Na dnevnom redu sjednice Hrvatskog sabora imamo sada čak dva službena dokumenta AZOP-a:
1. Godišnje izvješće za 2019. o kojem smo detaljno pisali
https://www.biconsult.hr/gdprcroatia/790-godisnje-izvjesce-azop-a-o-radu-u-2019-godini
2. Godišnje izvješće za 2020. koje je vrlo aktualno
https://www.sabor.hr/godisnje-izvjesce-o-radu-agencije-za-zastitu-osobnih-podataka-za-razdoblje-od-1-sijecnja-do-31-1?t=124486&tid=209438
i iz kojeg izdvajamo:
- Agencija je u 2020. godini započela provoditi postupke izricanja upravno novčanih kazni za koje su kriteriji i način utvrđivanja uređeni Općom uredbom o zaštiti podataka te smjernicama nadležnih Europskih tijela
- ukupan broj predmeta u 2020: 5.521 + 2.427 predmeta iz prethodnih godina
- 578 upita voditelja i izvršitelja obrada, što je rast od 390% u odnosu na 2019. godinu
- gotovo 3.000 rješenih predmeta u 2020. godini
- 1.900 nadzornih aktivnosti u 2020. godini uz 620 naloga za otklanjanje nepravilnosti, od toga ih je 305 potaknuto prijavom od strane fizičkih osoba a 25 od trećih strana
- rast broja prijavljenih povreda osobnih podataka, 49 ih je bilo u 2018. 73 u 2019. i 107 u 2020.
- 1.216 novih Službenika za zaštitu podataka je prijavljeno AZOP-u, ova brojka nas zabrinjava jer je tumačimo kao da voditelji i izvršitelji obrada tek sada shvaćaju svoje obveze
BANKARSKI SEKTOR
- U 2020. Agencija je nastavila zaprimati značajan broj zahtjeva za zaštitu prava vezanih uz onemogućavanje ostvarivanje prava na pristup osobnim podacima (tj. kreditnoj dokumentaciji) u kreditnim institucijama/bankama
- banke odbijaju omogućiti ostvarivanje prava na pristup/dostavu takve dokumentacije klijentima pozivajući se na posebne propise i navodeći kako se u konkretnom slučaju ne radi o obradi osobnih podataka u smislu Opće uredbe o zaštiti podataka, u čemu banke ozbiljno griješe
- protiv banaka se vode sudski postupci temeljem njihovih upravnih tužbi protiv rješenja AZOP-a s kaznama
- banke u svojem postupanju ne poduzimaju sve potrebne tehničke mjere zaštite, prije svega one koje se odnose na kontinuirano educiranje i praćenje rada zaposlenika banke u postupanju s osobnim podacima, a sa kojima raspolaže banka kao i posljedicama nezakonitog raspolaganja osobnim podacima, što je u konačnici imalo za posljedicu otkrivanje osobnih podataka neovlaštenim osobama (bivšem bračnom partneru, djetetu i dr.)
AGENCIJE ZA NAPLATU POTRAŽIVANJA
- nije potreban pristanak dužnika, niti postoji obveza informiranja od strane vjerovnika ako je vjerovnik povjerio poslove obrade osobnih podataka temeljem ugovora o nalogu ili drugog pravnog akta (odredbe članka 28. Opće uredbe o zaštiti podataka) izvršitelju obrade osobnih podataka (agenciji za naplatu potraživanja) kao izvršitelju obrade da u ime i za njegov račun obrađuje osobne podatke dužnika u točno određenu svrhu (npr. slanje opomena o dospjelom dugovanju i sl.)
DRUŠTVENE MREŽE
- Izdvajamo slučaj postupanja protiv voditelja obrade zbog obrade osobnih podataka (videozapisa) na društvenoj mreži YouTube objavom imena i prezimena, naznake radnog mjesta i fotografija bez postojanja pravne osnove iz članka 6. stavka 1. Opće uredbe o zaštiti podataka (to je slučaj temeljem naše prijave)
JAVNI I DRŽAVNI SEKTOR
- Agencija je zabranjivala objavu osobnih podataka u prekomjernom opsegu od strane tijela javne vlasti na mrežnim stranicama, zatim u vezi obrade osobnih podataka kandidata u natječajnim postupcima i njihove dostupnosti na mrežnim stranicama te isto tako nalagala brisanje/uklanjanje javno objavljenih podataka protekom svrhe u koju su objavljeni i dr.
