Citiramo objavu AZOP-a u nešto skraćenom obliku, valja pročitati, tiče se mnogih ustanova, institucija, tijela javne vlasti i jedinica lokalne i regionalne uprave kao i cjelokupne javnost:
Agencija za zaštitu osobnih podataka zaprimila je podnesak vezan za prikupljanje podataka o broju zainteresiranih djelatnika za cijepljenje, zaposlenih u pravnim subjektima unutar djelatnosti iz Vašeg resora, po prioritetima, a koje traži Hrvatski zavod za javno zdravstvo.
Naime, iz predstavci priloženog dopisa Vaše institucije koji je upućen upravnim odjelima nadležnim za djelatnosti iz Vašeg resora u županijama, razvidno je da se traži dostava podataka zaposlenika (svih ustanova djelatnosti iz Vašeg resora) zainteresiranih za cijepljenje i to na način da se popuni dostavljena Excel tablica koja sadrži sljedeći opseg osobnih podataka zaposlenika: ime, prezime, datum rođenja, OIB, MBO, broj mobitela, adresa e-pošte. Također je navedeno da je tako popunjene Excel tablice potrebno proslijediti Vašoj instituciji na adresu e-pošte.
...u konkretnom slučaju proizlazi kako se obrada osobnih podataka zaposlenika temelji na privoli kao pravnoj osnovi iz članka 6. Opće uredbe o zaštiti podataka.
Nadalje, uvažavajući načela poštene i transparentne obrade, ističemo kako je dužnost voditelja obrade da ispitanicima (u konkretnom slučaju zaposlenicima) sukladno članku 13. Opće uredbe o zaštiti podataka, ukoliko se osobni podaci prikupljaju od ispitanika, pruži sve informacije o obradi njihovih osobnih podataka (primjerice: o svom identitetu, o službeniku za zaštitu podataka, upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, o primateljima ili kategorijama primatelja osobnih podataka) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ih upoznati sa njihovim pravima koja im pripadaju sukladno Općoj uredbi o zaštiti podataka.
Nadalje, uvidom u službene internetske stranice Ministarstva zdravstva, točnije platformu za prijavu za cijepljenje protiv COVID-19 (https://cijepise.zdravlje.hr), razvidno je da se prilikom prijave za cijepljenje prikuplja sljedeći opseg osobnih podataka: OIB ili MBO, datum rođenja, općina prebivališta te adresa e-pošte, dok su podatak o broju telefona i broju mobitela opcionalni.
S tim u vezi, posebno naglašavamo kako je prilikom obrade osobnih podataka potrebno adekvatno primijeniti načela obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, a naročito načelo smanjenja količine podataka te prikupljati i dalje obrađivati isključivo nužan opseg osobnih podataka u konkretnu svrhu.
Prema tome, u konkretnom slučaju, smatramo odgovarajućim prikupljati osobne podatke u opsegu i na način kako je to učinjeno i na službenim internetskim stranicama Ministarstva zdravstva, točnije platformi za prijavu za cijepljenje protiv COVID-19 kako je prethodno navedeno, posebice glede obveznih i opcionalnih podataka kao i informacije o tome (označavanja).
Također, od voditelja obrade se sukladno članku 24. i 32. Opće uredbe o zaštiti podataka zahtijeva da provodi odgovarajuće tehničke i organizacijske mjere zaštite kako bi osigurao učinkovitu primjenu načela zaštite podataka, kao što je smanjenje količine podataka te primjenu odgovarajućih mjera zaštite osobnih podataka kako bi mogao dokazati da se štite prava ispitanika odnosno da se obrada osobnih podataka provodi u skladu s Općom uredbom o zaštiti podataka.
S tim u vezi želimo ukazati kako je razmjena osobnih podataka putem elektroničke pošte (bez primjene dodatnih mjera zaštite) s aspekta zaštite osobnih podataka vrlo nesiguran način komunikacije i razmjene podataka iz razloga što elektronička pošta od pošiljatelja do primatelja putuje u lako čitljivom obliku i prolazi kroz niz točaka u komunikacijskom kanalu elektroničke pošte nad kojima niti pošiljatelj niti primatelj nemaju kontrolu.
Stoga za dostavu osobnih podataka (u ovom slučaju Excel tablica koje sadrže osobne podatke zaposlenika) putem elektroničke pošte, Agencija daje također preporuke glede aspekta sigurnosti i zaštite osobnih podataka, kako slijedi:
📌 sve privitke/datoteke, odnosno popratnu dokumentaciju koja se želi slati putem elektroničke pošte potrebno je prvo „zapakirati“, odnosno sažeti nekim od programa za sažimanje, a koji u sebi ima mogućnosti enkripcije svog sadržaja putem lozinke velike složenosti i algoritma za enkripciju velike složenosti enkripcije te se tek tako „zapakirane“ i enkriptirane datoteke stavljaju kao privitak u elektroničku poštu;
📌 prilikom kreiranja lozinke preporučljivo je koristiti se sljedećim preporukama:
- Sigurna lozinka treba sadržavati velika i mala slova (az, AZ).
- Sigurna lozinka treba sadržavati znamenke (0-9).
- Sigurna lozinka treba sadržavati specijalne znakove ( @ # $% ^ * () _ + | ~ – = \ `{} []:”; ‘, /?.).
- Sigurna lozinka treba sadržavati najmanje 10 znakova. Što više, to bolje.
- Sigurna lozinka ne bi trebala sadržavati riječi – bez obzira na jezik, dijalekt, žargon ili slično.
- Sigurna lozinka ne bi trebala sadržavati osobne informacije poput osobnih imena članova obitelji, imena ljubimaca, adresa, datuma rođenja i slično.
📌 Lozinku kojom je enkriptiran privitak elektroničke pošte preporučljivo je dostaviti primatelju različitim kanalom od kanala kojim se dostavlja elektronička pošta, tj. nije preporučljivo dostaviti lozinku za dekriptiranje sadržaja privitka primatelju putem elektroničke pošte, jer se onda gubi smisao enkripcije (mogući neželjeni/neovlašteni primatelj poruke potencijalno ima mogućnost uvida u sadržaj enkriptiranog privitka bez ikakvih prepreka), već dostaviti putem npr. SMS poruke, izdiktirati telefonom itd.
📌 potrebno je prilikom imenovanja privitaka/datoteka, a koje će se dostavljati unutar enkriptiranog privitka (kao i imenovanja samog enkriptiranog privitka) putem elektroničke pošte voditi računa kako se iz samog naziva ne bi otkrili osobni podaci (npr. ugovor o nečemu za Ivu Ivića).
Zaključno ističemo kako se predmetna preporuka daje u svrhu unapređenja zaštite osobnih podataka te kako bi se smanjili mogući rizici od neovlaštenog pristupa odnosno spriječila moguća zlouporaba osobnih podataka djelatnika zaposlenih u pravnim subjektima unutar djelatnosti iz Vašeg resora pri obradi kakva je predmetna u ovom konkretnom slučaju, vezano uz postupanja glede aktivnosti uvjetovanih okolnostima epidemije/pandemije COVID-19.
https://azop.hr/utvrdivanje-prioriteta-u-planu-cijepljenja-protiv-bolesti-covid-19-preporuka-vezano-za-zastitu-osobnih-podataka/