Mi ćemo prvi priznati da smo vidjeli takve slučajeve i uvjereni smo da se zbivaju svaki dan.
No, osjećamo da je mnogim organizacijama teško priznati da im se ovakvo nešto dogodilo. U pravilu se radi o pogrešci ili nesmotrenosti zaposlenika.
Imali smo takav slučaj u Sloveniji unutar organizacije u kojoj smo uvodili GDPR gdje je jedan zaposlenik zaista pogriješio. Nismo ni trenutka dvoumili - obavijest i isprika svim osobama čiji su osobni podaci bili kompromitirani i prijava slovenskom nadzornom tijelu.
Zamislimo sada ovakav konkretan slučaj:
Hotel prikuplja osobne podatke 15 sudionika edukacije koja će se odvijati u hotelu u kojem će oni boraviti tijekom edukacije. Pogreškom je popis sudionika dolazeće edukacije poslan na email adrese bivših 15 polaznika, umjesto hotelu radi organizacije. Pri tom su neki od budućih sudionika dali i svoje osobne podatke o prehrambenih navikama ili potrebama i intoleranciji na laktozu.
Da, u ovom slučaju radi se o povredi osobnih podataka.
Štoviše, za nekoliko sudionika povrijeđeni su i podaci o zdravlju (intolerancija na laktozu) koji spadaju u posebne kategorije osobnih podataka čije neovlašteno otkrivanje teoretski može uzrokovati ozbiljne štete za te osobe. U GDPR-u se to naziva visok rizik za prava i slobode pojedinaca.
Pošiljatelj ovog emaila je odmah po slanju shvatio što je učinio, kontaktirao je primatelje i zatražio ih da izbrišu emailove.
Analiza slučaja pokazuje slijedeće:
- Rizici za osobe čiji su osobni podaci otkriveni neovlaštenim osobama nije nešto visok.
- Broj ljudi pogođenih povredom podataka je vrlo malen.
- Iako se ovdje rado o otkrivanju podataka o zdravlju nekoliko osoba, ipak je rizik da takve podatke može netko zlonamjeran iskoristiti protiv tih osoba relativno nizak. Naime, teško je identificirati rizik koji bi uzrokovao fizičku, materijalnu ili nematerijalnu štetu tim osobama, niti se podatak o intoleranciji može povezati s ostalim vrlo osjetljivim podacima kao što su vjerska ili filozofska opredijeljenja.
- Odlična je stvar da je pošiljatelj odmah po shvaćanju problema kontaktirao sve primatelje emaila sa zahtjevom da ih izbrišu. To je dobra mjera za pokušaj umanjenja štete.
- U takvim slučajevima pošiljatelj svakako ne smije ponoviti pogrešku pa u žurbi i panici poslati email iz prethodne točke sa svim neželjenim primateljima u To: ili CC: polju. Mora ih se staviti u BCC: polje.
- Pri tom valja skrenuti pozornost neželjenim primateljima emaila s popisom budućih polaznika, da moraju izbrisati krivo poslan email jer prema članku 6. GDPR-a nemaju pravnog temelja zadržati osobne podatke iz tog emaila, iako su ga dobili. Za dobrobit neželjenih primatelja dobro je skrenuti im pozornost na ovo.
- Ako se sve to dobro izvede, nema potrebe prijavljivati ovu povredu osobnih podataka AZOP-u niti osoba s popisa u emailu.
- Ali moramo ovu povredu zapisati u Evidenciji povreda osobnih podataka.
Ovaj je primjer samo jedan od niza odličnih primjera na javnoj raspravi od strane EDPB-a (European Data Protection Board), na ovom linku:
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf