U medijima se naveliko govori o teškoćama koje vas mogu zadesiti ako prekršite GDPR, no stanje ipak nije tako kritično. Određena doza straha je, s druge strane, razumljiva i nadamo se da će to tvrtke natjerati da počnu razmišljati o prihvaćanju boljih metoda za zaštitu podataka kako do povreda uopće ne bi ni došlo.
Danas ćemo stoga istražiti nekoliko netočnih ili samo djelomično točnih tvrdnji koje se često mogu pročitati, a među poduzetnicima raspiruju strah. Možda vam ne bude lakše, ali barem ćete znati što se od vas zaista očekuje.
Nadzorno tijelo morate obavijestiti o svakoj povredi podataka
Premda je većina propisa u GDPR-u dosta stroga, ponegdje postoje male iznimke. Naprimjer, mada se često vjeruje da je svaku povredu podataka potrebno prijaviti nadzornom tijelu, to nije točno.
Obvezi obavještavanja ne podliježu povrede podataka za koje procijenite da ne nose značajan rizik za slobode i prava oštećenih ispitanika. U praksi to znači da ne morate prijaviti povrede kod kojih gubitak podataka kod osoba za posljedicu može imati samo minornu smetnju. Ako im ne bi značajno smetalo da se ti podaci nađu u ‘krivim’ rukama, onda se ta povreda smatra beznačajnom. S druge strane, ako možete zamisliti situaciju u kojoj bi se podaci mogli zlorabiti, recimo za krađu identiteta, potrebno je bez odlaganja reagirati i stupiti u kontakt s nadzornim tijelom.
Naravno, ako niste sigurni u važnost oštećenih podataka, kao što pretpostavljamo da će biti slučaj kod malih tvrtki, najbolje bi bilo svejedno prijaviti povredu. Zakonodavci će prije nego GDPR stupi na snagu objaviti konkretne smjernice za određivanje ozbiljnosti povrede. Problem je što su kazne jako velike, pa vas svaka greška može skupo koštati. S druge strane, i u interesu nadzornih tijela je da ih se ne zatrpava podacima o bezazlenim povredama.
Bilo kako bilo, nadzorna tijela o povredama morate obavijestiti odmah, a najkasnije u roku od 72 sata. Za ikakva kašnjenja morate imati dobar razlog te isti potkrijepiti dokazima.
Morate obavijestiti sve osobe čiji su podaci izloženi riziku
U čl.34. st.1. propisuje se da je potrebno obavijestiti sve osobe čiji su podaci izloženi ako bi ta povreda za posljedicu imala veliki rizik po prava i slobode fizičkih osoba, a obavijest morate dati bez odlaganja.
Nadalje, obavijest se mora sročiti na jednostavan i lako razumljiv način. Izbjegavajte previše zakonskih pojmova, i nemojte pokušati ‘uljepšavati’ činjenicu da je došlo do povrede i da postoje rizici. Nadzorna tijela na to zasigurno neće gledati blagonaklono.
Iz gorenavedenog se može iščitati da obavještavanje osoba nije potrebno ako je povreda niskog ili malog rizika po slobode i prava osoba, ali postoje još neke olakotne okolnosti čak i ako ste obvezni obavještavati.
Ako povreda podataka obuhvaća velik broj osoba, i ako bi iz tog razloga bilo vrlo nepraktično ili nemoguće obratiti se svakome ponaosob, dovoljnim se smatra i priopćenje putem medija. To može biti izjava za javnost ili obavijest na mrežnoj stranici tvrtke koju će korisnici vidjeti kad se prijave. Pobrinite se da vijest dopre do većine oštećenih osoba. Za tvrtku je osobito važan nastup direktora u javnosti.
Imajte na umu da je prag za obavještavanje osoba viši od praga za izvještavanje nadzornog tijela. Kod nekih povreda tako je potrebno obavijestiti nadzorno tijelo, ali ne i osobe. Ako ste koristili adekvatne mjere enkripcije ili pseudonimizacije, onda uopće ne morate obavještavati osobe jer se smatra da su podaci dovoljno osigurani.
Izvještavanje o povredi podataka može biti škakljivo, ali je potrebno.
Izvještaj o povredi podataka može sadržavati što god želite
Izbjegavanje navođenja određenih detalja prilikom izvještavanja javnosti ili nadzornih tijela možda zvuči primamljivo, ali u čl. 33. st. 3. jasno se navodi minimalan sadržaj svakog izvješća.
U izvješću morate navesti detalje kontakt osobe, dakle najčešće službenika za zaštitu osobnih podataka. Trebate opisati potencijalne posljedice i procijenjenu težinu povrede. Potom navedite mjere koje namjeravate poduzeti kako biste smanjili potencijalnu štetu i posljedice povrede.
Čak i ako ne posjedujete sve te podatke, svejedno pošaljite izvještaj. Podatke smijete dostavljati u fazama, kako ih budete saznavali. Bolje je odmah javiti što imate nego čekati sve detalje i propustiti rok od 72 sata.
Pojam povrede podataka odnosi se samo na hakiranje
Pojam ‘povreda podataka’ zvuči pomalo konfuzno svima koji ga po prvi put čuju jer navodi na dojam da se sve ovo odnosi samo na slučajeve kad hakeri ‘upadaju’ u sustave i kradu podatke za svoju korist. Međutim, termin se odnosi na „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani“ (čl. 4. st. 12.)
To znači da se i neodgovorno rukovanje podacima od strane zaposlenika smatra povredom podataka, kao i krađa laptopa, mobitela i sl. koji pripadaju tvrtki. Nepropisno brisanje podataka također u nekim okolnostima može predstavljati povredu (odlaganje nedovoljno uništenih tvrdih diskova i ostalih medija).
S povredama podataka lako se nositi
Potpuno pogrešno. Povrede podataka strašno su teške za riješiti. Ozbiljna povreda može ugroziti samu opstojnost tvrtke. Šteta po reputaciju može biti ogromna, šak kao i financijski gubici – odlazak klijenata i gubitak povjerenja. U nekim slučajevima mogu vas i tužiti.
Naveli smo toliko toga, a nismo se još ni dotakli kazni. Ako na vrijeme ne obavijestite nadzorno tijelo, možete dobiti kaznu od 10 milijuna eura ili 2 % ukupnog godišnjeg prihoda tvrtke, štogod je veće. Kod ozbiljnih prekršaja koji se tiču obrade i zaštite podataka kazne mogu biti i dvostruko veće.
Nikako nemojte zaboraviti na razdoblje od 72 sata, koliko imate za prijavu povrede. Iako ćete vjerojatno imati pune ruke posla s utvrđivanjem okolnosti povrede, ne smijete zaboraviti dokumentirati svoje postupke i izvijestiti nadzorna tijela.
Sve ovo znači da je najbolji način nošenja s povredama podataka taj da ih uopće ne doživite! Dobre politike zaštite podataka u tome vam mogu pomoći. Nemojte si dozvoliti da ugrozite opstanak tvrtke zbog jedne jedine povrede, jer čak i minimalnim ulaganjem u sigurnosne politike i usklađivanje s GDPR-om rješit ćete se većine daljnjih briga.
