Obavijest o povredi podataka

Obavijest o povredi podataka pravna je obveza informiranja nadzornih tijela, a u nekim slučajevima i pogođenih pojedinaca, kada su osobni podaci kompromitirani putem sigurnosne povrede. Prema GDPR-u, voditelji obrade moraju obavijestiti svoje nadzorno tijelo u roku od 72 sata od trenutka saznanja o povredi koja predstavlja rizik za prava i slobode ljudi, te izravno obavijestiti pogođene pojedince ako povreda predstavlja visok rizik.

Pravna osnova

"U slučaju povrede osobnih podataka, voditelj obrade bez nepotrebnog odgađanja i, gdje je izvedivo, najkasnije 72 sata nakon što je za nju saznao, obavješćuje o povredi osobnih podataka nadzorno tijelo nadležno u skladu s člankom 55., osim ako nije vjerojatno da će povreda osobnih podataka rezultirati rizikom za prava i slobode fizičkih osoba."

— Članak 33. stavak 1., Uredba (EU) 2016/679 (GDPR)

"Kada je vjerojatno da će povreda osobnih podataka rezultirati visokim rizikom za prava i slobode fizičkih osoba, voditelj obrade priopćava povredu osobnih podataka ispitaniku bez nepotrebnog odgađanja."

— Članak 34. stavak 1., Uredba (EU) 2016/679 (GDPR)

Zašto je važno

Obveze obavješćivanja o povredi podataka utječu na svaku organizaciju koja obrađuje osobne podatke u kontekstu usluga političkog oglašavanja. Za sponzore, izdavače i pružatelje usluga političkog oglašavanja prema Uredbi 2024/900, to znači da se svaki neovlašteni pristup, gubitak ili izmjena osobnih podataka korištenih za ciljanje ili isporuku oglasa mora promptno prijaviti nadležnom tijelu za zaštitu podataka.

Rok za obavijest od 72 sata strog je i počinje od trenutka kada organizacija sazna za povredu, a ne kada završi njenu istragu. Organizacije moraju imati unutarnje procese za otkrivanje, istragu i brzo prijavljivanje povreda. Propust obavješćivanja može rezultirati kaznama do 10 milijuna eura ili 2% globalnog godišnjeg prometa prema GDPR-u.

Posebno za političko oglašavanje, povrede koje uključuju podatke o ciljanju, profile birača ili političke preferencije osobito su osjetljive. Takve povrede mogu izložiti pojedince manipulaciji, diskriminaciji ili šteti uzrokovanoj odmazdom, čineći pravovremenu obavijest ključnom za zaštitu demokratskih procesa i prava pojedinca.

Ključne točke

Voditelji obrade moraju obavijestiti svoje nadzorno tijelo u roku od 72 sata od saznanja o povredi, osim ako nije vjerojatno da će povreda ugroziti prava i slobode pojedinaca
Ako povreda predstavlja visok rizik za pojedince, oni moraju biti izravno obaviješteni bez nepotrebnog odgađanja
Obavijesti moraju opisati prirodu povrede, kategorije i približan broj pogođenih pojedinaca i zapisa, te mjere poduzete za rješavanje problema
Izvršitelji obrade moraju odmah obavijestiti voditelje obrade nakon otkrivanja povrede kako bi voditelji mogli zadovoljiti vlastite rokove za obavješćivanje
Organizacije bi trebale voditi dokumentaciju o svim povredama, uključujući one koje nisu prijavljene, kako bi dokazale usklađenost
Kazne za propust obavješćivanja mogu doseći 10 milijuna eura ili 2% globalnog godišnjeg prometa, ovisno o tome što je veće

Obavijest o povredi podataka u odnosu na obavijest o transparentnosti

Iako obje uključuju obveze objavljivanja, obavijest o povredi podataka i obavijest o transparentnosti služe različitim svrhama. Obavijest o povredi podataka reaktivna je, incidentom uvjetovana obveza koja se pokreće kada je sigurnost osobnih podataka narušena. Mora biti dostavljena nadzornim tijelima u roku od 72 sata i pogođenim pojedincima kada postoji visok rizik.

Obavijest o transparentnosti (kao što je obavijest o privatnosti potrebna prema člancima 13-14 GDPR-a ili obavijest o transparentnosti za političko oglašavanje prema Uredbi 2024/900) proaktivna je, trajna obveza informiranja pojedinaca o tome kako se njihovi podaci obrađuju prije ili u trenutku prikupljanja. Obavijesti o transparentnosti su preventivne i informativne; obavijesti o povredi su korektivne i hitne.

Aspekt	Obavijest o povredi podataka	Obavijest o transparentnosti
Okidač	Sigurnosni incident	Prikupljanje/obrada podataka
Vrijeme	72 sata (tijelu)	Prije/pri prikupljanju
Publika	Tijelo + pogođeni pojedinci	Svi ispitanici
Svrha	Odgovor na incident	Trajna transparentnost

Povezani pojmovi

Osobni podaci
Tijelo za zaštitu podataka
Voditelj obrade
Izvršitelj obrade
Usklađenost s GDPR-om
Tehnike ciljanja
Sigurnosne mjere
Nadzorno tijelo
Obavijest o privatnosti
Prava ispitanika

Da. Kao EU uredba, TTPA je izravno primjenjiva u svim državama članicama bez potrebe za nacionalnom implementacijom. Države članice moraju samo odrediti nadležna tijela i utvrditi kazne.

Zahtjevi transparentnosti osiguravaju da svi politički akteri djeluju prema istim pravilima. Birači mogu vidjeti tko ima resurse i kako se koriste, podržavajući pošteno natjecanje.

Transparentnost gradi povjerenje pokazujući biračima da politički akteri djeluju otvoreno. Skriveno financiranje ili ciljanje narušava povjerenje u demokratske procese.

Zahtijevajući jasno označavanje i dostupne informacije o transparentnosti, TTPA pomaže ljudima prepoznati političko oglašavanje i razumjeti tko pokušava utjecati na njih.

Političko oglašavanje uključuje svaku plaćenu poruku koja promiče političkog aktera, utječe na glasačko ponašanje, utječe na ishod izbora ili referenduma ili utječe na zakonodavne ili regulatorne procese. Također uključuje svako oglašavanje od strane ili u ime političkog aktera.

Ne. TTPA ne utječe na nacionalna pravila o sadržaju političkih oglasa, financiranju kampanja, izbornim razdobljima ili općim zabranama političkog oglašavanja. Ona dodaje zahtjeve transparentnosti na postojeće nacionalne zakone.

Službeni naziv je Uredba (EU) 2024/900 Europskog parlamenta i Vijeća o transparentnosti i ciljanju političkog oglašavanja. Objavljena je 20. ožujka 2024.

Da. TTPA obuhvaća sve političko oglašavanje, bilo online ili offline, uključujući tisak, billboarde, TV, radio i digitalne kanale. Pravila o ciljanju iz Poglavlja III primjenjuju se samo na online oglašavanje.