Nevjerojatan slučaj dogodio se u Danskoj kojeg želimo prenijeti kako se takav ne bi dogodio i kod nas.
Žrtva nasilnog partnera bila je član danskog sindikata i fonda za nezaposlene 3F Østfyn i promijenila je svoje ime i adresu koji su postali zaštićeni podaci temeljem rješenja nadležnih institucija.
3F Østfyn je ažurirao podatke o svojim članovima prema središnjem registru građana, dok se podacima zaštićenih osoba u registru ne daje automatizirani pristup.
U konkretnom slučaju je zaštićena osoba obavjestila 3F Østfyn o promjeni njenog imena i adrese kako bi podaci u sustavu bili ažurni.
No, ljudskom pogreškom je u bazama 3F Østfyn izmijenjeno samo ime štićene osobe dok je adresa ostala nepromjenjena.
3F Østfyn je uobičajeno poslao svoj časopis članovima, pa je tako i na staru adresu štićene osobe, na kojoj živi nasilnik, došao primjerak časopisa.
Time je nasilnik saznao novo ime zaštićene osobe, čime mu se bitno olakšao način kako saznati više informacija o njoj.
Ovdje se 3F Østfyn opako ogriješio o GDPR, točnije o članak 32. kojeg još uvijek previše organizacija zanemaruje.
Naime, članak 32. se odnosi na obvezu osiguranja sigurnosti obrada osobnih podataka i odgovarajućih tehničkih i organizacijskih mjera, koje izlaze iz okvira pravnog usklađivanja s GDPR-om i o kojima smo primarno pričali i na MIPRO 2022 Okruglom stolu "Jesmo li sigurni?" 25.05.2022. povodom 4 godine primjene GDPR-a.
3F Østfyn je propustio definirati i dokumentirati procedure ispravnog ažuriranja osobnih podataka i postaviti sistemska upozorenja u sustavu u slučaju neispravnog ili nepotpunog ažuriranja podataka.
Važno je bilo prepoznati pripadajuće rizike, njihovu vjerojatnost i učinak i sukladno tome uvesti konkretne mjere.
Tako i kaže članak 32. GDPR-a, da je svaka organizacije prilikom procjene odgovarajuće razine sigurnosti obvezna uzteti u obzir rizike koje predstavlja obrada, posebno rizike od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Više o slučaju iz Danske:
https://www.dataguidance.com/news/denmark%C2%A0datatilsynet-criticises-3f-%C3%B8stfyn-violation
Photo by MART PRODUCTION from Pexels