U središtu

Smjernice o načinu izvješćivanja u slučajevima povrede osobnih podataka

02.06.2021

Dana 18. siječnja 2021. Europski odbor za zaštitu podataka (EDPB; Odbor) objavio je Nacrt smjernica o načinu izvješćivanja u slučajevima povreda osobnih podataka (dalje u tekstu: Smjernice).¹ Javna rasprava zaključena je početkom ožujka ove godine.

Smjernice prvo daju opće, a potom konkretne preporuke u obliku osamnaest studija slučaja. Ove smjernice zapravo predstavljaju dodatak, odnosno dopunu već postojećih smjernica o načinu izvješćivanja u slučajevima povreda osobnih podataka koje je 2017. (revidirane 2018.) godine izdala EDPB-ova prethodnica, tzv. Radna skupina iz članka 29.²

Smjernice su značajne po tome što daju konkretne preporuke o određenim vrstama tehničkih i organizacijskih mjera koje bi voditelji obrade podataka trebali razmotriti kako bi se spriječile povrede osobnih podataka i smanjila njihova ozbiljnost. Točnije, opisuju šest uobičajenih vrsta povreda osobnih podataka (tj. ransomware napadi, napadi eksfiltracijom podataka, ljudski rizik, izgubljeni ili ukradeni uređaji i dokumenti, pogrešno poslani podaci i socijalni inženjering) kroz 18 studija slučaja. Kroz ove studije slučaja, EDPB nastoji pojasniti obveze organizacija u pogledu načina izvješćivanja i sanacije posljedica povreda.

Člankom 4. točka 12. Opće uredbe o zaštiti podataka, „povreda osobnih podataka“ definirana je kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Smjernice na početku ponavljaju da prema članku 33. Uredbe, voditelj obrade mora prijaviti povredu osobnih podataka nadležnom nadzornom tijelu (koje se mora dogoditi „bez neopravdanog odgađanja i, ako je to moguće, najkasnije 72 sata nakon što je saznao“), osim ako je „malo je vjerojatno da će rezultirati rizikom“ za prava i slobode pojedinaca.

S druge strane, obavještavanje ispitanika o povredi osobnih podataka prema dikciji članka 34. potrebno je samo ako je za takvu povredu „vjerojatno da će prouzročiti visoki rizik“ za prava i slobode pojedinaca. Smjernice također ističu obvezu vođenja internih evidencija povreda u svakom pojedinom slučaju.

Ukratko, citirani članci Uredbe zahtijevaju od voditelja obrade podataka da u vrlo kratkom vremenskom roku pažljivo procijeni rizike od određenog incidenta i odluči je li obavješćivanje potrebno – što je odluka koja može imati dalekosežne posljedice.

Odbor navodi da postojeće Smjernice o izvješćivanju u slučaju povrede osobnih podataka „ne rješavaju sva praktična pitanja dovoljno detaljno“. Kao rezultat toga, EDPB je ove Smjernice proširio na studije slučaja i detaljnije preporuke, kako bi poslužili kao praktični izvor za pomoć organizacijama u usklađivanju.

Smjernice ističu potrebu da se organizacije unaprijed adekvatno pripreme za situacije povreda osobnih podataka. Voditelj obrade trebao bi svakako imati planirane postupke za postupanje u slučaju eventualnih povreda osobnih podataka kao i jasne linije izvješćivanja i odrediti osobe odgovorne za određene aspekte postupka oporavka.

Europski odbor u objavljenim Smjernicama poziva organizacije da primijene plan odgovora na nezgode, plan oporavka od katastrofe, plan kontinuiteta poslovanja i "Priručnik o postupanju u slučaju povreda osobnih podataka"³ za osposobljavanje, obrazovanje i podizanje svijesti među zaposlenicima.

Iako su slučajevi opisani u Smjernicama fiktivni, pruženi primjeri odražavaju zajednička tipična iskustva nacionalnih nadzornih tijela od kada je Opća uredba o zaštiti podataka stupila na snagu.

Opće preporuke

Obveza izvješćivanja nacionalnog nadzornog tijela bez nepotrebnog odgađanja. EDPB napominje da u slučajevima visokog rizika prijavljivanje povreda u roku od 72 sata, predviđenog Općom uredbom, može biti nezadovoljavajuće; ključ je obavijestiti o povredama osobnih podataka "bez nepotrebnog odgađanja", a za takve rizične slučajeve može biti potrebna ranija obavijest (točka 24.).

