32013R0611

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Uredba - 611/2013 - EN - EUR-Lex

Document 32013R0611

Help

Uredba Komisije (EU) br. 611/2013 od 24. lipnja 2013. o mjerama koje se primjenjuju na obavješćivanje o povredama osobnih podataka u skladu s Direktivom 2002/58/EZ Europskog parlamenta i Vijeća o privatnosti i elektroničkim komunikacijama

SL L 173, 26.6.2013, p. 2–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

(HR)
⏵Ovaj dokument objavljen je u određenim posebnim izdanjima (HR)
Posebno izdanje na hrvatskom jeziku: Poglavlje 13 Svezak 066 Str. 159 - 165

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2013/611/oj

Date of document:: 24/06/2013
Date of effect:: 25/08/2013; Stupanje na snagu Vidi čl. 7
Date of end of validity:: No end date

Author:: Europska komisija
Form:: Uredba

Treaty:

Ugovor o funkcioniranju Europske unije

Legal basis:

32002L0058 - A04P5

Link

Select all documents mentioning this document

Instruments cited:

31995L0046

Link

EUROVOC descriptor:

Subject matter:

Telekomunikacije

Directory code:

13.20.60.00 Industrijska politika i unutarnje tržište / Industrijska politika: sektorske operacije / Informacijska tehnologija, telekomunikacije i obrada podataka

HTML

PDF

Official Journal

13/Sv. 66

Službeni list Europske unije

159

32013R0611

L 173/2

SLUŽBENI LIST EUROPSKE UNIJE

UREDBA KOMISIJE (EU) br. 611/2013

od 24. lipnja 2013.

o mjerama koje se primjenjuju na obavješćivanje o povredama osobnih podataka u skladu s Direktivom 2002/58/EZ Europskog parlamenta i Vijeća o privatnosti i elektroničkim komunikacijama

EUROPSKA KOMISIJA,

uzimajući o obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Direktivu 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (1), a posebno njezin članak 4. stavak 5.,

nakon savjetovanja s Europskom agencijom za mrežnu i informacijsku sigurnost (ENISA),

nakon savjetovanja s Radnom skupinom za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovanom člankom 29. Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom prijenosu takvih podataka (2) (Radna skupina iz članka 29.),

nakon savjetovanja s Europskim nadzornikom za zaštitu podataka (EDPS),

budući da:

(1)

Direktivom 2002/58/EZ predviđeno je usklađivanje nacionalnih odredaba potrebnih za osiguravanje jednake razine zaštite temeljnih prava i sloboda, a posebno prava na privatnost i povjerljivost, u vezi s obradom osobnih podataka u području elektroničkih komunikacija i za osiguravanje slobodnog kretanja takvih podataka te elektroničke komunikacijske opreme i usluga u Uniji.

(2)

Na temelju članka 4. Direktive 2002/58/EZ, pružatelji javno dostupnih elektroničkih komunikacijskih usluga obvezni su obavijestiti nadležna nacionalna tijela, a u određenim slučajevima i predmetne pretplatnike i pojedince, o povredama osobnih podataka. Povrede osobnih podataka definirane su u članku 2. točki (i) Direktive 2002/58/EZ kao proboji zaštitnih mjera koji dovode do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa u pogledu osobnih podataka koji se prenose, čuvaju ili na neki drugi način obrađuju u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga u Uniji.

(3)

Kako bi se osigurala dosljedna provedba mjera iz članka 4. stavaka 2., 3. i 4. Direktive 2002/58/EZ, njezinim je člankom 4. stavkom 5. Komisija ovlaštena donositi tehničke provedbene mjere koje se odnose na okolnosti, oblik i postupke primjenljive na zahtjeve u vezi s obavješćivanjem i prijavljivanjem iz tog članka.

(4)	Različiti nacionalni zahtjevi u tom pogledu mogu dovesti do pravne nesigurnosti, složenijih i težih postupaka i značajnih administrativnih troškova za pružatelje usluga koji posluju prekogranično. Komisija stoga smatra potrebnim donijeti takve tehničke provedbene mjere.

