V slovenski javnosti se je v zadnjem času pojavilo nekaj primerov nenamernega razkritja osebnih podatkov s strani državnih organov in gospodarskih družb.
Splošna uredba o varstvu podatkov (GDPR – v nadaljevanju: »Uredba«) kot kršitev varstva osebnih podatkov opredeljuje kršitev varnosti, ki povzroči namerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so shranjeni ali kako drugače obdelani. Skladno z Uredbo mora upravljalec v roku 72 ur od nastanka kršitve o tem obvestiti informacijskega pooblaščenca. V primeru, da bi lahko kršitev varstva osebnih podatkov povzročila večje tveganje, mora upravljalec osebnih podatkov o storjeni kršitvi obvestiti tudi posameznika na katerega se osebni podatki nanašajo.
Uredba za take kršitve predpisuje visoke kazni v višini do 20 milijonov evrov oziroma 4% letnega prometa. Taki kazni pa se je mogoče izogniti s sprejetjem naslednjih ukrepov:
- psevdonimizacija in šifriranje osebnih podatkov;
- zagotavljanje stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov ter storitev za obdelavo osebnih podatkov;
- zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
- redno testiranje, ocenjevanje in vrednotenje učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
V kolikor navedenih ukrepov v vašem podjetju še niste sprejeli, vam z vidika varstva osebnih podatkov svetujemo, da jih sprejmete čimprej.