Obavještavanje ispitanika kao primjer dobre prakse u određenim slučajevima koji nisu visokog rizika. Iako sve situacije povreda osobnih podataka ne pokreću obvezu obavješćivanja ispitanika, Odbor napominje da je ono uputno ili potrebno za određene vrste povreda. Na primjer, bivši zaposlenik možda je kopirao podatke o kontaktima kupaca stečene tijekom zaposlenja i namjerava ponuditi usluge svog novog biznisa takvim kontaktima. U tom slučaju, EDPB preporučuje proaktivno kontaktiranje kupaca u vezi s curenjem podataka, umjesto da ispitanici o tome saznaju iz postupaka bivšeg zaposlenika (točka 77.).

Kontekst je presudan, čak i ako povreda uključuje osjetljive podatke. Europski odbor za zaštitu podataka napominje da povrede koje se tiču osjetljivih podataka ne rezultiraju automatski obvezom obavješćivanja ispitanika. Kako bi utvrdile trebaju li obavijestiti pogođene pojedince, organizacije bi trebale procijeniti rizike i utjecaje izazvane povredom. Prema Odboru, povrede koje uključuju popis prehrambenih preferencija ispitanika možda neće zahtijevati njihovo obavješćivanje ako je rizik za prava i slobode pojedinaca nizak, čak i ako su u pitanju zdravstveni podaci (Smjernice tu daju primjer osobnih podataka proslijeđenih greškom, koji su sadržavali podatke o sudionicima seminara od kojih su dvoje patili od intolerancije na laktozu. Odbor smatra (točka 115.) da u tom konkretnom slučaju povreda ne bi rezultirala visokim rizikom za prava tih ispitanika, a niti se na temelju tih podataka može zaključivati išta više o osobama čiji su zdravstveni podaci u konkretnom slučaju učinjeni dostupnima trećim osobama).

Procjene rizika ne bi trebale ovisiti o forenzičkim izvještajima. Voditelji obrade bi trebali procijeniti rizike koji proizlaze iz povrede osobnih podataka čim postanu toga svjesni, te u skladu s time odlučiti treba li obaviti obavješćivanje. Smjernice naglašavaju da svakako ne bi trebali prvo čekati detaljno forenzičko izvješće (točka 9.).

Faktori relevantni za procjenu radi li se o povredi visokog ili niskog rizika ovise o:

- prirodi, obujmu i vrsti osobnih podataka i potencijalnom učinku na prava ispitanika; kod gubitka osjetljivih kategorija podataka, podataka koji otkrivaju detalje o privatnom životu pojedinca ili podataka koji mogu dovesti do krađe identiteta ili financijskih gubitaka je veća vjerojatnost da će iziskivati obvezu obavješćivanja

- vrsti neautoriziranog pristupa; neovlašteni pristup podacima kod kojeg se nije dogodila ekstrakcija podataka je slučaj nižeg rizika nego u situacijama kada su podaci eksfiltrirani

- tome kakva razina tehničke zaštite osobnih podataka je primijenjena; ako podaci nisu bili propisno enkriptirani uz korištenje najnovijih tehnika, povreda osobnih podataka će u tom slučaju vjerojatnije rezultirati višim rizikom za prava ispitanika

Preventivne i ublažavajuće mjere. Smjernice preporučuju, prema vrsti povrede, primjene specifičnih mjera prevencije i ublažavanja posljedica povreda. Na primjer, Odbor naglašava važnost ažurnih programa obuke i osvješćivanja zaposlenika, politika pristupa podacima i odgovarajućih sigurnosnih mjera (poput šifriranja i redovitih sigurnosnih kopija). Nadalje, organizacije bi trebale provesti postupak kojim se dodjeljuju odgovornosti za rješavanje situacija povreda podataka. Isto tako, trebale bi razmotriti mogućnost revidiranja svojih postupaka zaštite podataka u odnosu na ove preporučene mjere.

Specifične smjetnice - studije slučaja

Smjernice uključuju 18 studija slučaja koje ilustriraju ono što EDPB smatra odgovarajućom procjenom rizika i rezultirajućim obvezama prijavljivanja za šest glavnih kategorija povreda. Za svaki primjer, EDPB uzima u obzir:

- mjere koje je voditelj obrade uspostavio (ako ih ima) kako bi zaštitio osobne podatke i spriječio povredu;

- okolnosti u kojima je povreda nastala;

- rezultirajući rizik temeljen na gore navedenim čimbenicima;

- korake za ublažavanje posljedica povreda koje treba poduzeti voditelj obrade; i obveze voditelja koje slijede iz toga.

