Nove Smjernice 01/2021 o načinu izvješćivanja u slučajevima povrede osobnih podataka Europskog odbora za zaštitu podataka („EDPB“) usvojene su 14. prosinca 2021. g., te su objavljene 3. siječnja 2022. g.
Novoobjavljene smjernice dopuna su prvotne verzije istih smjernica o načinu izvješćivanja u slučajevima povreda osobnih podataka iz 2017. g. (revidiranih 2018. g). Obzirom da prvotna verzija smjernica nije dovoljno detaljno obradila sva praktična pitanja, ukazala se potreba za smjernicama orijentiranima na praktičnim slučajevima, koje koriste iskustva stečena otkako je GDPR na snazi.
Opća uredba o zaštiti podataka (dalje: GDPR) u određenim slučajevima zahtijeva da se o povredi osobnih podataka obavijesti nadležno nacionalno nadzorno tijelo i pojedinci čiji su osobni podaci povrijeđeni (članci 33. i 34. GDPR).
Člankom 4. točka 12. GDPRa „povreda osobnih podataka“ definirana je kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Smjernice opisuju uobičajene vrste povreda osobnih podataka (ransomware napadi, napadi eksfiltracijom podataka, povrede nastale ljudskom pogreškom, izgubljeni ili ukradeni uređaji i dokumenti, pogrešno poslani podaci i socijalni inženjering) kroz praktične primjere.
Cilj smjernica je pomoći voditeljima obrade prepoznati povredu osobnih podataka, kao i čimbenike koje trebaju uzeti u obzir prilikom procjene rizika za prava i slobode ispitanika, te uputiti voditelje obrade na najbolji način rješavanja nastale povrede, kao i na tehničke i organizacijske mjere zaštite kako bi se spriječile buduće povrede osobnih podataka. Svaki voditelj i izvršitelj moraju imati prethodno isplanirane jasne postupke kako za prevenciju, tako i za slučaj povrede osobnih podataka.