Puno je općina u Hrvatskoj apliciralo za EU potpore unutar WiFi4EU programa i svakako je i to bio dobar predizborni adut dosadašnjim nositeljima lokalnih vlasti.
No, instalirane javno dostupne WiFi mreže treba održavati i znati njima upravljati.
Jedna nizozemska lokalna uprava malo se previše uživila u ulogu upravitelja javno dostupne WiFi mreže uključivši vanjske tvrtke za praćenje načina i učinkovitosti korištenja WiFi mreže, s namjerom dokazivanja odgovornog trošenja novaca iz EU fondova.
Uz WiFi mrežu angažirane su tvrtke instalirale i dodatne senzore prikupljajući djelomično anonimizirane MAC adrese spojenih uređaja krajnjih korisnika, datume i vremena spajanja, jačinu signala i identifikatore instaliranih senzora, kojima se mogla odrediti i približna lokacija spajanja, odnosno, krajnjeg korisnika.
Prikupljanje takvih podataka trajalo je gotovo 7 mjeseci, zabilježeno je spajanje 1.8 milijuna uređaja, točnije, različitih krajnjih korisnika.
Naravno, jedinica lokalne uprave je smatrala da ovdje nema problema s GDPR-om i da su prikupljeni podaci dovoljno anonimizirani i nepovezivi s krajnjim korisnicima.
Nadzorno tijelo za zaštitu podataka nije dijelilo njihovo nestručno mišljenje i kaznilo ih s drastičnih 600.000 EUR kazne.
Djelomično i nestručno anonimizirane MAC adrese u kombinaciji s vremenom i datumom spajanja i podatkom o lokaciji senzora predstavlja dovoljan skup podataka kojima se mogu identificirati pojedine fizičke osobe, pa i pratiti njihovo kretanje, njihove životne rutine, npr. s kim se nalaze učestalo na istoj lokaciji u određeno vrijeme ili na kojoj lokaciji im se nalazi dom a na kojoj radno mjesto. Još je gore što se iz tih podataka može utvrditi kad je koji korisnik posjetio liječnika ili ostale zdravstvene ustanove.
Svi ti podaci prikupljani putem WiFi mreža i dodatnih senzora predstavljaju osobne podatke i GDPR se mora primjenjivati u cijelosti.
Najgore od svega je to što je jedinica lokalne uprave potpuno neutemeljeno smatrala ovakvo praćenje svojih sugrađana svojom obvezom prema pravilima korištenja EU fondova, a istovremeno nepoznavanje GDPR-a.
Drastična kazna u ovom slučaju ima smisla.
Više o slučaju iz Nizozemske:
https://gdprhub.eu/index.php?title=AP_(The_Netherlands)_-_Gemeente_Enschede&mtc=today
