Što je povreda osobnih podataka (incident, data breach)? Više saznajte u vodiču: https://arc-rec-project.eu/wp-content/uploads/2021/03/Kratki-vodic-kroz-izvjescivanje-o-povredama-osobnih-podataka-1.pdf

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. Obrada: znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili
stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Vrlo je važno napomenuti da svi voditelji i izvršitelji obrade (poduzeća, organizacije, tijela javne vlasti..) moraju poduzeti sve odgovarajuće tehničke i organizacijske mjere kako bi rizik od povrede osobnih podataka sveli na minimum. 

Što trebate napraviti u slučaju ako dođe do povrede osobnih podataka (članak 33. GDPR-a)?
1)  potrebno je dokumentirati sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete – dokumentacija omogućuje dokazivanje usklađenosti s Općom uredbom o zaštiti podataka

2) najkasnije 72 sata nakon saznanja o toj povredi potrebno je obavijestiti AZOP, obrazac za izvješćivanje o povredi, možete preuzeti na poveznici: https://azop.hr/wp-content/uploads/2021/04/izvjesce_o_povredi_osobnih_podataka-1.rtf
– ukoliko kasnite obrazložite zašto…
– ako niste u mogućnosti pružiti sve informacije u roku od 72 sata obavijestite o svim poznatim okolnostima – informacije je moguće pružati postupno prema saznanjima i bez odgađanja

Kad nije potrebno obavijestiti AZOP o povredi? AZOP-u (nadzorno tijelo) – nije potrebno poslati izvješće o povredi osobnih podataka ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

3) Kad je potrebno obavijestiti ispitanike?
Ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode pojedinaca potrebno je obavijesti i ispitanika.

ISPITANIKE – nije potrebno obavijestiti:
– Ako su poduzete odgovarajuće tehničke i organizacijske mjere zaštite primijenjene na osobne podatke pogođene povredom, npr. enkripcija
– Ako su poduzete naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika
– Ako bi se time zahtijevao nerazmjeran napor, u tom slučaju moguće je javno obavješćivanje

Što treba uzeti u obzir prilikom procjene rizika?

  • Prirodu, osjetljivost i opseg osobnih podataka
  • Jednostavnost identifikacije pojedinaca
  • Ozbiljnost posljedica za pojedince
  • Posebne karakteristike pojedinca
  • Posebne karakteristike voditelja obrade podataka
  • Broj pogođenih pojedinaca

Primjer 1:

Računalni sustavi male proizvodne tvrtke bili su izloženi napadu ransomwarea, a podaci pohranjeni u tim sustavima bili su šifrirani.  Voditelj obrade koristio je enkripciju “u mirovanju” , tako da su svi podaci kojima je napadač pristupao pohranjeni u šifriranom obliku pomoću najsuvremenijeg enkripcijskog algoritma. Ključ za dešifriranje nije bio kompromitiran u napadu, tj. niti napadač nije mogao pristupiti niti ga neizravno koristiti. Kao posljedica toga, napadač je imao pristup samo šifriranim osobnim podacima.  Napadač nije niti u jednom trenutku imao pristup sustav e-pošte tvrtke, niti su napadom pogođeni klijentski sustavi. Voditelj obrade je angažirao tvrtku za cybersigurnost kako bi istražila incident. Nakon analize logova i zapisa te provedene istrage, sa sigurnošću je utvrđeno da je nadadač samo šifrirao podatke, ali da ih nije eksfiltrirao (neautorizirani transfer podataka sa računala ili nekog drugog uređaja tvrtke na neki drugi uređaj). Osobni podaci obuhvaćeni ovim napadom odnose se na osobne podatke klijenata i zaposlenika tvrtke, ukupno oko 30 pojedinaca. Nije došlo do nikakve štete za pojedince npr. do kašnjenja plaća ili obrade zahtjeva klijenata jer voditelj obrade redovito izrađuje sigurnosne kopije podataka, te ovaj incident nije značajno utjecao na rad voditelja obrade niti na pojedince.

Treba li ovaj slučaj prijaviti AZOP-u i obavijestiti pojedince? S obzirom da nije došlo do ozbiljnog rizika za prava pojedinaca, da je postojala sigurnosna kopija te da su osobni podaci vraćeni nakon nekoliko sati, u ovom slučaju nije potrebno obavijestiti niti AZOP niti pojedince. Incident je potrebno dokumentirati u skladu s člankom 33. GDPR-a.

Primjer 2: Jedno od računala koje koristi poljoprivredno poduzeće bilo je izloženo napadu ransomwarea i napadač je šifrirao podatke. Poduzeće koristi usluge IT poduzeća za nadzor mreže i održavanje računalnih sustava. Logovi koji prate sve tokove podataka koji izlaze iz poduzeća (uključujući izlaznu e-poštu) su dostupni. Nakon analize zapisa i podataka koje su prikupili ostali sustavi za otkrivanje, utvrđeno je da je napadač samo šifrirao podatke bez njihovog eksfiltriranja. Zapisi pokazuju da nema protoka podataka prema van u vrijeme trajanja napada. Osobni podaci koji su obuhvaćeni ovim incidentom odnose se na zaposlenike i klijente poduzeća, sveukupno oko 40 pojedinaca. Sigurnosna kopija osobnih podataka nije bila dostupna u elektroničkom obliku već samo u paprirnatom obliku. Vraćanje podataka trajalo je 5 radnih dana i uzrokovalo je manja kašnjenja u isporuci robe kupcima.