Odbor preporučuje, između ostaloga

- imati najnovije i ažurirane programe za enkripciju i upravljanje lozinkama i ključevima

- redovno ažurirati softver i hardver

- koristiti metode dvostruke autentifikacije i ažurnu politiku lozinki

- sistematski vršiti reviziju IT sustava i procjene ranjivosti

- koristiti centralizirano upravljanje uređajima sa minimalnim ovlaštenjima krajnjih korisnika da instaliraju softver

- izbjegavati pohranjivanje osjetljivih podataka na mobilne uređaje i tvrde diskove

- periodično implementirati programe treninga, edukacije i poticanja svijesti zaposlenika o privatnosti i obvezama u vezi sigurnosti, te o načinu detektiranja i prijavljivanja prijetnji sigurnosti osobnih podataka, itd.

Studije slučaja iz Smjernica svakako mogu poslužiti kao korisna mjerila za organizacije koje traže veću jasnoću o vrstama podataka koji zadovoljavaju prag za prijavu i onima za koje to nije potrebno. Međutim, u svakom slučaju ne otklanjaju potrebu za detaljnom analizom svakog pojedinog slučaja.

U nastavku se navode glavni zaključci po vrstama povreda prava osobnih podataka, kao i primjeri mjera koje Odbor preporučuje za prevenciju i saniranje povreda.

Ransomware napad. Ransomware je posebna vrsta zlonamjernog softvera koji iznuđuje novčanu otkupninu od svojih žrtava, tako što im zaprijeti da će objaviti, obrisati ili zabraniti pristup važnim osobnim podacima. Pri procjeni rizika koji proizlazi iz ransomware napada, organizacija bi trebala posebno razmotriti može li brzo vratiti podatke pomoću sigurnosnih kopija. U primjeru koji daju Smjernice, tijekom ransomware napada na bolnicu, podaci o pacijentima postali su nedostupni nekoliko dana. Došlo je do odgađanja i otkazivanja zakazanih operacija, i pala je razina usluge koju je bolnica mogla pružiti zbog napada. Nadzorno tijelo bolnice je tu situaciju tretiralo kao "visoki rizik", zbog čega je bilo potrebno pokrenuti obvezu obavještavanja nacionalnog nadzornog tijela i ispitanika.

Napad eksfiltracijom podataka. Eksfiltracija podataka (eng. data exfiltration) je neautorizirani transfer podataka sa računala ili nekog drugog uređaja. Transfer podataka može biti manualan, od nekoga tko ima fizički pristup tom uređaju, ili automatiziran, izvršen preko zlonamjernog softvera (malware) putem mreže.

Elementi za procjenu rizika koji proizlaze iz napada eksfiltracijom podataka uključuju procjenu o tome mogu li napadači izmijeniti podatke u sustavu, može li organizacija oporaviti podatke i ima li negativnih utjecaja na pojedince koji proizlaze iz vrste podataka ili izvora. EDPB opisuje napad eksfiltracijom podataka na agenciju za zapošljavanje, što je rezultiralo curenjem osobnih podataka dostavljenih putem mrežnih obrazaca za prijavu za posao. Veliki problem bio je i u tome da je malware pomoću kojeg je izvršena eksfiltracija otkriven tek mjesec dana nakon instalacije. O povredi je trebalo obavijestiti nacionalno nadzorno tijelo i pogođene pojedince, jer je postojala opasnost za zlouporabu podataka na više načina. Jednako kao u slučaju ransomware napada, reevaluacija sigurnosti informacijskog sustava je obvezna za voditelje obrade podataka (točka 69.).

Ljudi kao interni izvor rizika. EDPB primjećuje da su namjerne ili nenamjerne situacije povreda osobnih podataka od strane osoblja relativno česta, iako rezultirajući rizik može biti nizak ako je do povrede došlo nenamjerno i ona se može učinkovito sanirati. Međutim, voditelj obrade ne bi smio pretpostaviti da je rizik nizak ako nije apsolutno uvjeren da povreda neće rezultirati zlouporabom podataka (npr. ako zaposlenik koji odlazi osnovati svoje poduzeće namjerno kopira CRM podatke kompanije za vlastite potrebe). Politike i kontrole pristupa zaposlenika mogu pomoći u zaštiti u takvim situacijama.

