i kaznu. Ako se utvrdi da je voditelj obrade prethodno poduzeo sve razumne i očekivane mjere sigurnosti te da je po saznanju o incidentu postupljeno prema definiranim koracima za slučaj povrede osobnih podataka, voditelj obrade neće biti kažnjen.
Usklađivanje s GDPR-om, između svega ostalog, uključuje i spremnost na sigurnosni incident i povredu osobnih podataka. Potrebno je unaprijed definirati što je sve u takvoj situaciji potrebno napraviti, tko to treba napraviti, koji su rokovi, koga treba obavijestiti i kako...