VIDEO NADZOR
- Zahtjevi su se najčešće odnosili na utvrđivanje moguće povrede obrade osobnih podataka vezano uz postavljanje videonadzornih kamera/sustave u stambenim zgradama, na objektima u privatnom vlasništvu (kućama) koji snimanjem zahvaćaju privatnu i javnu površinu te na postavljanje kamera na radnom mjestu. Što se tiče postavljanja videonadzornog sustava u stambenim zgradama, pritužbe su se u pravilu odnosile na nepostojanje potrebne dvotrećinske suglasnosti suvlasnika iskazane u suvlasničkim udjelima za uvođenje video nadzora, ne postojanja obavijesti o obradi osobnih podataka videonadzornim sustavom te nedovoljno informacija o pravima ispitanika u odnosu na takvu obradu
ZDRAVSTVO
- u najvećem dijelu su se prigovori odnosili na upite o dostavljanju imena i prezimena osoba oboljelih od koronavirusa COVID-19 ili osoba kojima je određena mjera samoizolacije
- Izdvajamo i postupanje po zahtjevu za zaštitu prava u kojem se navodi kako je nepoznati djelatnik Opće bolnice osobne podatke jednog pacijenta, a koji upućuju na sumnju u moguću infekciju koronavirusom COVID -19, objavio na Facebooku (FB grupi), srećom nije bio istinit
- posebno osjetljivi osobni podaci (podaci o zdravlju pacijenata) uživaju posebnu zaštitu u odnosu na druge matične podatke, čija obrada je zaštićena i posebnim propisima (Zakonom o zaštiti prava pacijenata “Narodne novine” broj 169/04, 37/08, Zakonom o liječništvu “Narodne novine” broj 121/03, 117/08) pri čemu je posebno stavljen naglasak na sigurnost i povjerljivost podataka
RADNI ODNOSI
- pritužbe o nesukladnom omogućavanju uvida u osobne podatke radnika, korištenju osobnih podataka radnika od strane poslodavaca i nakon prestanka radnog odnosa (primjerice korištenje e-adresa bivših radnika u svrhu poslovanja poslodavca), dostavu podataka o radnicima trećim osobama i medijima, omogućavanje uvida sindikatima u osobne podatke radnika (primjerice dostave podataka o plaćama svih radnika bez obzira na članstvo u sindikatu), objavu osobnih podataka o visini plaće radnika te objavu osobnih podataka radnika na oglasnoj ploči poslodavca, a kojima je isplaćena stimulacija
- izdvajamo i stručno mišljenje vezano uz obradu osobnih podataka radnika koje provode njihovi poslodavci u slučajevima kada agencije za naplatu potraživanja kao ovrhovoditelji nalože poslodavcu obustavu sredstava sa plaće bez privole radnika (dužnika). Opisani način obrade osobnih podataka reguliran je Ovršnim zakonom (“Narodne novine” broj 112/12 do 131/20), a pljenidba se provodi dostavom rješenja o ovrsi ovršenikovu dužniku (poslodavcu) kojim se poslodavcu zabranjuje da radniku (ovršeniku) ispuni novčanu tražbinu, a ovršeniku se zabranjuje da tu tražbinu naplati ili da inače raspolaže njome i zalogom koji je dan za njezino osiguranje. Stoga, u slučaju primjene Ovršnog zakona kada je primjena istoga potrebna kako bi se provela naplata potraživanja od strane ovrhovoditelja, navodimo kako se s aspekta pravnog okvira zaštite osobnih podataka radi o zakonitoj obradi osobnih podataka koja je utemeljena na posebnom zakonu
ZNANOST I OBRAZOVANJE
- Izdvajamo mišljenje na zaprimljeni upit u kojem je diplomirani student (bivši) želio ostvariti svoje pravo na brisanje završnog rada iz nacionalnog repozitorija diplomskih radova. Izdano je mišljenje kako to pravo nije moguće ostvariti budući da je Zakonom o znanstvenoj djelatnosti i visokom obrazovanju (“Narodne novine” broj 123/03, do 96/18) propisano čuvanje takvih podataka trajno
- Agencija je izradila i dvije sektorske preporuke koje su se odnosile na postupanja školskih i predškolskih ustanova pri obradi osobnih podataka djece/učenika
MEDIJI
- U 2020. godini građani su se obraćali Agenciji s pritužbama i upitima povezanima s objavom njihovih osobnih podataka u medijima kao i objavom njihovih podataka u prekomjernom opsegu (imena i prezimena, privatne adrese, fotografija, OIB-a i sl.) u elektroničkim medijima (najviše internetskim portalima ali i u medijima općenito), u kojima se spominju u određenom kontekstu (npr. u kontekstu počinjenja kaznenih djela, u kontekstu zaposlenja i dr.), budući da je objavom medijskih članaka sa njihovim osobnim podacima otkriven njihov identitet
MARKETING
- Osim privole obrada osobnih podataka je zakonita i u slučaju postojanja legitimnog interesa voditelja obrade odnosno u slučaju odgovarajućeg odnosa ispitanika (građanina) i voditelja obrade, primjerice u situacijama kada je ispitanik klijent voditelja obrade ili je u njegovoj službi. Postojanje legitimnog interesa zahtjeva pažljivu procjenu, između ostalog, može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati takvu obradu podataka
TELEKOMI
- prikupljanje osobnih podataka teleoperatorima u kojima se traži dostava preslika osobnih dokumenata (osobne iskaznice) u svrhu utvrđivanja nedvojbenog identiteta podnositelja zahtjeva, primjerice kod zaključivanja ugovornog odnosa, kod raskida ugovornog odnosa, kod podnošenja prigovora na obračun troškova i dr. U izdanim mišljenjima zauzet je stav da je prikupljanje podataka na opisani način moguće isključivo u svrhu utvrđivanja/provjere nedvojbenog identiteta korisnika pod uvjetom da voditelj obrade već ne raspolaže s takvim dokumentima, u protivnom se opisani način prikupljanja smatra preinvazivnim i prekomjernim
DJECA
- izdvajamo i postupanja na temu zakonite obrade/zaštite osobnih podataka posvojene djece koja su rođena prije 2015. godine. Osobito njihovih osobnih podataka (imena i prezimena, podataka o biološkim roditeljima) budući da njihovi podaci i nakon postupka posvojenja ostaju dostupni pojedinim institucijama putem njihovog OIB-a. Prilikom posvajanja djeteta, izdaje se rodni list s novim podacima. Međutim, djeca koja su posvojena prije 2015., sukladno važećim zakonskim propisima, ne dobivaju novi OIB, a budući da se putem OIB-a generiraju osobni podaci – u sustavima i dalje ostaju nepromijenjeni podaci sve dok sami roditelji nakon postupka posvojenja osobno ne zatraže promjenu istih. Navedeni način obrade osobnih podataka nije usklađen s Općom uredbom o zaštiti podataka
KAZNE
- Izdvajamo rješenje po službenoj dužnosti kojim je izrečena upravno novčana kazna. Agencija za zaštitu osobnih podataka je po službenoj dužnosti donijela rješenje kojim se jednoj od kreditnih institucija sa sjedištem u Zagrebu (dalje u tekstu: Banka) izrekla upravno novčanu kaznu zbog povrede članka 15. st. 3. Opće uredbe o zaštiti podataka, točnije zbog neomogućavanja prava na pristup osobnim podacima svojim klijentima/ispitanicima sukladno čl. 15. st. 3. Opće uredbe o zaštiti podataka
- Primarni razlog za izricanje upravno novčane kazne leži u činjenici kako, niti nakon već prethodno donesenih naloga iz rješenja Agencije nije se pravno uspjelo djelovati na Banku na način da poštuje prava ispitanika koja su im zajamčena Općom uredbom o zaštiti podataka. Budući da izricanjem blažih korektivnih mjera (nalog za dostavu osobnih podataka) nije postignuta svrha u smislu poštivanja Opće uredbe o zaštiti podataka, Agencija je pristupila izricanju upravno novčane kazne kao prikladne vrste kazne kojom će se ostvariti svrha kažnjavanja.
