240 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
može dovesti do fizičke materijalne ili nematerijalne štete za pojedince čiji su podaci
Primjeri takve štete su diskriminacija krađa identiteta ili prijevara financijski gubitak i
narušavanje reputacije Kada povreda uključuje osobne podatke koji otkrivaju rasno ili
etničko podrijetlo politička mišljenja vjerska ili filozofska uvjerenja ili članstvo u
sindikatu ili uključuje genetičke podatke podatke koji se tiču zdravlja ili seksualnog
života ili kaznenih osuda i kažnjivih djela ili povezanih sigurnosnih mjera takve štete se
Uvodne odredbe 75 i 76 GDPR-a sugeriraju da općenito prilikom procjenjivanja rizika
treba uzeti u obzir i vjerojatnost i težinu rizika za prava i slobode ispitanika Nadalje
Treba zapamtiti da procjenjivanje rizika za ljudska prava i slobode kao rezultat povrede
ima drugačiji fokus za rizik razmotren kod neke DPIA-e) DPIA razmatra i rizike obrade
podataka koji se provode prema planu kao i rizike u slučaju povrede Kod razmatranja
potencijalne povrede gleda se u općenitom smislu na vjerojatnost da se to dogodi kao
i na štetu za ispitanika koja bi iz toga mogla proisteći drugim riječima to je procjena
hipotetskog događaja Kod stvarne povrede događaj se već dogodio tako da je fokus u
DPIA sugerira da predloženo korištenje posebnog sigurnosnog softverskog proizvoda za
zaštitu osobnih podataka jest prikladna mjera za osiguravanje razine sigurnosti koja je
obuzdavanje rizika za zaštićene osobne podatke i stoga bi se trebao ponovo procijeniti
Ranjivost kod proizvoda se kasnije iskorištava pa dolazi do povrede Voditelj obrade bi
trebao procijeniti specifične okolnosti povrede pogođene podatke i potencijalnu razinu
učinka na pojedince kao i to koliko je vjerojatno da će se taj rizik doista i ostvariti
Vrsta povrede koja se dogodila može imati učinka na razinu rizika nastalog za pojedince
422 Članak 32 Uredbe 6112013 pruža smjernice o čimbenicima koji bi se trebali uzeti u obzir u odnosu na obavijest o povredama u sektoru usluga elektroničkih komunikacija što može biti korisno u kontekstu obavještavanja prema GDPR-u Vidi httpeur-lexeuropaeuLexUriServLexUriServdouri=OJL201317300020008enPDF [original bilješka]
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
241 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
Primjer
Povreda povjerljivosti čime se medicinske informacije otkrivaju neovlaštenim
osobama mogu imati drugačiji sklop posljedica za pojedinca od povrede gdje se
medicinski podaci o pojedincu izgube pa više nisu dostupni
Priroda osjetljivost i obujam osobnih podataka
Naravno da kod procjene rizika ključni čimbenik je vrsta i osjetljivost osobnih podataka
koji su kompromitirani povredom Obično što su podaci osjetljiviji to je viši rizik štete
za pogođene ljude ali također treba uzeti u obzir i druge osobne podatke koji mogu već
biti dostupni o tom ispitaniku Primjerice otkrivanje imena i adrese pojedinca u
uobičajenim okolnostima vjerojatno neće izazvati značajnu štetu Međutim ako se
otkrije ime i adresa roditelja usvojitelja biološkom roditelju posljedice mogu biti vrlo
teške i za usvojitelje i za dijete
Povrede koje uključuju zdravstvene podatke identifikacijske dokumente ili financijske
podatke kao što su podaci s kreditne kartice mogu izazvati štetu sami po sebi ali ako
se koriste zajedno oni se mogu koristiti za krađu identiteta Kombinacija osobnih
podataka je u pravilu osjetljivija nego li pojedinačan osobni podatak
Neki tipovi osobnih podataka mogu se činiti na početku relativno bezopasni međutim
treba pažljivo razmotriti što ti podaci otkrivaju o pogođenom pojedincu Popis klijenata
koji primaju redovite dostave ne mora biti naročito osjetljiv ali neki podaci o klijentima
koji su zatražili da se njihove isporuke stopiraju za vrijeme godišnjeg odmora bi bili
korisne informacije za kriminalce
Slično tome malena količina osjetljivih podataka može imati velik učinak na pojedinca
a velik raspon pojedinosti može otkriti veći raspon informacija o tom pojedincu