(5)	Ova je Uredba ograničena na obavješćivanje o povredama osobnih podataka i stoga se njome ne utvrđuju tehničke provedbene mjere koje se odnose na članak 4. stavak 2. Direktive 2002/58/EZ o obavješćivanju pretplatnika u slučaju posebnog rizika od kršenja sigurnosti mreže.

(6)

Iz prvog podstavka članka 4. stavka 3. Direktive 2002/58/EZ proizlazi da bi pružatelji usluga trebali obavijestiti nadležno nacionalno tijelo o svim povredama osobnih podataka. Stoga se pružatelju usluga ne bi trebalo dati nikakvo diskrecijsko pravo u pogledu toga hoće li ili neće obavijestiti nadležno nacionalno tijelo. Međutim, time se ne bi trebalo spriječiti predmetno nadležno nacionalno tijelo da odredi prioritete u vezi s istraživanjem određenih povreda na način koji smatra prikladnim u skladu s primjenljivim pravom te da poduzme potrebne korake s ciljem izbjegavanja prekomjernog ili nedovoljnog izvješćivanja o povredama osobnih podataka.

(7)

Prikladno je osigurati sustav za obavješćivanje nadležnog nacionalnog tijela o povredama osobnih podataka koji se sastoji, u slučaju da su ispunjeni određeni uvjeti, od različitih faza, od kojih svaka podliježe određenim vremenskim ograničenjima. Tim se sustavom namjerava osigurati što ranije i potpunije moguće obavješćivanje nadležnog nacionalnog tijela, pri čemu se, međutim, ne bi trebalo nepotrebno sprečavati pružatelja usluga u njegovim nastojanjima da istraži povredu i poduzme potrebne mjere za njezino ograničavanje i za otklanjanje posljedica takve povrede.

(8)

Sama sumnja da je došlo do povrede osobnih podataka ili samo otkrivanje nezgode bez raspolaganja dostatnim informacijama nisu dovoljni, usprkos najvećim naporima koje je pružatelj napravio u tu svrhu, da bi se u smislu ove Uredbe smatralo da je otkrivena povreda osobnih podataka. S tim u vezi, posebno bi trebalo uzeti u obzir raspoloživost informacija iz Priloga I.

(9)	U kontekstu primjene ove Uredbe predmetna nadležna nacionalna tijela trebala bi surađivati na slučajevima povreda osobnih podataka s prekograničnim elementima.

(10)	Ovom se Uredbom ne predviđa dodatna specifikacija popisa povreda osobnih podataka koji trebaju voditi pružatelji usluga budući da je u članku 4. Direktive 2002/58/EZ temeljito utvrđen njegov sadržaj. Međutim, pružatelji usluga mogu se pozvati na ovu Uredbu u vezi s određivanjem oblika popisa.

(11)

Sva bi nadležna nacionalna tijela trebala staviti na raspolaganje sigurna elektronička sredstva putem kojih će pružatelji usluga obavješćivati o povredama osobnih podataka na zajedničkom obrascu, koji se temelji na standardu kao što je XML, koji sadrži informacije utvrđene u Prilogu I. i koji je na relevantnim jezicima kako bi se svim pružateljima usluga u Uniji omogućilo postupanje u skladu sa sličnim postupkom obavješćivanja bez obzira na to gdje se nalaze ili gdje se dogodila povreda osobnih podataka. S tim u vezi, Komisija bi trebala olakšati uvođenje sigurnih elektroničkih sredstava sazivanjem sastanaka s nadležnim nacionalnim tijelima ako je to potrebno.

