Ena izmed temeljnih nalog pooblaščene osebe za varstvo podatkov je svetovanje in spremljanje skladnosti pri upravljavcu oziroma obdelovalcu. Skladno z Uredbo, morata upravljavec in obdelovalec zagotoviti, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
Zaradi navedenega vas prosimo, da nas, tako v primeru notranje revizije, ki pokriva tudi varstvo osebnih podatkov, kot tudi ob sklepanju pogodb z novimi pogodbenimi obdelovalci (menjava računovodstva, e-hramba, marketing, digitalizacija poslovanja, nove oblačne storitve, e-hramba …) o tem obvestite. Ključno je da nas nemudoma obvestite tudi o vsaki kršitvi varstva osebnih podatkov.
Spomnimo, kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Na splošno ta kršitev pomeni varnostni incident, ki ogroža zaupnost, celovitost in dostopnost osebnih podatkov.
Primeri, ki se obravnavajo kot varnostni incident, kot jih navaja Informacijski pooblaščenec, so npr.:
- dostop do osebnih podatkov s strani nepooblaščene osebe;
- posredovanje osebnih podatkov napačnemu naslovniku;
- izguba ali kraja računalniške opreme (prenosni računalnik, USB ključek, itd., …), ki vsebuje osebne podatke;
- nepooblaščeno uničenje baz z osebnimi podatki;
- sprememba osebnih podatkov brez potrebnega dovoljenja;
- izguba dostopa do osebnih podatkov (izguba gesla; izguba opreme, ki omogoča dešifriranje; nepooblaščena namestitev šifrirnega programa, ki onemogoča dostop do podatkov, t.i. »izsiljevalski virus«) idr.
O vsaki kršitvi varstva osebnih podatkov je potrebno napraviti zapisnik, če pa je verjetno, da bo nastalo tveganje za pravice in svoboščine posameznikov, mora organizacija nemudoma, najkasneje pa v roku 72 h, o tem obvestiti Informacijskega pooblaščenca. V določenih primerih je potrebno tudi obveščanje posameznikov.
V primeru kršitve varstva osebnih podatkov vam bomo kot pooblaščena oseba za varstvo podatkov v veliko pomoč, zato je ključno, da smo o kršitvi (ali sumu na kršitev) nemudoma obveščeni.
Na oblaku, v mapi »Kršitve in inšpekcijski postopki«, so vam na voljo Navodila za ukrepanje in ravnanje v primeru kršitve varstva osebnih podatkov. S temi navodili organizacija svoje zaposlene seznani, kakšen je pravilen postopek v primeru zaznane kršitve varstva osebnih podatkov. V kolikor navodil še niste sprejeli in z njimi seznanili vse svoje zaposlene, vam svetujemo, da to čimprej naredite.