U ovom slučaju voditelj obrade nije poduzeo odgovarajuće tehničke i organizacijske mjere kako bi sveo rizik od povrede na minimum. Ovakav slučaj treba biti dokumentiran i prijavljen AZOP-u, ali nije potrebno obavijestiti o tome pojedince.

Primjer 3: Računalni sustavi prijevozničkog poduzeća bili su izloženi napadu ransomwarea i napadač je šifrirao podatke. Prema nalazima interne istrage počinitelj je šifrirao i eksfiltrirao podatke. Kompromitirani su osobni podaci klijenata i zaposlenika, radi se od nekoliko tisuća ljudi koji koriste usluge poduzeća (korisnici usluga ovog poduzeća većinom kupuju karte online). Radi se o osobnim podacima kao što su ime i prezime, OIB, brojevi osobnih iskaznica, financijski podaci, kao što su podaci o kreditnim karticama. Poduzeće je imalo sigurnosnu kopiju pdoataka, ali je i nju napadač šifrirao.

Radi se o incidentu koji može uzrokovati ozbiljnu materijalnu i nematerijalnu štetu za pojedince (zlouporabu kreditnih kartica, krađu identiteta) te ovaj incident osim što mora biti dokumentiran i prijavljen AZOP-u, mora biti prijavljen i policiji te se o tome trebaju obavijestiti i pojedinci čiji su osobni podaci kompromitirani.

Primjeri slučajeva prijavljenih AZOP-u:

  1. Direktorica poduzeća A zaprimila je telefonski poziv nepoznate osobe koja je zatražila novac za povrat diska a koji sadrži poslovne podatke društva koji je u njegovom posjedu. Kao dokaz e-mailom je dostavljen popis 16.000 datoteka u 300 mapa ukupno 8 GB, koji se odnose na komercijalnu djelatnost te podatke djelatnika zaposlenih u društvu prikupljeni u razdoblju od 2000. – 2014. g. Ukradeni disk sadržavao je između ostalog i evidenciju o radnicima koja sadrži (ime i prezime, ime oca, JMBG, spol, dob, bračni status, radno mjesto i naziv poslovne jedinice s mjestom rada) te kontakt podatke predstavnika poslovnih partnera (ime i prezime, telefonski broj e-mail, poslodavac). Direktorica je zahtijevala povrat diska s pohranjenim podacima ukazavši osobi kako se radi o povjerljivim podacima, no odbila je dati zatražen novac. Poduzeće  ima kopiju podataka te je navedeni događaj prijavljen i državnom odvjetništvu i policiji. O incidentu nisu obavješteni pojedinci jer je procijenjeno da je malo vjerojatno da će doći do visokog rizika za prava i slobode pojedinaca.
  2. Djelatnicima poduzeća B na računalima se prikazala poruka sa sadržajem prijetnje o brisanju „ključa” ako u roku 3 dana ne plate 3000 eura. U predmetnom slučaju haker je pristupio osobnim podacima koji su bili šifrirani. Kako je društvo B mjesec dana ranije napravilo sigurnosnu kopiju podataka, podaci nisu izgubljeni. Jedina posljedica ove povrede je što će dio podataka prikupljenih unazad mjesec dana opet iz arhive (papirnati oblik) morati biti unesen u sustav u elektroničkom obliku. Kako bi u budućnosti izbjegli povrede te umanjili njihove posljedice, poduzeće je odlučilo ubuduće sigurnosnu kopiju raditi svakih sat vremena na izdvojenom disku, te su formatirana sva računala u mreži te implementiran novi informacijsko sigurnosni sustav. Incident je dokumentiran i prijavljen AZOP-u, a nije bilo potrebe o tome obavijestiti pojedince.
  3. Djelatniku poduzeća C na godišnjem odmoru ukradeno je prijenosno računalo na kojem se nalazi stotinjak Ugovora o osiguranju s kontakt podacima (ime, prezime, broj tel., e-mail) pravnih zastupnika osiguranih društva. Prijenosno računalo zaštićeno je lozinkom no nije kriptirano – stoga su osobni podaci dostupni i trećim osobama. Poduzeće C navedeni događaj prijavio je AZOP-u i policiji te kriptiralo sva prijenosna računala u
    svom vlasništvu. O ovom incidentu ispitanici nisu obaviješteni.
  4.  Djelatnik poduzeća D zaprimio e-mail koji je sadržavao potencijalno zloćudni sadržaj, odmah je navedeno prijavio IT službi unutar društva te je otkrivena povreda. Napadač je s domene društva poslao e-mail s potencijalno zloćudnim sadržajemsvim kontaktima djelatnika te je narušena i povjerljivosti zbog otkrivanja e-mail adresa 150 osoba od čega 20 djelatnika i 130 poslovnih kontakata. Povreda povjerljivosti u vidu otkrivanja 150 e-mail adresa djelatnika i poslovnih partnera ne predstavlja rizik za njihova prava i slobode, no postoji mogućnost povrede u samom sadržaju koji je poslan s domene društva.
  5.  Djelatnik poduzeća E poslao je velik broj e-mailova stavljajući pritom sve e-mail adrese u cc umjesto u bcc. Radi se o privatnim e-mail adresama pojedinaca, a sadržaj e-maila je marketinškog karaktera. Ovakav incident nije potrebno prijavljivati AZOP-u, ali je potrebno poduzeti odgovarajuće tehničke i organizacijske mjere kako bi se u budućnosti spriječilo slanje e-mailova na ovakav način.