Također povreda koja pogađa veliku količinu osobnih podataka o mnogim ispitanicima
može imati učinka na odgovarajuće velik broj pojedinaca
Lakoća identifikacije pojedinaca
Važan čimbenik za razmatranje je koliko će biti lako za osobu koja pristupi
kompromitiranim osobnim podacima identificirati pojedine osobe ili upariti podatke s
drugim informacijama kako bi se identificirali pojedinci Ovisno o okolnostima
identifikacija bi mogla biti moguća izravno iz osobnih podatka na kojima je počinjena
povreda bez potrebe za dodatnim istraživanjem radi otkrivanja identiteta pojedinca ali
bi i dalje moglo biti moguće pod određenim uvjetima Identifikacija može biti izravno ili
neizravno moguća iz podataka na kojima je počinjena povreda ali može također ovisiti
o specifičnom kontekstu povrede i javnoj dostupnosti povezanih osobnih pojedinosti
Ovo može biti više relevantno za povjerljivost i povrede dostupnosti
Kako je ranije navedeno osobni podaci zaštićeni odgovarajućom razinom enkripcije bit
će neprepoznatljivi neovlaštenim osobama bez ključa za dešifriranje Osim toga
pravilno provedena pseudonimizacija (definirana u Članku 4(5) kao bdquoobrada osobnih
podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez
uporabe dodatnih informacija pod uvjetom da se takve dodatne informacije drže
odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
242 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditirdquo)
može također umanjiti vjerojatnost da se pojedince identificira u slučaju povrede
Međutim ne može se smatrati da tehnike pseudonimizacije same po sebi čine podatke
data neprepoznatljivima
Težina posljedica za pojedince
Ovisno o prirodi osobnih podataka uključenih u povredu primjerice posebne kategorije
podataka potencijalna šteta za pojedince koja može rezultirati iz toga može biti
naročito teška posebice kada bi povreda mogla dovesti do krađe identiteta ili prijevare
fizičkog ozljeđivanja psihološke uznemirenosti poniženja ili narušavanja reputacije
Ako se povreda tiče osobnih podataka o osjetljivim pojedincima oni mogu biti stavljeni
pod veći rizik štete
Je li voditelj obrade svjestan da su osobni podaci u rukama ljudi čije su namjere
nepoznate ili moguće zlonamjerne može imati težinu za razinu potencijalnog rizika
Može doći do povrede povjerljivosti čime se osobni podaci otkrivaju trećoj strani kako
je definirano u Članku 4(10) ili drugom primatelju zabunom Ovo se može dogoditi
primjerice kada se osobni podaci pošalju slučajno u pogrešan odjel neke organizacije
ili učestalo korištenu organizaciju dobavljača Voditelj obrade može zatražiti primatelja
ili da vrati ili da sigurno uništi podatke koje je ovaj dobio U oba slučaja obzirom da
voditelj obrade ima trajan odnos s tom stranom te može poznavati njihove procedure
povijest i druge relevantne pojedinosti primatelj se može smatrati bdquoosobom od
povjerenjaldquo Drugim riječima voditelj obrade može imati stupanj sigurnosti s
primateljem tako da može razumno očekivati da ta strana neće pročitati ili pristupiti
podacima poslanima zabunom te da će poštivati upute o vraćanju istih Čak i ako se
podacima pristupilo voditelj obrade bi i dalje moguće vjerovao primatelju da neće
poduzeti nikakve daljnje radnje s time i da će vratiti podatke voditelju obrade brzo te
surađivati kod vraćanja podataka U takvim slučajevima to se može uračunati u
procjenu rizika koju voditelj obrade provodi nakon povrede ndash činjenica da je primatelj
osoba od povjerenja može ukloniti težinu posljedica povrede ali to ne znači i dalje da
se povreda nije dogodila Međutim ali to može s druge strane ukloniti vjerojatnost rizika
za pojedince čime se više ne traži obavještavanje nadzornog tijela ili ugroženih
pojedinaca Opet to će se razlikovati od slučaja do slučaja Neovisno o tome voditelj
obrade i dalje mora čuvati informacije koje se tiču povrede kao dio svoje opće dužnosti
voditi evidencije o povredama ( hellip )
Također treba uzeti u obzir trajnost posljedica za pojedince gdje se učinak može
