I mi smo nažalost u ulozi Službenika za zaštitu podataka za niz škola tijekom 2020. prijavili povredu podataka u jednoj školi, svjesni vrlo ozbiljne obveze koja proizlazi i članaka 33. i 34. GDPR-a.
Iz Danske nam dolazi slučaj u kojem je škola propustila prijaviti očiglednu povredu osobnih podataka i dobila opomenu nadzornog tijela.
Škola je, naime, poslala pisano upozorenje učeniku o njegovim brojnim izostancima s nastave, uključujući ime i prezime, statistike izostanaka s nastave kao i upozorenje o mogućem isključenju iz škole, što svakako predstavlja njegove osobne podatke.
Međutim, ljudskom pogreškom, škola je te evidencije dostavila drugom učeniku.
Škola je u kratkom roku shvatila da su osobni podaci učenika pogreškom otkriveni drugom učeniku te je o tome obavijestila pogođenog učenika i ispričala mu se, a istovremeno je zatražila od stvarnog primatelja podataka da ih izbriše i sačuva njihovu povjerljivost.
Pri tom je škola odlučila ne prijaviti povredu osobnih podataka nadzornom tijelu za zaštitu osobnih podataka prema članku 33. GDPR-a, unatoč strogoj obvezi, jer su smatrali da se otkrivanjem takvih podataka drugoj osobi neće dogoditi nikakav neželjeni učinak na učenika.
Međutim, dogodilo se suprotno.
Informacija o tome da škola prijeti učeniku s isključenjem zbog izostanaka vrlo se brzo proširila među učenicima i unutar škole, čime je definitivno izostajajućem učeniku nanesena nezaslužena bol i nematerijalna šteta.
Učenik je prijavio slučaj nadzornom tijelu za zaštitu podataka koje je reagiralo prema školi.
Posebno je važno uočiti nužnost da se ovako delikatni poslovi dostave osjetljivih osobnih podataka moraju povjeriti zaposlenicima koji imaju traženu razinu koncentracije i pažnje i koji znaju kako to učiniti bez pogreške.
Više o slučaju
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-32-2067&mtc=today
Photo by Max Fischer from Pexels