Izgubljeni ili ukradeni uređaji. Prema EDPB-u, nacionalnim nadzornim tijelima i pogođenim ispitanicima obično će trebati biti prijavljen gubitak ili krađa nešifriranih podataka, posebno ako se radi o osjetljivim podacima. Može biti teško uopće izvršiti procjenu rizika, ako uređaj nije više dostupan. Ako izvršitelj obrade može na daljinu obrisati izgubljeni ili ukradeni uređaj, rizik će biti manji i obavijest možda neće biti potrebna. Za mobilne uređaje kao što su tableti i prijenosna računala, EDPB preporučuje uključivanje funkcionalnosti koje im omogućuje lociranje u slučaju gubitka ili gubitka položaja. EDPB također preporučuje upotrebu aplikacija za šifriranje i upravljanje mobilnim uređajima. Voditelji obrade bi također trebali implementirati pravilnu regulaciju upotrebe uređaja unutar i izvan kompanije. EDPB nadalje preporučuje da kompanije ne bi smjele pohranjivati osobne podatke na mobilne uređaje, već na pozadinski poslužitelj. Najtežu povredu Odbor opisuje u primjeru ukradenih dokumenata sa osjetljivim osobnim podacima ispitanika koji su bili pohranjeni samo u fizičkom (papirnatom) obliku, bez ikakvih prethodnih sigurnosnih mjera, i bez ikakvih sigurnosnih kopija. Ugrožena je povjerljivost, dostupnost i integritet osobnih podataka, te je bilo potrebno izraditi internu evidenciju (u smislu članka 33. stavak 5. Uredbe), obavijestiti nadležno nadzorno tijelo i pojedince odnosno ispitanike o čijim podacima se radi.

Slanje pogrešnom (neovlaštenom) primatelju. Slanje osobnih podataka pogrešnom primatelju još je jedna uobičajena vrsta povrede osobnih podataka koja se analizira u Smjernicama. Europski odbor za zaštitu podataka navodi da će organizacije možda morati prijaviti slučajeve takvih povreda nadzornim tijelima i pojedincima. Međutim, ako je zahvaćeno samo nekoliko pojedinaca i ako se nenamjerno otkriju minimalni neosjetljivi podaci, obično će biti dovoljno da se od primatelja zatraži da izbrišu / unište podatke koje su dobili. EDPB preporučuje preventivne mjere poput odgovarajuće obuke osoblja o zaštiti podataka, primjene funkcija kašnjenja poruka i onemogućavanja upotrebe automatskog dovršavanja teksta prilikom upisivanja adresa e-pošte.

Socijalni inženjering. Napadi socijalnog inženjeringa uključuju zlonamjerne aktere koji dobivaju pristup osobnim podacima na prijevaran način, kao na primjer, krađom identiteta ili lažnim predstavljanjem. Kao primjere socijalnog inženjeringa odbor navodi dva tipična slučaja.

U prvom slučaju opisuje se scenarij u kojem je napadač preusmjerio račune za telefon na drugu adresu koja nije stvarna adresa korisnika. Nakon mjesec dana, a nakon što se telekomunikacijskoj kompaniji obratio pravi klijent, shvatili su da su podaci promijenjeni na temelju zahtjeva lažnog korisnika, te je poništena izvršena promjena adrese.

Radi se o povredi koja predstavlja visok rizik za prava ispitanika jer takvi podaci daju informacije o privatnom životu ispitanika i mogu dovesti i do konkretne štete, a mogu biti upotrijebljeni i u drugim vrstama socijalnog inženjeringa. Preporuka je primijeniti više-faktorsku autentifikaciju, koja ima zadovoljavajući stupanj sigurnosti da je autentificirani korisnik pravi korisnik. Odgovornost je voditelja obrade da odabere odgovarajuću sigurnosnu mjeru kao osoba koja najbolje poznaje zahtjeve svojih internih operacija.

U drugom slučaju napadač je putem eksfiltracije preko e-mail računa jednog lanca hipermarket došao do podataka 99 zaposlenika lanca (radilo se o podacima kao što su ime i visina plaće, podaci o radnim satima i slično za 89 ispitanika, te ime, bračno stanje, broj djece, visina plaće, broj odrađenih radnih sati sa dokumenta o obračunu plaće za 10 zaposlenika čiji je radni odnos prestao, s time da je voditelj obrade o povredi obavijestio samo ovih 10 zaposlenika, dok ostalih 89 nije obavijestio), te predstavljajući se kao dobavljač, bankovni račun dobavljača izmijenio u svoj bankovni račun. Kompanija je u međuvremenu izdala nekoliko faktura sa takvim izmijenjenim podacima o računu lažnog dobavljača i izvršila plaćanja.