sagledati kao veći ako su učinci dugotrajni
Posebne karakteristike pojedinca
Povreda može utjecati na osobne podatke koji se tiču djece ili drugih osjetljivih
pojedinaca koji mogu biti suočeni s većim rizikom opasnosti kao rezultat toga Mogu
postojati i drugi čimbenici o pojedincu koji mogu utjecati na razinu učinka povrede na
njih
Posebne karakteristike voditelja obrade
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
243 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
Priroda i uloga voditelja obrade i njihovih aktivnosti može utjecati na razinu rizika za
pojedince kao rezultat povrede Primjerice ustanova koja pruža medicinske usluge će
obrađivati posebne kategorije osobnih podataka što znači da postoji veća prijetnja za
pojedince ako dođe do povrede njihovih osobnih podataka u usporedbi s popisom
adresa pojedinaca kod dostave novina
Broj ugroženih pojedinaca
Povreda može utjecati samo na jednog ili nekolicinu pojedinaca ili pak stotine tisuća
ako ne i više Općenito što je veći broj pojedinaca pogođen to veći učinak povreda
može imati Međutim povreda može imati značajan učinak na čak jednog pojedinca
ovisno o prirodi osobnih podataka i kontekstu u kojem su isti kompromitirani Opet
ključno je razmotriti vjerojatnost i težinu učinka na one koji su pogođeni
Opći naglasci
Stoga kod procjene rizika koji vjerojatno proizlazi iz povrede voditelj obrade bi trebao
razmotriti kombinaciju težine potencijalnog učinka na prava i slobode pojedinaca i
vjerojatnost da se isti pojavi Očigledno kada su posljedice povrede teže rizik je veći a
slično tome kad je vjerojatnost da se to dogodi veća onda se i rizik povećava Ako
postoji sumnja voditelj obrade bi se trebao prikloniti pristupu opreznosti i obavijestiti
Prilog B daje neke korisne primjere različitih tipova povreda koje uključuju rizik ili visoki
rizik za pojedince
Agencija Europske unije za mrežnu i informacijsku sigurnost (ENISA) je izradila
preporuke za metodologiju procjene težine povrede koja može biti korisna voditeljima
i izvršiteljima obrade kod izrade svojeg plana za odgovor na upravljanje povredom423
- o ndash O ndash o -
Prilog
Primjeri povreda osobnih podataka i koga treba obavijestiti (iz WP29 Smjernica)
Primjer Obavještavanje
nadzornog tijela
Obavještavanje
ispitanika
Bilješke preporuke
i Voditelj obrade je
pohranio sigurnosnu
kopiju (backup)
arhive enkriptiranih
osobnih podataka na
USB ključu Ključ je
ukraden tijekom
provale
Ne Ne Dokle god su podaci
enkriptirani vrhunskim
algoritmom sigurnosne
kopije postoje
jedinstveni ključ nije
kompromitiran i podaci
se mogu u razumno
vrijeme vratiti to
423 ENISA Preporuke za metodologiju procjene težine povreda osobnih podataka httpswwwenisaeuropaeupublicationsdbn-severity [izvorna bilješka]
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
244 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
moguće nije povreda
koju treba prijaviti
Međutim ako kasnije
budu kompromitirani
obavještavanje je
potrebno
ii Voditelj obrade
ima mrežnu uslugu
Kao rezultat cyber-
napada na tu uslugu
osobni podaci
pojedinaca su
izvučeni
Voditelj obrade ima
klijente u samo
jednoj državi članici
Da obavijestite
nadzorno tijelo ako
postoje vjerojatne
posljedice za
pojedince
Da obavijestite
pojedince ovisno o
prirodi ugroženih
osobnih podataka
te ako je težina
vjerojatnih posljedica
za pojedince visoka
iii Kratak nestanak
struje u trajanju od
nekoliko minuta u
pozivnom centru
voditelja obrade što
znači da kupci ne
mogu zvati voditelja
obrade i pristupiti
svojim evidencijama
Ne Ne Ovo nije povreda koju
treba prijaviti ali i dalje
jest incident kojeg treba
zabilježiti po Članku
33(5)
Odgovarajuće evidencije
treba održavati voditelj
obrade
iv Voditelj obrade
pretrpi napad
ucjenjivačkim
softverom
(ransomware) što
dovodi do toga da su
svi podaci
enkriptirani Nikakve
sigurnosne kopije
nisu dostupne i
podaci se ne mogu
vratiti Nakon istrage
postaje jasno da je
jedina funkcionalnost
malicioznog softvera
bila enkriptirati
podatke te da nije
Da obavijestite
nadzorno tijelo ako
