I mi smo nažalost u ulozi Službenika za zaštitu podataka za niz škola tijekom 2020. prijavili povredu podataka u jednoj školi, svjesni vrlo ozbiljne obveze koja proizlazi i članaka 33. i 34. GDPR-a.
Iz Danske nam dolazi slučaj u kojem je škola propustila prijaviti očiglednu povredu osobnih podataka i dobila opomenu nadzornog tijela.
Škola je, naime, poslala pisano upozorenje učeniku o njegovim brojnim izostancima s nastave, uključujući ime i prezime, statistike izostanaka s nastave kao i upozorenje o mogućem isključenju iz škole, što svakako predstavlja njegove osobne podatke.
Međutim, ljudskom pogreškom, škola je te evidencije dostavila drugom učeniku.
Škola je u kratkom roku shvatila da su osobni podaci učenika pogreškom otkriveni drugom učeniku te je o tome obavijestila pogođenog učenika i ispričala mu se, a istovremeno je zatražila od stvarnog primatelja podataka da ih izbriše i sačuva njihovu povjerljivost.
Pri tom je škola odlučila ne prijaviti povredu osobnih podataka nadzornom tijelu za zaštitu osobnih podataka prema članku 33. GDPR-a, unatoč strogoj obvezi, jer su smatrali da se otkrivanjem takvih podataka drugoj osobi neće dogoditi nikakav neželjeni učinak na učenika.
Međutim, dogodilo se suprotno.
Informacija o tome da škola prijeti učeniku s isključenjem zbog izostanaka vrlo se brzo proširila među učenicima i unutar škole, čime je definitivno izostajajućem učeniku nanesena nezaslužena bol i nematerijalna šteta.
Učenik je prijavio slučaj nadzornom tijelu za zaštitu podataka koje je reagiralo prema školi.
Više o slučaju
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-32-2067&mtc=today
Kako možemo ocijeniti i procijeniti imamo li obvezu prijave povrede osobnih podataka AZOP-u i oštećenim pojedincima?
Članak 33. GDPR-a
- U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Članak 34. GDPR-a
- U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.
No, stvari nisu crno-bijele, nije uvijek nužno povredu prijavljivati AZOP-u, sve ovisi koliki je stvarni rizik za prava i slobode pojedinaca čiji su osobni podaci kompromitirani.
Najlakše je shvatiti obveze i pravila kroz praktične primjere, na primjerima:
- ransomware napada na naše sustave i zaključavanja nam dragocjene dokumentacije i osobnih podataka
- instalacije zlonamjernog koda na našu web stranicu
- probijanja korisničkih lozinki za pristup web portalu
- krađi poslovne dokumentacije i podataka od strane sadašnjeg ili bivšeg zaposlenika
- nenamjernog i neželjenog otkrivanja osobnih podataka emailom trećim stranama
- slanje emaila s važnim informacijama i osobnim podacima pogrešnoj osobi
- krađe laptopa, tableta ili pametnih telefona
- krađe nezaštićenih hard diskova i USB stickova
- nestanka ispisanih dokumenata s osjetljivim podacima
- poslane poštanske pošiljke, računa ili opomene na pogrešnu adresu
- krađe identiteta
- hakerskog upada u email sustav
Sve ove slučajeve obradio je EDPB (European Data Protection Board) u svojim Smjernicama u kojima smo i mi pisali komentare na javnu raspravu otvorenu na proljeće 2021. i vidimo da su neki naši komentari kroz EADPP udruženje od strane EDPB prihvaćeni.
EDPB Smjernice pod nazivom Guidelines 01/2021 on Examples regarding Personal Data Breach Notification su ovdje:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