O povredi se u konkretnom slučaju moraju obavijestiti svi ispitanici (ovakva povreda osobnih podataka može dovesti do krađe identiteta ili prijevare, a podatke se može isto tako iskoristiti u, primjerice, phishing napadima). S obzirom na činjenicu da je povreda razotkrila značajne probleme u sigurnosnom sustavu voditelja obrade, potrebno je da se što prije riješe ti izazovi. Voditelji obrade koji upravljaju osjetljivim informacijama svakako imaju, navodi Odbor, veći stupanj odgovornosti u smislu pružanja i osiguravanja adekvatne sigurnosti takvih osobnih podataka.

Tihana Kozina Barišić

_________________________
^ 1 https://edpb.europa.eu/sites/edpb/files/ consultation /edpb_guidelines_202101 _databreachnotificationexamples_v1_en.pdf

^ 2 https://ec.europa.eu/newsroom/article29/items/612052

^ 3 Eng. Handbook on Handling Personal Data Breach.

U središtu

Uz novelu Zakona o sudovima iz 2024. – o obvezi javne objave svih sudskih odluka Postoji percepcija kod pripadnika šire pravosudne zajednice, kod medija i srodnih institucija te javnosti uopće da postoji nedostatak transparentnosti u slučaju odluka koje donose sudovi. Cilj je rada analizirati dodatne napore koje je zakonodavac uložio u Noveli Zakona o sudovima iz 2024. kako bi... 22.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 4. epizoda (rasprava i rješavanje spora bez rasprave; radnje u sporu) U prethodnoj epizodi serijala bavili smo se dokazivanjem u upravnome sporu. 1 U ovoj epizodi donosimo glavne novosti na području rasprave 2 i rješavanja upravnoga spora bez rasprave, te radnji u sporu. 19.04.2024 Osvrt na Zakon o sportu i Pravilnik o preoblikovanju sportskog kluba – udruge za natjecanje u sportsko dioničko društvo Važeći Zakon o sportu omogućuje preoblikovanje sportskog kluba – udruge za natjecanje u sportsko dioničko društvo. Način, rokovi te druga pitanja značajna za provedbu preoblikovanja sportskog kluba – udruge za natjecanje u sportsko dioničko društvo sada regulira podzakonski akt, Pravilnik o preo... 18.04.2024 Kadrovske promjene nakon raspisanih parlamentarnih izbora Autorica u članku aktualizira pitanje kadrovskih promjena u državnim tijelima u postupku primopredaje državne vlasti, osobito pitanje u kojem razdoblju traje zabrana kadrovskih promjena, s obzirom na raspuštanje Hrvatskoga sabora i raspisane parlamentarne izbore. 15.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 3. epizoda (dokazivanje u upravnome sporu) U prethodnoj epizodi serijala bavili smo se odgodnim učinkom tužbe, privremenim mjerama, te tužbom i tužbenim zahtjevom. 1 U ovoj epizodi donosimo glavne novosti na području dokazivanja (utvrđivanja) činjenica odlučnih za rješavanje spora. 12.04.2024 Novine u sustavu plaća i drugih materijalnih prava pravosudnih dužnosnika Plaće i druga materijalna prava pravosudnih dužnosnika u Republici Hrvatskoj uređeni su Zakonom o plaći i drugim materijalnim pravima pravosudnih dužnosnika (u nastavku teksta: Zakon) 1 . Taj Zakon mijenjan je i dopunjavan više puta, s tim da je značajna intervencija u Zakon izvršena 2014. godi... 11.04.2024 O (ne)mogućnosti imenovanja stečajnog upravitelja u stečajnom postupku nad osiguravajućim društvima Materija osiguranja je iznimno kompleksna, kako s pravnog aspekta tako i s ekonomsko-financijskog, pa se zakonodavac odlučio „statusnim“ zakonom, Zakonom o osiguranju , koji regulira osnivanje i rad osiguratelja, regulirati i materiju stečaja osiguravajućih društava. Predmet su analize važeće norme... 10.04.2024 Više ...