Obveščanje o kršitvah varnosti je ena od pomembnih novosti Splošne uredbe in nova dolžnost upravljavcev in obdelovalcev osebnih podatkov. Delovna skupina iz člena 29[1] je v letu 2017 izdala splošne smernice o obveščanju o kršitvi varnosti osebnih podatkov[2], ki jih je potrdil Evropski odbor za varstvo podatkov (v nadaljevanju EDPB), in s katerimi so bile obravnavane določbe Splošne uredbe[3], nanašajoče se na obveščanje o kršitvi varnosti osebnih podatkov. Ker navedene smernice niso ponujale odgovorov na nekatera vprašanja, s katerimi se upravljavci in obdelovalci soočajo v praksi, je vzniknila potreba po analizi konkretnih primerov, ki so jih zaznali posamezni nadzorni organi vse od uporabe Splošne uredbe v praksi. V nadaljevanju so tako predstavljeni konkretni napotki, kdaj je treba obvestiti nadzorni organ oziroma posameznika ali ne ter priporočila za boljše obvladovanje tveganj s primeri dobrih praks.

[1] Ta delovna skupina je bila ustanovljena v skladu s členom 29 Direktive 95/46/ES.

[2] Smernice o obveščanju o kršitvi varnosti osebnih podatkov na podlagi Uredbe 2016/67, sprejete 3. oktobra 2017 ter nazadnje revidirane in sprejete 6. februarja 2018, dostopne na povezavi https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052.

[3] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES