Нарушение не возникает лишь тогда, когда  у предпринимателя пропадают доверенные ему личные документы. Нарушением является любое нарушение требований безопасности, которому способствует случайное или незаконное уничтожение, утеря, изменение, незаконное опубликование персональных данных или предоставление к ним доступа.

Правило 72 часов

При нарушении, связанном с персональными данными, их ответственный обработчик должен незамедлительно оповестить об этом надзорное учреждение. Согласно общему постановлению (далее – постановление), обработчик  должен это сделать в течение 72 часов.

Надзорным учреждением в Эстонии является Инспекция по защите данных. Таким образом, если, например, компьютер руководителя отдела кадров на конференции находился в открытой интернет-сети и через нее стали известны данные о здоровье, связанные с сотрудниками предприятия, предприятие обязано в течение 72 часов оповестить о случившемся Инспекцию по защите данных. В течение этих трех дней предприятие должно установить, какие файлы данных пропали и сколько лиц затронуто; описать возможные последствия и меры, которые предприятие использует для работы с нарушением.

В виде исключения о нарушении разрешено сообщать позже, если оно не вредит правам и свободам лица. Это означает, что ответственный обработчик должен уметь оценивать последствия, сопутствующие конкретному нарушению.
Важно обратить внимание и на то, что ответственный обработчик должен документировать все случаи нарушений, связанных с персональными данными. Документировать необходимо обстоятельства нарушения, а также его влияние и меры, предпринятые для исправления нарушения.
Учитывая сложность процедуры, оповещение должно быть очень тщательно продумано до того, как в этом возникнет необходимость.

Обязанность оповещения самого лица

Если нарушению, по всей вероятности, сопутствует большая опасность для прав и свобод лица, то его также следует незамедлительно оповестить о нарушении. Большая опасность для прав и свобод лица может возникнуть, например, в том случае, когда мошенники получают доступ к данным его банковского счета.

В оповещении следует описать вид нарушения, его возможные последствия, а также меры, предпринимаемые обработчиком во избежание вредоносных последствий.

Оповещение необходимо представлять на простом языке, то есть лицо должно четко понимать, какое нарушение совершено в отношении его персональных данных.

Ответственный обработчик данных не обязан оповещать Инспекцию по защите данных в том случае, если он зашифровал персональные данные, которые были подвержены влиянию в результате нарушения.

Памятка

• Общее правило: о нарушении, связанном с персональными данными, всегда необходимо оповещать Инспекцию по защите данных в течение 72 часов.
• Для обеспечения обязанности оповещения о нарушении на предприятии следует ввести внутренние правила: кто и что должен делать в случае нарушения. Вопрос не в том, произойдет ли на предприятии нарушение, а в том, готово ли предприятие к такому случаю.
• Необходимо следить за тем, чтобы случаи нарушений всегда документировались в соответствии с постановлением.
• При возможности можно применять шифрование персональных данных, что обеспечивает их защиту.