Događaju se ponekad slučajevi kada npr. prodajni zastupnici prilikom odlaska u drugu firmu ili otvaranja vlastitog biznisa uzmu kopiju kontakata kupaca, klijenata, krajnjih korisnika, s namjerom da monetiziraju taj popis u vlastitu korist.

Dok je radio kao prodajni agent, imao je potpuno zakoniti pristup osobnim podacima korisnika zbog prirode svog posla. Prestankom radnog odnosa bivši prodajni agent nema zakoniti temelj za prisvajanje osobnih podataka, odnosno, njihovo neovlašteno kopiranje i organizacija u kojoj je radio suočava se s povredom osobnih podataka.

 

KORAK 1.

Organizacija mora po prvom saznanju shvatiti da ima potencijalnu ili stvarnu povredu osobnih podataka, koliko god je to teško priznati. To je prvi i najteži korak.

 

KORAK 2.

Moramo li obavijestiti AZOP o toj povredi ili i osobe čiji su podaci ukradeni?

Konkretno se radi o povredi povjerljivosti osobnih podataka, i u pravilu se pri tom kopiraju samo kontaktni podaci (ime, tvrtka, email, telefon) te nisu u pitanju posebne kategorije osobnih podataka. No, određen rizik za pogođene korisnike ili klijente ipak postoji jer organizacija ne može znati koje su namjere bivšeg zaposlenika, hoće li on te podatke javno objaviti ili distribuirati dalje, zasipati ih zlonamjernim mailovima i sl. Stoga postoji rizik za te osobe.

 

KORAK 3.

U roku od najviše 72 sata mora se izvijestiti AZOP u skladu s uputama na stranicama:

https://azop.hr/izvjescivanje-o-povredi-osobnih-podataka/

 

KORAK 4.

S obzirom da smo utvrdili da ukradeni osobni podaci nisu osjetljive prirode (npr. nisu članstvo u sindikatu, nisu podaci o zdravlju, nisu kopije bankovnih kartica...), pogođeni pojedinci se izgledno neće suočiti s visokim rizikom za njihova prava i slobode, stoga organizacija nema GDPR obvezu izravnog obavještavanja pogođenih pojedinaca o povredi.

No, kako se radi i postojećim klijentima ili korisnicima, bilo bi itekako razumno da im se organizacija što prije javi, da im prva otkrije činjenicu umjesto da je saznaju od bivšeg zaposlenika. Teško je istinu sakriti, a ako se otkrije na nekontroliran način, gubi se povjerenje klijenata i stvara reputacijska šteta.

 

Kako organizacije mogu, osim što moraju, spriječiti nastajanje ovakvih povreda podataka?

Priznat ćemo, nije lako.

Mjere se sastoje od pravovremenog ograničavanja pristupa pojedinim poslovnim sustavima (npr. CRM) i evidencijama, strogoj primjeni pravila pristupa poslovnoj dokumentaciji i nadzoru ostvarenih pristupa, posebice za zaposlenike koji su u otkaznom roku, temeljem internih akata organizacije.

Organizacija mora odmah po otkrivanju neovlaštenog kopiranja zatražiti bivšeg zaposlenika da uništi kopije i, po potrebi, pokrenuti pravne postupke protiv njega, ali dati i jasnu informaciju svim svojim zaposlenicima da se takve stvari ne smiju činiti i da će biti sankcionirane.

Izvor: EDBP prijedlog Smjernica u vezi obavještavanja o povredama podataka

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_en

 

No, jel' i novi poslodavac tog prodajnog agenta svjestan kršenja GDPR obveza?

Nezakonito kopirani i preneseni osobni podaci krajnjih korisnika s kojima tvrtka nema nikakve ugovorne veze, dovode do izravnog kršenja članka 6. GDPR-a. Novi poslodavac nema nijedan valjani zakoniti temelj da u svojim sustavima ili računalima ili kod svojih zaposlenika na bilo koji način obrađuje tako ukradene osobne podatke.

 

Takav slučaj dogodio se u Španjolskoj:

https://gdprhub.eu/index.php?title=AEPD_-_PS/00334/2020&mtc=today

 

 

 

 

 

Photo by Andrea Piacquadio from Pexels