- Također kao jedan od kriterija kod utvrđivanja visine upravno novčane kazne u konkretnom slučaju uzeto je u obzir da je povredom obuhvaćeno preko 2500 ispitanika/građana Republike Hrvatske koji su Banci podnijeli zahtjev za pristup svojim osobnim podacima, a kojima Banka kao voditelj obrade nije udovoljila. Isto tako, u obzir je uzeta, kao otežavajuća okolnost, da se radi o povredi dužeg vremenskog trajanja (razdoblje od 25. svibnja 2018. do 30. travnja 2019). tj. o vremenskom razdoblju od skoro godinu dana u kojem su podnositelji zahtjeva bili onemogućeni u ostvarivanju svojih prava.
- Iz takvog postupanja Banke jasno proizlazi kako je Banka bila svjesna činjenice da se na opisani način uskraćuje pristup osobnim podacima ispitanika, odnosno zaštita njihovih temeljnih prava koja su zajamčena Općom uredbom o zaštiti podataka. Dakle, utvrđeno je da je Banka prilikom navedenog kršenja obveze iz Opće uredbe o zaštiti podataka postupala svjesno i s namjerom, osobito iz razloga što se ne radi o izoliranom slučaju kršenja prava ispitanika, već o uskraćivanju ostvarivanja prava većem broju ispitanika (2577), o dužem vremenskom trajanju same povrede te da pristup osobnim podacima nije omogućen niti nakon donošenja pojedinačnih rješenja u kojima je Banci naloženo omogućavanje ostvarivanja prava sukladno čl. 15. st. 3. Opće uredbe o zaštiti podataka u pojedinačnim slučajevima, a što svakako ukazuje na ozbiljnost učinjene povrede.
- U postupcima u kojima su utvrđene teže povrede prava (primjerice kod obrade osobnih podataka djece ili obrade osobnih podataka bez postojanja pravnog temelja) osim korektivnih mjera u vidu izdavanja naloga za zakonitim postupanjem izrečene su i korektivne mjere službene opomene kao dodatno upozorenje o težim povredama prava. Tako je u ovom izvještajnom razdoblju izrečeno 15 službenih opomena.
POVREDE OSOBNIH PODATAKA
U 2020. godini uzroci povreda zaštite osobnih podataka, a koji su prijavljeni ovoj Agenciji, u najvećoj mjeri su:
▪ Maliciozni softver ("ransomware" i dr.) – kriptiranje podataka (i dr.): 46
▪ Dostava osobnih podataka neovlaštenim osobama: 19 ▪ Neodgovarajuće organizacijsko-tehničke/sigurnosne mjere: 16
▪ Neovlaštena obrada osobnih podataka: 9
▪ Greška u softveru - dostupnost osobnih podataka neovlaštenim osobama: 7
▪ Krađa /gubitak uređaja/medija sa osobnim podacima: 6 ▪ Javna objava osobnih podataka: 4
I ZA KRAJ - I MI SMO UNUTRA ;-)
Održan Okrugli stol na temu zaštite podataka „GDPR – Jesmo li na pravom putu?“ U sklopu 43. međunarodnog skupa za informacijsku, komunikacijsku i elektroničku tehnologiju u organizaciji Hrvatske udruge za informacijsku, komunikacijsku i elektroničku tehnologiju (MIPRO) i Pragmatekha, dana 30. rujna održan je Okrugli stol na temu zaštite podataka „GDPR – Jesmo li na pravom putu?“, na kojem je sudjelovala i Agencije za zaštitu osobnih podataka. Obzirom na epidemiološku situaciju, konferencija je održana putem ZOOM platforme na kojoj su stručnjaci u području zaštite podataka raspravljali o osviještenosti i razumijevanju GDPR-a građana Republike Hrvatske i pravnih subjekata, dvije godine nakon početka njegove primjene. Također, panelisti su se dotaknuli i izazova u 2020. godini te utjecaja COVID-19 epidemije na zaštitu privatnosti, kao i presude Europskog suda u slučaju Schrems II.