O, mogu, itekako, posebice ako misle da znaju GDPR. Donosimo 2 konkretna slučaja iz EU.
 
 
Slučaj #1 dolazi nam s Islanda.
 
Unutar sudskog postupka odvjetnik je dostavio dokumentaciju s vrlo osjetljivim osobnim podacima određene osobe na njegovu gmail adresu i na opću email adresu jedinice lokalne uprave.
 
Unutar dostavljene dokumentacije nalazio se ugovor o radu s prijašnjim poslodavcem zajedno s podacima o plaći i članstvu u sindikatu, pri čemu potonje predstavlja posebnu kategoriju osobnih podataka iz članka 9. GDPR-a.
 
Odvjetnik očito nije bio svjestan da je slanjem takve dokumentacije na gmail vrlo izgledno omogućio dijeljenje vrlo osjetljivih osobnih podataka unutar Googlea, konkretno, nepoznatom broju zaposlenika i poslovnih suradnika Googlea, dok je slanjem takvih dokumenata na opću email adresu jedinice lokalne uprave izignorirao činjenicu da su vrlo osjetljivi osobni podaci postali dostupni nepoznato širokom broju zaposlenika jedinice lokalne uprave.
 
Pri tom se nije sjetio enkriptirati osjetljivu dokumentaciju prije njenog slanja emailom, kako bi otkrivanjem lozinke za dekripciju samo određenoj osobi ograničio pristup širokom broju nepoznatih i neovlaštenih osoba.
 
Islandsko nadzorno tijelo je pri donošenju odluke o kršenju GDPR-a posebno istaknulo da odvjetnik nije imao valjanog pravnog temelja tako dijeliti posebne kategorije osobnih podataka, posbice jer jedinica lokalne uprave nije bila stranka u sporu.
 
 
Slučaj #2 nam dolazi iz Njemačke.
Nadzorno tijelo utvrdilo je da odvjetnik nije uskladio svoju web stranicu s GDPR obvezama, posebice u području transparentnosti i davanja svih potrebnih informacija iz članka 13. GDPR-a kroz Politiku privatnosti.
 
Više o članku 13. GDPR-a pročitajmo ovdje:
 
https://www.biconsult.hr/gdprcroatia/548-politika-privatnosti-i-obveze-transparentnosti
 
Također, odvjetnik je imao neenkrptiranu web stranicu, odnosno stranicu na kojoj razmjena osobnih podataka i informacija nije bila kriptirana, odnosno, stranica nije bila HTTPS.
 
 
Ova dva slučajeva dobro ukazuju na činjenicu da je za kvalitetnu implementaciju GDPR obveza, uz pravno znanje neophodno imati i znanje u području IT-a i informacijske sigurnosti.
 
Više o slučajevima:
 
https://gdprhub.eu/index.php?title=LG_W%C3%BCrzburg_-_11_O_1741/18_UWG&mtc=today
 
https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Iceland)_-_nr._2020082238&mtc=today
 
 
 
 
 
Photo by Mikhail Nilov from Pexels