postoje vjerojatne
posljedice za
pojedince jer ovo jest
gubitak dostupnosti
Da obavijestite
pojedince ovisno o
prirodi ugroženih
osobnih podataka i
mogućem učinku
manjka dostupnosti
podataka kao i
njihovim vjerojatnim
posljedicama
Ako su bile dostupne
sigurnosne kopije
(backup) i podaci se
mogu vratiti u skorije
vrijeme to ne bi trebalo
prijaviti nadzornom tijelu
ili pojedincima jer ne bi
bilo trajnog gubitka
dostupnosti ili
povjerljivosti Međutim
ako je nadzorno tijelo
saznalo za incident
drugim putem može
razmotriti istragu da bi
provjerilo sukladnost sa
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
245 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
bilo drugog
malwarea u sustavu
širim zahtjevima za
sigurnost iz Članka 32
v Osoba telefonom
zove pozivni centar
banke da bi prijavio
povredu podataka
Pojedinac je zaprimio
mjesečni izvještaj za
nekoga drugoga
Voditelj obrade
poduzima kratku
istragu (tj završenu
unutar 24 sata) i
ustanovljuje s
razumnom
sigurnošću da se
povreda osobnih
podataka dogodila i
ima li sistemsku
grešku koja može
značiti da su i drugi
pojedinci bili ili bi
mogli biti ugroženi
Da Obavještava se samo
ugrožene pojedince
ako postoji visok rizik
i jasno je da drugi
nisu bili ugroženi
Ako nakon daljnje
istrage bude prepoznato
da je ugroženo više
pojedinaca moraju se
poslati ažurirane
informacije nadzornom
tijelu a voditelj obrade
poduzima dodatne
korake obavještavanja
drugih pojedinaca ako za
njih postoji visok rizik
vi Voditelj obrade
vodi mrežnu trgovinu
i ima klijente u više
Država članica
Trgovina pretrpi
cyber-napad tako da
napadač objavi
korisnička imena
lozinke i povijest
kupnji na mreži
Da obavijestite
vodeće nadzorno
tijelo ako to uključuje
prekograničnu
obradu
Da jer bi moglo
dovesti do visokog
rizika
Voditelj obrade bi trebao
poduzeti radnje tj
forsirajući ponovno
postavljanje lozinki za
ugrožene račune kao i
druge mjere za
ublažavanje rizika
Voditelj obrade bi
također trebao razmotriti
bilo koje druge obveze
obavješćivanja npr
sukladno NIS Direktivi
kao pružatelj digitalnih
usluga
vii Društvo koje
pruža usluge hostinga
mrežnih stranica
koje djeluje kao
Kao izvršitelj obrade
društvo koje pruža
usluge hostinga
mrežnih stranica
Ako nije vjerojatno
da će nastupiti visok
rizik za pojedince oni
Društvo koje pruža
usluge hostinga (izvršitelj
obrade) mora razmotriti
bilo koje druge obveze
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
246 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
izvršitelj obrade
identificira grešku u
kodu koji kontrolira
autorizaciju korisnika
Učinak greške znači
da bilo koji korisnik
može pristupiti
podacima o računu
bilo kojeg drugog
korisnika
mora obavijestiti
svoje ugrožene
klijente (voditelje
obrade) bez
nepotrebnog
odugovlačenja
Pretpostavljajući da
je društvo za usluge
hostinga mrežnih
stranica provelo svoju
vlastitu istragu
ugroženi voditelji
obrade bi razumno
trebali imati
povjerenja o tome je
li svaki od njih
pretrpio povredu i
stoga je vjerojatno
smatrati da je
bdquosaznaoldquo kad ih je
obavijestilo društvo
koje pruža usluge
hostinga (izvršitelj
obrade) Voditelj
obrade mora tada
obavijestiti nadzorno
tijelo
ne trebaju biti
obaviješteni
obavješćivanja (npr
sukladno NIS Direktivi
kao pružatelj digitalnih
usluga)
Ako nema dokaza da je
ova ranjivost iskorištena
kod bilo kojeg od
njegovih voditelja
obrade značajna
povreda se moguće nije
dogodila ali je vjerojatno
da je treba evidentirati ili
da biti predmet
nesukladnosti prema
Članku 32
viii Zdravstvene
evidencije u bolnici
su nedostupne u
trajanju od 30 sati
zbog cyber-napada
Da bolnica je dužna
obavijestiti o tome
jer se visok rizik za
dobrobit i privatnost
pacijenata može
dogoditi
Da obavijestite
pogođene pojedince
ix Osobni podaci
velikog broja
studenata su
pogreškom poslani
na pogrešan popis e-
adresa s 1000+
primatelja
Da obavijestite
nadzorno tijelo
Da obavijestite
pojedince ovisno o
broju i vrsti osobnih
podataka koji su
uključeni te o težini
mogućih posljedica
x E-poruka sadržaja
