Vrlo često se susrećemo sa slučajevima u kojima prepoznajemo da neki grad ili općina ima problema u poštivanju GDPR obveza, a neusklađenosti prepoznajemo već na njihovim web stranicama ili u postupcima otvaranja raznih natječaja za zapošljavanje ili dodjele potpora.
 
I sam autor ovog članka Službenik je za zaštitu osobnih podataka za dvije jedinice lokalne uprave i odgovorno tvrdimo da usklađivanje jedinica lokalne uprave zaista spada u najkompleksnije projekte zbog velikih količina osobnih podataka koje obrađuju i neizbrojive količine raznih vrsta aktivnosti obrada osobnih podataka svojih sumještana, djece, umirovljenika, osoba s posebnim potrebama ili s posebnim socijalnim statusom.
 
Da stvari mogu postati vrlo ozbiljne kad su u pitanju gradovi i općine pokazuju nam dva slučaja iz Norveške.
 
U prvom slučaju je gotovo pune dvije godine neovlaštenim je zaposlenicima jedinice lokalne uprave propustom bio omogućen pristup do vrlo osjetljivih zdravstvenih podataka u vlastitim sustavima.
 
Nakon što su otkrili taj sigurnosni propust i kršenje načela zaštite osobnih podataka by default, nisu zatražili od tvrtke koja održava IT sustave da to isprave i uvedu stroga ograničenja pristupa pojedinoj dokumentaciji, već su svoje zaposlenike zatražili da ne pristupaju dokumentaciji koja je svima dostupna i nisu prijavili ovu povredu osobnih podataka nadzornom tijelu, iako je ovakvim pristupom osjetljivim zdravstvenim podacima postojao visok rizik za prava i slobode pojedinaca.
 
Nadzorno tijelo kaznilo je jedinicu lokalne uprave s 40.000 EUR kazne.
 
https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_DT-20/01879&mtc=today
 
 
Drugi slučaj je završio s bitno višom kaznom od 410.000 EUR, nakon što je jedinica lokalne uprave bila metom višestrukih ransomware napada koji su imali za posljedicu gubitak značajnih količina vrlo osjetljivih osobnih podataka i njihove objave na Dark webu.
 
Posljedice ransomwarea bile su takve da je oko 30.000 dokumenata i 160 GB podataka postalo nedostupno uslijed zaključavanja od strane hakera, a uključivali su i podatke o rasnoj i etničkoj pripadnosti, političkim uvjerenjima i vjerskoj pripadnosti, seksualnoj orijentaciji, članstvu u sindikatu, zdravlju, pedagoškim dijagnozama, datumima rođenja ili bankovnim računima.
 
Gore ne može...
 
Od tih dokumenata, njih 2.000 završilo je objavom na Dark webu i bili su na prodaju.
 
Istraga je utvrdila da je sigurnost IT sustava bila iznimno loša, da backup procedure nisu bile ispravne niti su sigurnosne kopije bile zaštićene od napadača.
 
Za razliku od prethodnog slučaja, ovdje je jedinica lokalne uprave prijavila povredu osobnih podataka nadzornom tijelu i kompromitiranim osobama.
 
Svejedno su oštro kažnjeni zbog ogromnih propusta u sigurnosti sustava kojima obrađuju tolike količine osobnih podataka.
 
https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_DT-20/00480&mtc=today