V primeru kršitve varstva osebnih podatkov je ključno, da kršitev nemudoma obravnavate.  To pomeni, da raziščete njeno dejansko stanje, ugotovite, kateri osebni podatki so bili nezakonito obdelani, na koliko posameznikov se osebni podatki nanašajo ipd. Če je to mogoče, je treba sprejeti ukrepe za ublažitev morebitnih škodljivih učinkov kršitve. 

Če je verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov mora upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvestiti Informacijskega pooblaščenca. 

Ključno je, da o kršitvi varstva osebnih podatkov pravočasno obvestite svojo Pooblaščeno osebo za varstvo podatkov, ki vam bo svetovala glede celotne obravnave kršitve varstva osebnih podatkov ter vam pomagala presoditi, ali je narava kršitve takšna, da je obveščanje Informacijskega pooblaščenca obvezno. Upravljavec mora vsako kršitev varstva osebnih podatkov, ne glede na obveznost obveščanja Informacijskega pooblaščenca, obravnavati ter jo tudi ustrezno evidentirati.

Kršitve varstva osebnih podatkov pa imajo še en, manj poznan vidik. Informacijski pooblaščenec je v svojem mnenju poudaril, da je vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo zaradi kršitve Splošne uredbe o varstvu podatkov, v skladu z njenim 82. členom, upravičen do odškodnine s strani upravljavca ali obdelovalca.

Z istim členom je tudi določeno, da je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Upravljavec ali obdelovalec se lahko razbremeni te odgovornosti, če dokaže, da ni odgovoren za škodni dogodek.

Za sodne postopke v zvezi z uveljavljanjem pravice do odškodnine je pristojno sodišče države članice, kjer ima upravljavec ali obdelovalec sedež.

Celotno mnenje Informacijskega pooblaščenca številka 07121-1/2022/1076 z dne 11. 10. 2022 je dostopno tukaj.