Katere so obveznosti poročanja v primeru kršitve varovanja podatkov? Ali moram obvestiti uradni organ za zaščito podatkov? ali sem lahko kaznovan z denarno kaznijo do 20 milijonov EUR?

Vsak upravljavec je dolžan obvestiti pristojni uradni nadzorni organ o “kršitvi varstva osebnih podatkov” v roku 72 ur po seznanitvi s kršitvijo (1. odstavek 33. člena GDPR). V skladu s 33. členom mora biti kršitev prijavljena samo v primeru, če obstaja “nevarnost” za pravice in svoboščine fizičnih oseb. Vendar pa še ni jasno, kaj bodo uradni organi za nadzor varstva podatkov obravnavali kot doseženo mejo (spodnjo) za to zahtevo (“rizik”). V skladu z zahtevami 34. člena GDPR (predvsem:”visok rizik” za pravice in svoboščine fizičnih oseb) mora vsak upravljavec o kršitvi obvestiti tudi prizadeto osebo, na katero se nanašajo podatki. V skladu z 12. točko 4. člena GDPR “kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Če ni mogoče zagotoviti zgoraj navedenega roka za obvestilo, mora le-to vsebovati tudi utemeljitev zamude. Le upravljavec podatkov ne prijavi dogodka kršitve, mora biti prepričan in zmožen upravičiti zakaj kršitev ni bila prijavljena. Obdelovalec podatkov mora o kršitvi osebnih podatkov obvestiti zadevnega upravljavca podatkov, ne pa uradni organ za nadzor. Vsaka kršitev te obveznosti sporočanja je kazniva z denarno kaznijo so 10 milijonov EUR ali do 2 % skupnega svetovnega letnega prometa zadevne družbe za predhodno obračunsko leto (83. člen GDPR).