PREJELI STE OBVESTILO O KRŠITVI VARNOSTI OSEBNIH PODATKOV. KAKO LAHKO UKREPATE?

Splošna uredba upravljavcem nalaga, da morajo v primeru kršitve varnosti osebnih podatkov, ki verjetno zelo ogroža pravice in svoboščine posameznikov, poleg nadzornega organa za varstvo osebnih podatkov, obvestiti tudi posameznike in da to storijo brez odlašanja.

Torej je ključni dejavnik, kdaj vas upravljavci morajo obvestiti, da je prišlo do kršitve, če bi ta verjetno povzročila veliko tveganje za vaše pravice in svoboščine. To tveganje obstaja, kadar bi lahko kršitev varnosti povzročila fizično, premoženjsko ali nepremoženjsko škodo. Nekateri primeri take škode so diskriminacija, kraja identitete ali goljufija, finančna izguba in okrnitev ugleda.

OBVESTILO O KRŠITVI VARNOSTI

Kje je meja, kdaj je kršitev tako huda, da terja obvestilo tudi posameznikom?

Upoštevajoč številne konkretne okoliščine (izvedena ocena tveganja na podlagi različnih meril, drugi zakonski pogoji) mora tehtno presojo opraviti upravljavec sam, vendar mu lahko to nalogo na podlagi prejetega obvestila o kršitvi naloži tudi nadzorni organ (v Sloveniji je to Informacijski pooblaščenec). Navajamo primer, ki oriše, da je prag za sporočanje kršitve posameznikom višji kot za obveščanje nadzornih organov. Uslužbenec na fakulteti pomotoma izbriše evidenco kontaktov študentov posameznega letnika, baza pa je s pomočjo rezervne kopije ponovno vzpostavljena. Takšna kršitev ne bo povzročila velikega tveganja za pravice in svoboščine posameznikov in posledično obveščanje posameznikov ne bo potrebno. Če pa se osebni podatki velikega števila študentov pomotoma pošljejo napačnemu poštnemu seznamu, npr. več kot 1000 prejemnikom**, pa bo glede na obseg in vrsto osebnih podatkov, ki jih to zadeva, in resnost morebitnih posledic potrebno poročati tako nadzornemu organu kot tudi posameznikom. * * (Gre samo za ilustracijo, saj zakonodaja nikjer ne opredeljuje števila posameznikov ali konkretnega številskega praga.)

Glavni cilj obveščanja posameznikov je, da se zagotovijo konkretne informacije o tem, kaj morate storiti, da se zaščitite pred morebitnimi negativnimi posledicami kršitve.

Kaj vam upravljavec mora sporočiti?

Upravljavec mora posameznikom zagotoviti vsaj naslednje informacije:

  • opis vrste kršitve (kaj se je zgodilo, ali je prišlo do izgube podatkov zaradi okužbe z izsiljevalskim virusom, nepooblaščenega dostopa s strani tretje osebe itd.);
  • ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne točke;
  • opis verjetnih posledic kršitve (ali bi kršitev lahko povzročila morebitno škodo, npr. krajo identitete ali goljufijo, fizično škodo, psihično stisko, ponižanje ali okrnitev ugleda) in
  • opis ukrepov, ki jih upravljavec sprejme ali jih predlaga pa tudi možnih ukrepov za ublažitev škodljivih učinkov kršitve, ki bi lahko nastali.

Sporočilo, ki ga posameznik prejme, bi moralo biti čimbolj:

RAZUMLJIVO IN KONKRETNO: obvestilo o kršitvi doseže svoj namen le, če resnično razumete, kaj se je zgodilo in kako lahko po jasnih navodilih upravljavca izvedete določene zaščitne ukrepe. Zato bi obvestilo moralo biti napisano v jasnem in preprostem jeziku, upravljavec naj bi tudi zagotovil konkretne nasvete, kako se posamezniki lahko zaščitite pred morebitnimi škodljivimi posledicami kršitve. Upravljavec naj bi komuniciral v jeziku, ki se je uporabljal pri predhodnem običajnem poslovanju (npr. če je ponudnik določene spletne aplikacije komuniciral v angleščini, bo tudi morebitno obvestilo o kršitvi poslal v angleščini).

LOČENO OD OSTALIH SPOROČIL: posamezniki bi morali biti o kršitvi obveščeni z namenskimi sporočili, ki ne bi smela biti poslana skupaj z drugimi informacijami (npr. v sklopu rednih mesečnih e-novice ali oglasnih sporočil). To prispeva k jasnemu in preglednemu sporočanju kršitve. Primeri preglednega, neposrednega sporočanja so, npr. elektronska pošta, SMS, potisna sporočila (push notification), izpostavljene spletne pasice ali pojavna okna, obveščanje prek fizične pošte ali izpostavljeni oglasi v tiskanih medijih. Zgolj objavljeno sporočilo za javnost ali blog zapis na spletni strani podjetja ni učinkovit način za sporočanje kršitve posamezniku.

Predvsem pa morate biti obveščeni ČIM PREJ oz. brez nepotrebnega odlašanja, pri čemer je rok za obvestilo o kršitvi nadzornemu organu 72 ur, odkar se je upravljavec seznanil s konkretno kršitvijo.

Kako postopati, če ste prejeli obvestilo o kršitvi?

  1. Vzemite si čas in natančno preberite obvestilo, ki vam ga je poslal upravljavec. Če imate kakršnakoli vprašanja, pomisleke ali željo po dodatnih pojasnilih, se obrnite na kontakt, ki ga je upravljavec navedel v obvestilu o kršitvi.   
  2. Sledite danim navodilom in upoštevajte zaščitne ukrepe, ki jih je navedel upravljavec. Če vas pozovejo, da spremenite geslo, s katerim ste dostopali do kompromitiranega uporabniškega računa, to nemudoma storite. Za višjo stopnjo varnosti si nastavite preverjanje v dveh korakih oz. dvofaktorsko avtentikacijo, če ponudnik storitve omogoča tovrstno zaščito. Če ste enako geslo uporabljali za dostop do drugih uporabniških računov, spremenite gesla tudi tam. Še nasvet: ne uporabljajte enakega gesla za različne uporabniške račune!
  3. Še posebej skrbno upoštevajte navodila, če je prišlo do kršitve varnosti ponudnika finančnih storitev. Tudi sicer redno pregledujte promet na računu in mesečne bančne izpiske. Spremljajte vaše transakcije s kartico prek varnostnih SMS obvestil, spletne/mobilne banke ali izpiskov, ki vam jih pošlje banka ali hranilnica. Če opazite transakcije (z debetno ali kreditno kartico), ki jih niste opravili, o tem takoj obvestite svojo banko ali hranilnico.

En korak pred goljufi

Obveznost upravljavcev, da ustrezno obvestijo posameznike o kršitvi varnosti je hkrati priložnost za spletne goljufe, da pod krinko nekega podjetja ali organizacije vzpostavijo kontakt in izkoristijo nepozorne uporabnike.

Če vam v obvestilu o kršitvi sporočajo, da sledite povezavi, kjer boste ponastavili geslo, dobro preverite, kam vas povezava pelje, da se izognete phishing kraji gesla. Prav tako ne zaupajte elektronskim, telefonskim ali drugim sporočilom, četudi navidezno prihajajo od vaše banke ali hranilnice, s katerimi vas obveščajo o zlorabi vaše kartice in vas hkrati pozivajo, da poveste podatke o svoji kartici ali da jih vpišete v tako imenovane varnostne obrazce na spletu. O morebitnem takem dogodku obvezno obvestite svojo banko ali hranilnico in z njo preverite vsebino sporočila (preberite več napotkov Združenja bank Slovenije).