izravnog marketinga
da obavještavanje
nadzornog tijela
Da obavijestite
pojedince ovisno o
Obavijest ne mora biti
nužna ako nisu otkriveni
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
247 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
je poslana
primateljima pod
ldquotordquo ili ldquoccrdquo poljima
time omogućujući
primatelju da vidi
adrese e-pošte
drugih primatelja
može biti obvezno
ako je pogođen velik
broj pojedinaca ako
su otkriveni osjetljivi
podaci (npr adresar
psihoterapeuta s
adresama e-pošte
klijenata) ili ako drugi
čimbenici
predstavljaju visoke
rizike (npr e-pošta
sadrži početne
lozinke)
broju i vrsti
uključenih osobnih
podataka i težini
mogućih posljedica
nikakvi osjetljivi podaci i
ako je samo manji broj
adresa e-pošte otkriven
- o ndash O ndash o -
Douwe Korff amp Marie Georges
Priručnik za DPO-ove
248 (CC) Douwe Korff amp Marie GeorgesPRVI I DRUGI DIO ndash 1 izdanje ndash rujan 2018
7 ZADAĆA Istražna zadaća (uključujući rješavanje i internih i eksternih
pritužbi)
Bilješka Ova je zadaća odvojena i različita od rješavanja zahtjeva ispitanika za pristup ispravak itd
o čemu se govori u 8 zadaći
Istraga
Iako ovo nije izrijekom spomenuto u GDPR-u slijedi iz širokog opisa cjelokupnog položaja i
zadaća DPO-a ndash a posebice iz dužnosti DPO-a ldquopraćenje sukladnostirdquo s GDPR-om Čl 39(1)(b)
ndash da DPO može na vlastitu inicijativu ili na zahtjev uprave ili npr predstavničkog tijela
zaposlenika ili sindikata ili doista bilo kojeg pojedinca (iz organizacije ili bez organizacije ili čak
zviždača koji je nadajmo se zaštićen u dotičnoj državi) istražiti pitanja i događaje koji su
izravno vezani za zadaće DPO-a i povratno izvijestiti osobu ili tijelo koje je naručilo ili zatražilo
istragu iili vrhu uprave Kako ENZP navodi u svojem Radu o stajalištu na temu DPO-ova424
Praćenje sukladnosti ( hellip ) DPO treba osigurati primjenu Uredbe unutar institucije DPO
može na vlastitu inicijativu ili na zahtjev institucije ili tijela voditelja obrade odbora
zaposlenika ili bilo kojeg pojedinca istraživati predmete i događaje koji su izravno vezani
za zadaće DPO-a i povratno izvijestiti osobu koja je naručila istragu ili voditelja obrade
GDPR jasno kaže ndash premda koristeći manje izričit rječnik nego li u Prilogu uz uredbu o zaštiti
podataka u EU institucijama ndash da se DPO-ovima mora dati sve relevantne resurse i pristup
svim podacima i prostorijama instalacijama za obradu podataka i medijima za prijenos
podataka (sa svim relevantnim i potrebnim odobrenjima i ovlastima pristupa i zadržavanja
elektroničkih zapisa) koji su nužni za provođenje zadaća DPO-a (usp Čl 38(2)) tj također u
odnosu na takve istrage425 Slično tome iako je ovo opet izrijekom navedeno u odnosu na
DPO-ove europskih institucija nego li za DPO-ove prema GDPR-u svi zaposlenici dotičnog
voditelja obrade ndash a zapravo i bilo koje osoblje vanjskih agencija uključujući posebice
određene izvršitelje obrade (uključujući pružatelja usluga u oblaku koje koristi voditelj
obrade) ndash trebaju u cijelosti pomoći DPO-u kod bilo kojih takvih istraga i davati cjelovite
odgovore i informacije na bilo koja pitanja ili zahtjeve koje postavi DPO426 Voditelji obrade
bi trebali ovo učiniti eksplicitno jasnim u internim smjernicama za zaposlenike te trebaju
uključiti jasne odredbe u tom smislu u njihove ugovore s vanjskim pružateljima usluga i
izvršiteljima
Provedba
424 EDPS Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 452001 (bilješka 243 gore) p6 izvorni naglasak podebljanim slovima 425 Prilog uz Uredbu (EU) 452001 navodi DPO-ovi EU institucija ldquoće imati pristup u svako doba podacima koji predstavljaju predmet postupaka obrade i svim uredima instalacijama za obradu podatka i nosačima podatkardquo (Prilog Članak 4 druga rečenica) 426 Prilog uz Uredbu (EU) 452001 propisuje da ldquoSvaki voditelj obrade će trebati pomoći Službeniku za zaštitu podataka u obavljanju njegovihnjenih dužnosti i dati informacije kao odgovor na sva pitanjardquo (Prilog Čl 4 prva rečenica)