Splošna uredba o varstvu podatkov (»GDPR«) uvaja dolžnost obveščanja Informacijskega pooblaščenca o zaznanih kršitvah varnosti osebnih podatkov, če je verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Primera kršitve varnosti osebnih podatkov sta npr. izguba USB ključka z osebnimi podatki, ki niso bili šifrirani in vdor v informacijski sistem z bazami osebnih podatkov. Obvestilo mora upravljavec podati takoj po zaznani kršitvi, najkasneje pa v 72 urah.

V primeru, če bi s kršitvijo varnosti nastala resna tveganja za pravice in svoboščine posameznikov, pa morajo upravljavci osebnih podatkov o tem obvestiti tudi zadevne posameznike. To tveganje npr. obstaja, kadar bi lahko kršitev varnosti povzročila fizično, premoženjsko ali nepremoženjsko škodo. Nekateri primeri take škode so diskriminacija, kraja identitete ali goljufija, finančna izguba in okrnitev ugleda.

Glavni cilj obveščanja posameznikov je, da se zagotovijo konkretne informacije o tem, kaj je treba storiti, da se zaščitimo pred morebitnimi negativnimi posledicami kršitve.

Kako torej ravnati, če prejmete tako obvestilo?

Svetujemo vam, da:

• natančno preberete prejeto obvestilo in se v primeru dodatnih vprašanj obrnete na pošiljatelja obvestila,
• sledite danim navodilom in upoštevajte zaščitne ukrepe, ki jih je navedel zavezanec (npr. zamenjate geslo do uporabniškega računa, ki je bil predmet kršitve),
• še posebej skrbno upoštevajte navodila, če je prišlo do kršitve varnosti ponudnika finančnih storitev.

Bolj podrobna navodila, kako ravnati ob prejetju obvestila o kršitvi varstva vaših osebnih podatkov, najdete na spletni strani tiodlocas.si (povezava).