Obveščanje o kršitvah varnosti je ena od pomembnih novosti Splošne uredbe ter nova dolžnost upravljavcev in obdelovalcev osebnih podatkov. Delovna skupina iz člena 29[1] je v letu 2017 izdala Splošne smernice o obveščanju o kršitvi varnosti osebnih podatkov[2], ki jih je potrdil Evropski odbor za varstvo podatkov (v ...

Gre za primere, pri katerih tretja oseba namesti zlonamerno programsko opremo, ki šifrira osebne podatke ter ponudi dešifrirno kodo pod pogojem plačila odkupnine.

Napadi, ki izkoriščajo ranljivost internetnih storitev upravljavca, so podobni napadom z izsiljevalsko programsko opremo, vendar so prvi napadi usmerjeni predvsem v pridobitev, kopiranje, odtekanje in nadaljnjo zlorabo osebnih podatkov za nezakonite namene.

Te kršitve zaradi njihove pogostosti – človeški faktor je pomemben vir tveganja – terjajo posebno pozornost. Ker gre v teh primerih za kršitve, ki so lahko bodisi namerne bodisi nenamerne, upravljavci težje ocenijo tveganja in prilagodijo ukrepe, da se jim izognejo.

Deseti primer – odtujitev nosilcev s šifriranimi osebnimi podatkiMed vlomom v otroški vrtec sta bili odtujeni dve tablici, na katerih so bili v posebni aplikaciji hranjeni osebni podatki otrok (ime, datum rojstva, podatki o izobraževanju). Tako tablici, ki sta bili izklopljeni, kot tudi aplikacija, so bili zaščiteni z močnim geslom ...

Tudi v teh primerih gre za kršitve zaradi človeške napake, vendar se od primerov pod točko 3 ti primeri razlikujejo po tem, da kršitev ni posledica hotenega, zlonamernega ravnanja.

Sedemnajsti primer – kraja identiteteKontaktni center telekomunikacijskega podjetja je prejel klic osebe, ki se je predstavila kot stranka in želela spremeniti naslov za vročanje računov. Delavec v kontaktnem centru je od osebe zahteval potrditev identitete z navedbo davčne številke in naslova prebivališča, kar je bilo napadalcu znano, zato so zahtevi ...