(12)

Prilikom procjene vjerojatnosti da će povreda osobnih podataka imati štetan učinak na osobne podatke ili privatnost pretplatnika ili pojedinca trebali bi se ponajprije uzeti u obzir vrsta i sadržaj predmetnih osobnih podataka, posebno ako se podaci odnose na financijske informacije, kao što su podaci o kreditnoj kartici i pojedinosti o bankovnom računu, posebne kategorije podataka iz članka 8. stavka 1. Direktive 95/46/EZ i određene podatke koji su izričito povezani s pružanjem telefonskih ili internetskih usluga, odnosno podatke o e-pošti, podatke o lokaciji, datoteke s podacima o prijavama na internet, povijest pretraživanja interneta i detaljne ispise poziva.

(13)

U izvanrednim okolnostima pružatelju usluga trebalo bi se dopustiti da odgodi obavješćivanje pretplatnika ili pojedinca ako bi se obavješćivanjem pretplatnika ili pojedinca mogla ugroziti pravilna istraga povrede osobnih podataka. U tom kontekstu izvanredne okolnosti mogu uključivati kaznene istrage, kao i druge povrede osobnih podataka koje nisu ekvivalent teškog kaznenog djela, ali u slučaju kojih može biti prikladno odgoditi obavijest. U svakom slučaju, nadležno nacionalno tijelo trebalo bi za svaki slučaj pojedinačno i s obzirom na okolnosti procijeniti je li suglasno s odgodom obavijesti ili zahtijeva obavijest.

(14)

Pružatelji usluga trebali bi zbog svog izravnog ugovornog odnosa s pretplatnicima imati njihove kontaktne podatke, međutim takve informacije možda ne postoje za druge pojedince na koje štetno utječe povreda osobnih podataka. U tom bi slučaju pružatelju usluga trebalo biti dopušteno da te pojedince obavijesti prvo putem oglasa u glavnim nacionalnim ili regionalnim medijima, kao što su novine, a nakon toga što je prije moguće slanjem pojedinačne obavijesti kako je predviđeno ovom Uredbom. Stoga pružatelj usluga kao takav nije obvezan obavješćivati putem medija, već mu se to dopušta, ako to želi, kada je još uvijek u procesu utvrđivanja svih zahvaćenih pojedinaca.

(15)	Informacije o povredi trebale bi se odnositi na povredu i ne bi se trebale povezivati s informacijama o drugoj temi. Na primjer, uključivanje informacija o povredi osobnih podataka u redovan račun ne bi se trebalo smatrati primjerenim načinom obavješćivanja o povredi osobnih podataka.

(16)

Ovom se Uredbom ne utvrđuju posebne tehničke mjere zaštite kojima se opravdava odstupanje od obveze obavješćivanja pretplatnika ili pojedinaca o povredama osobnih podataka budući da se te mjere mogu promijeniti s razvojem tehnologije. Međutim, Komisija bi trebala imati mogućnost objavljivanja indikativnog popisa takvih posebnih tehničkih mjera zaštite u skladu s postojećim praksama.

(17)

Uvođenje kodiranja ili raspršenog adresiranja (hashing) ne bi se samo po sebi trebalo smatrati dostatnom osnovom na temelju koje pružatelji usluga mogu u širem smislu tvrditi da su ispunili opću sigurnosnu obvezu predviđenu člankom 17. Direktive 95/46/EZ. U tom bi smislu pružatelji usluga trebali također uvesti odgovarajuće organizacijske i tehničke mjere za sprečavanje, otkrivanje i blokiranje povreda osobnih podataka. Pružatelji bi usluga trebali razmotriti sve preostale rizike koji su možda prisutni nakon provedbe kontrola kako bi razumjeli gdje se mogu pojaviti povrede osobnih podataka.

(18)

Ako pružatelj usluga koristi drugog pružatelja usluga za obavljanje dijela usluge, na primjer u vezi s funkcijama izdavanja računa ili upravljanja, taj drugi pružatelj usluga, koji nije u izravnom ugovornom odnosu s krajnjim korisnikom, ne bi trebao imati obvezu davanja obavijesti u slučaju povrede osobnih podataka. Umjesto toga, on bi trebao upozoriti i obavijestiti pružatelja usluga s kojim je u izravnom ugovornom odnosu. Navedeno bi se trebalo također primjenjivati u kontekstu pružanja elektroničkih komunikacijskih usluga na veleprodajnoj razini, kada pružatelj usluga na veleprodajnoj razini obično nije u izravnom ugovornom odnosu s krajnjim korisnikom.

(19)

Direktivom 95/46/EZ utvrđen je opći okvir za zaštitu osobnih podataka u Europskoj uniji. Komisija je iznijela prijedlog Uredbe Europskog parlamenta i Vijeća kojom se treba zamijeniti Direktiva 95/46/EZ (Uredba o zaštiti podataka). Predloženom Uredbom o zaštiti podataka uvela bi se obveza obavješćivanja o povredama osobnih podataka za sve nadzornike podataka na temelju članka 4. stavka 3. Direktive 2002/58/EZ. Sadašnja Uredba Komisije potpuno je u skladu s predloženom mjerom.

(20)

Predloženom Uredbom o zaštiti podataka također se uvodi ograničeni broj tehničkih prilagodbi Direktive 2002/58/EZ kako bi se uzelo u obzir preoblikovanje Direktive 95/46/EZ u Uredbu. Materijalne pravne posljedice nove Uredbe za Direktivu 2002/58/EZ bit će predmetom preispitivanja koje provodi Komisija.

(21)

Primjena ove Uredbe trebala bi se preispitati tri godine nakon njezina stupanja na snagu, a njezin bi se sadržaj trebao preispitati s obzirom na pravni okvir koji je na snazi u tom trenutku, uključujući predloženu Uredbu o zaštiti podataka. Preispitivanje ove Uredbe trebalo bi, ako je to moguće, biti povezano sa svim budućim preispitivanjima Direktive 2002/58/EZ.

(22)

Primjena ove Uredbe može se ocijeniti na temelju, između ostalog, bilo kojih statističkih podataka koje nadležna nacionalna tijela vode o povredama osobnih podataka o kojima su obaviještena. Ti statistički podaci mogu uključivati, na primjer, informacije o broju povreda osobnih podataka o kojima je obaviješteno nadležno nacionalno tijelo, broju povreda osobnih podataka o kojima je obaviješten pretplatnik ili pojedinac, vrijeme koje je bilo potrebno za rješavanje povrede osobnih podataka i jesu li poduzete tehničke mjere zaštite. Tim bi se statističkim podacima Komisiji i državama članicama trebali osigurati dosljedni i usporedivi statistički podaci, pri čemu oni ne bi trebali otkriti identitet pružatelja usluga koji dostavlja obavijest, kao ni identitet uključenih pretplatnika ili pojedinaca. Komisija može u tu svrhu također održavati redovne sastanke s nadležnim nacionalnim tijelima i drugim interesnim skupinama.

(23)	Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Odbora za komunikacije,

DONIJELA JE OVU UREDBU:

Članak 1.

Područje primjene

Ova se Uredba primjenjuje na obavješćivanje o povredama osobnih podataka od strane pružatelja javno dostupnih elektroničkih komunikacijskih usluga („pružatelj usluga”).

Članak 2.

Obavješćivanje nadležnog nacionalnog tijela

1. Pružatelj usluga obavješćuje nadležno nacionalno tijelo o svim povredama osobnih podataka.

2. Pružatelj usluga obavješćuje nadležno nacionalno tijelo o povredi osobnih podataka najkasnije 24 sata nakon otkrivanja povrede osobnih podataka ako je to izvedivo.

U svoju obavijest nadležnom nacionalnom tijelu pružatelj usluga uključuje informacije predviđene u Prilogu I.

Povreda osobnih podataka smatra se otkrivenom kada je pružatelj usluga u dovoljnoj mjeri upoznat s time da je došlo do nezgode u vezi sa sigurnosnom zaštitom zbog koje su ugroženi osobni podaci, s ciljem dostavljanja smislene obavijesti kako je propisano ovom Uredbom.

3. Ako na raspolaganju nisu sve informacije predviđene u Prilogu I. i ako je potrebna daljnja istraga povrede osobnih podataka, pružatelju usluga dopušteno je da početnu obavijest dostavi nadležnom nacionalnom tijelu najkasnije 24 sata nakon otkrivanja povrede osobnih podataka. Početna obavijest nadležnom nacionalnom tijelu uključuje informacije predviđene u odjeljku 1. Priloga I. Pružatelj usluga dostavlja drugu obavijest nadležnom nacionalnom tijelu što je prije moguće, a najkasnije u roku od tri dana od početne obavijesti. Druga obavijest uključuje informacije predviđene u odjeljku 2. Priloga I. i u njoj su, prema potrebi, ažurirane već dostavljene informacije.

Ako pružatelj usluga usprkos svojoj istrazi ne može osigurati sve informacije u roku od tri dana od početne obavijesti, pružatelj usluga dostavlja sve informacije kojima raspolaže u tom vremenskom roku i nadležnom nacionalnom tijelu šalje utemeljeno obrazloženje za kasnu dostavu preostalih informacija. Pružatelj usluga dostavlja preostale informacije nadležnom nacionalnom tijelu i prema potrebi ažurira već dostavljene informacije što je prije moguće.

4. Nadležno nacionalno tijelo svim pružateljima usluga s poslovnim nastanom u predmetnoj državi članici osigurava sigurno elektroničko sredstvo za obavješćivanje o povredama osobnih podataka i informacije o postupcima za pristup tom sredstvu i njegovu uporabu. Komisija prema potrebi saziva sastanke s nadležnim nacionalnim tijelima kako bi olakšala primjenu ove odredbe.

5. Ako povreda osobnih podataka utječe na pretplatnike ili pojedince iz država članica koje nisu država članica nadležnog nacionalnog tijela koje je obaviješteno o povredi osobnih podataka, nadležno nacionalno tijelo obavješćuje druga zainteresirana nadležna tijela.

Kako bi olakšala primjenu ove odredbe, Komisija uspostavlja i vodi popis nadležnih nacionalnih tijela i odgovarajućih kontaktnih točaka.

Članak 3.

Obavješćivanje pretplatnika ili pojedinca

1. Ako bi povreda osobnih podataka mogla imati štetan učinak na osobne podatke ili privatnost pretplatnika ili pojedinca, pružatelj usluga dužan je, pored obavijesti iz članka 2., o povredi obavijestiti i pretplatnika ili pojedinca.

2. Vjerojatnost da će povreda osobnih podataka imati štetan učinak na osobne podatke ili privatnost pretplatnika ili pojedinca procjenjuje se uzimajući posebno u obzir sljedeće okolnosti:

(a)

vrstu i sadržaj predmetnih osobnih podataka, posebno ako se podaci odnose na financijske informacije, posebne kategorije podataka iz članka 8. stavka 1. Direktive 95/46/EZ, podatke o lokaciji, datoteke s podacima o prijavama na internet, povijest pretraživanja interneta, podatke o e-pošti i detaljne ispise poziva;

(b)	moguće posljedice povrede osobnih podataka za predmetnog pretplatnika ili pojedinca, posebno ako bi povreda mogla rezultirati krađom identiteta ili prijevarom, fizičkom ozljedom, psihološkim poteškoćama, poniženjem ili narušavanjem ugleda; i

(c)	okolnosti povrede osobnih podataka, posebno ako su podaci ukradeni ili ako pružatelj usluga zna da su podaci u posjedu neovlaštene treće strane.

3. Pretplatnika ili pojedinca obavješćuje se bez nepotrebnog odlaganja o povredi osobnih podataka nakon što je otkrivena, u skladu s trećim podstavkom članka 2. stavka 2. To ne ovisi o obavješćivanju nadležnog nacionalnog tijela o povredi osobnih podataka iz članka 2.

4. U svoju obavijest pretplatniku ili pojedincu pružatelj usluga uključuje informacije predviđene u Prilogu II. Obavijest pretplatniku ili pojedincu mora biti iskazana jasnim i lako razumljivim jezikom. Pružatelj usluga ne smije koristiti obavijest kao priliku za promidžbu ili oglašavanje novih ili dodatnih usluga.

5. U izvanrednim okolnostima, ako bi se obavješćivanjem pretplatnika ili pojedinca mogla ugroziti pravilna istraga povrede osobnih podataka, pružatelju usluga dopušteno je, nakon pribavljanja suglasnosti nadležnog nacionalnog tijela, da odgodi obavješćivanje pretplatnika ili pojedinca sve dok nadležno nacionalno tijelo ne bude smatralo da je moguće poslati obavijest o povredi osobnih podataka u skladu s ovim člankom.

6. Pružatelj usluga obavješćuje pretplatnika ili pojedinca o povredi osobnih podataka sredstvima komunikacije kojima se osigurava pravodobno primanje informacija i koja su na odgovarajući način zaštićena u skladu s najnovijim tehničkim dostignućima. Informacije o povredi odnose se na povredu i ne povezuju se s informacijama o drugoj temi.

7. Ako pružatelj usluga koji je u izravnom ugovornom odnosu s krajnjim korisnikom usprkos svojim razumnim naporima ne može u roku iz stavka 3. utvrditi sve pojedince na koje će vjerojatno štetno utjecati povreda osobnih podataka, pružatelj usluga može obavijestiti te pojedince putem oglasa u glavnim nacionalnim ili regionalnim medijima u relevantnim državama članicama u navedenom roku. Takvi oglasi sadrže informacije predviđene u Prilogu II., prema potrebi u sažetom obliku. U tom slučaju pružatelj usluga i dalje čini sve razumne napore kako bi identificirao te pojedince i obavijestio ih u što kraćem roku o informacijama predviđenim u Prilogu II.

Članak 4.

Tehničke mjere zaštite

1. Odstupajući od članka 3. stavka 1., obavješćivanje predmetnog pretplatnika ili pojedinca o povredi osobnih podataka nije potrebno ako je pružatelj usluga nadležnom nacionalnom tijelu pružio zadovoljavajuće dokaze da je uveo odgovarajuće tehničke mjere zaštite i da su te mjere primijenjene na podatke na koje se odnosi proboj zaštitnih mjera. Takvim tehničkim mjerama zašite podaci postaju nerazumljivi svim osobama koje nisu ovlaštene pristupati tim podacima.

2. Podaci se smatraju nerazumljivima:

(a)

ako su sigurno kodirani standardnim algoritmom, ako ključ korišten za dekodiranje podataka nije ugrožen probojem zaštitnih mjera i ako je ključ korišten za dekodiranje podataka izrađen na takav način da ga pomoću dostupnih tehnoloških sredstava ne može utvrditi nijedna osoba koja nije ovlaštena pristupiti ključu; ili

(b)

ako su zamijenjeni svojom raspršenom vrijednošću koja se izračunava standardiziranom funkcijom raspršivanja pomoću kriptografskog ključa, ako ključ korišten za raspršivanje podataka nije ugrožen probojem zaštitnih mjera i ako je ključ korišten za raspršivanje podataka izrađen na takav način da ga pomoću dostupnih tehnoloških sredstava ne može utvrditi nijedna osoba koja nije ovlaštena pristupiti ključu.

3. Komisija može, nakon savjetovanja s nadležnim nacionalnim tijelima putem radne skupine iz članka 29., Europskom agencijom za mrežnu i informacijsku sigurnosti i Europskim nadzornikom za zaštitu podataka, objaviti indikativni popis odgovarajućih tehničkih mjera zaštite iz stavka 1. u skladu s postojećim praksama.

Članak 5.

Korištenje drugog pružatelja usluga

Ako se sklopi ugovor za pružanje dijela elektroničkih komunikacijskih usluga s drugim pružateljem usluga koji nije u izravnom ugovornom odnosu s pretplatnicima, taj drugi pružatelj usluga treba u slučaju povrede osobnih podataka bez odlaganja obavijestiti pružatelja usluga naručitelja.

Članak 6.

Izvješćivanje i preispitivanje

U roku od tri godina od stupanja na snagu ove Uredbe Komisija dostavlja izvješće o primjeni ove Uredbe, njezinoj učinkovitosti i njezinim učincima na pružatelje usluga, pretplatnike i pojedince. Komisija na temelju tog izvješća preispituje ovu Uredbu.

Članak 7.

Stupanje na snagu

Ova Uredba stupa na snagu 25. kolovoza 2013.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 24. lipnja 2013.

Za Komisiju

Predsjednik

José Manuel BARROSO

(1) SL L 201, 31.7.2002., str. 37.

(2) SL L 281, 23.11.1995., str. 31.

PRILOG I.

Sadržaj obavijesti nadležnom nacionalnom tijelu

Odjeljak 1.

Identifikacija pružatelja usluga

1.	Naziv pružatelja usluga

2.	Identitet i kontaktni podaci službenika za zaštitu podataka ili druge kontaktne točke na kojoj se može dobiti više informacija

3.	Odnosi li se na prvu ili drugu obavijest

Početne informacije o povredi osobnih podataka (koje će se prema potrebi dopuniti u kasnijim obavijestima)

4.	Datum i vrijeme nezgode (ako su poznati; prema potrebi može se navesti procjena) i otkrivanja nezgode

5.	Okolnosti povrede osobnih podataka (npr. gubitak, krađa, kopiranje)

6.	Vrsta i sadržaj predmetnih osobnih podataka

7.	Tehničke i organizacijske mjere koje je pružatelj usluga primijenio (ili će primijeniti) na zahvaćene osobne podatke

8.	Relevantna uporaba drugih pružatelja usluga (gdje je primjenljivo)

Odjeljak 2.

Dodatne informacije o povredi osobnih podataka

9.	Sažetak nezgode koja je uzrokovala povredu osobnih podataka (uključujući fizičku lokaciju povrede i uključene medije za pohranu podataka)

10.	Broj predmetnih pretplatnika ili pojedinaca

11.	Moguće posljedice i mogući štetni učinci na pretplatnike ili pojedince

12.	Tehničke i organizacijske mjere koje je poduzeo pružatelj usluga kako bi ublažio moguće štetne učinke

Moguća dodatna obavijest pretplatnicima ili pojedincima

13.	Sadržaj obavijesti

14.	Korištena sredstva komunikacije

15.	Broj obaviještenih pretplatnika ili pojedinaca

Moguća prekogranična pitanja

16.	Povreda osobnih podataka koja uključuje pretplatnike ili pojedince u drugim državama članicama

17.	Obavješćivanje drugih nadležnih nacionalnih tijela

PRILOG II.

Sadržaj obavijesti pretplatniku ili pojedincu

1.	Naziv pružatelja usluga

2.	Identitet i kontaktni podaci službenika za zaštitu podataka ili druge kontaktne točke na kojoj se može dobiti više informacija

3.	Sažetak nezgode koja je uzrokovala povredu osobnih podataka

4.	Procijenjeni datum nezgode

5.	Vrsta i sadržaj predmetnih osobnih podataka iz članka 3. stavka 2.

6.	Moguće posljedice povrede osobnih podataka za predmetnog pretplatnika ili pojedinca kako je navedeno u članku 3. stavku 2.

7.	Okolnosti povrede osobnih podataka kako je navedeno u članku 3. stavku 2.

8.	Mjere koje je poduzeo pružatelj usluga u vezi s rješavanjem povrede osobnih podataka

9.	Mjere koje je preporučio pružatelj usluga za ublažavanje mogućih štetnih učinaka

Top

All