Zasigurno se mnogi od vas pitaju zašto AZOP na svojoj web stranici
https://azop.hr/info-servis/detaljnije/godisnja-izvjesca-o-radu
nije objavio svoje Godišnje izvješće o radu za 2019. godinu, iako smo već zagazili u rujan 2020.
Radi se o tome da Hrvatski sabor u prošlom sazivu nije stigao glasati o tom Izvješću, a u novom sazivu to Izvješće je ponovno stavljeno na dnevni red i nalazi se ovdje:
https://www.sabor.hr/hr/godisnje-izvjesce-o-radu-agencije-za-zastitu-osobnih-podataka-za-razdoblje-od-1-sijecnja-do-31-0
Dokument sadrži 145 stranica pa ćemo mi izdvojiti samo neke od činjenica koje bi mogle biti zanimljive široj javnosti:
- AZOP je imao gotovo 6.000 predmeta otvorenih u 2019.
- od toga je 2.226 prenesenih iz prethodnih godina, više od trećine
- ukupno je pristiglo 2.500 novih GDPR predmeta u 2019. što je puno manje nego u 2018. (3.800), zanimljiv pad
- broj upita voditelja ili izvršitelja obrade emailom pao je drastično na samo 118 upita, po tome proizlazi da smo samo mi napravili priličan udio svih upita u 2019., što nije pohvalno
- međutim, AZOP je prenio 1600 zahtjeva za pravnim mišljenjima iz 2019. u 2020.
- AZOP je u 2019. donio 159 rješenja po zahtjevu i 9 po službenoj dužnosti, žao nam je da najveći dio njih nije javno objavljen radi informiranja i educiranja javnosti
- UKUPNO je AZOP poduzeo 2.369 nadzora u 2019. godini, što je čak za 56% više nego u 2018. godini!!
- broj prijavljenih povreda podataka (Data Breach) je i dalje vrlo nizak, gotovo nestvaran, samo 73 prijave
- novih 1540 Službenika za zaštitu podataka je prijavljeno AZOP-u u 2019.
Najveći broj usvojenih zahtjeva odnosio se na onemogućavanje ostvarivanja prava ispitanika na pristup
osobnim podacima od strane banaka, zatim na obradu osobnih podataka videonadzorom, nezakonitu objavu osobnih podataka na mrežnim/web stranicama, obradu osobnih podataka na društvenoj mreži Facebook, obradu osobnih podataka zbog zamjene identiteta korištenjem pogrešnog OIB-a, obradu podataka u svrhu sklapanja pretplatničkih ugovora sa teleoperatorima i dr.
Postupanja po službenoj dužnosti uslijedila su u slučajevima kada se radilo o anonimnim pritužbama u kojima su utvrđene
povrede prava ili u slučajevima kada je do saznanja o mogućim povredama prava na zaštitu osobnih podataka Agencija saznala iz drugih izvora.
Tijekom 2019. godine izrečeno je ukupno 89 korektivnih mjera i 2 službene opomene.
Od ukupnog broja podnesenih tužbi (48) upravnim sudovima protiv rješenja koje je donijela Agencija, 30 tužbi podneseno je od strane banaka, a 18 tužbi od strane drugih fizičkih i pravnih osoba.
Na strani 22. i 36. dokumenta možete naći zanimljive detalje o postupcima u bankarskom sektoru, a na stranici 24. u sektoru obrazovanja.
Za obrazovni tj. školski sustav AZOP kaže, citiramo:
"Unatoč edukacijama koje je Agencija provela u ovom sektoru evidentno je da i dalje u ovom sektoru postoji veliko nerazumijevanje kod voditelja obrade/službenika za zaštitu podataka u odnosu na njihove obveze vezane uz primjenu Opće uredbe o zaštiti podataka. Stoga se razabire kako je kod voditelja obrade u ovom sektoru ostalo još puno
nejasnoća i pogrešnih tumačenja u primjeni i provedbi Opće uredbe o zaštiti podataka (npr. evidentno je kako postoje nejasnoće oko prepoznavanja pravnih temelja za obradu osobnih podataka u ovom sektoru budući da se smatra kako je privola jedina pravna osnova za obradu osobnih podataka, te da je pribavljanje privole potrebno gotovo za svaku obradu osobnih podataka učenika i studenata, ali i zaposlenika."
Struktura voditelja obrade kod kojih su zabilježeni „incidenti“/povrede osobnih podataka su:
▪ Banke - 21
▪ Teleoperateri - 18
▪ Trgovačka društva - 15
▪ Inozemna trgovačka društva - 5
▪ Udruge - 3
▪ Medicinske ustanove - 2
▪ Tijela državne uprave - 2
▪ Javne ustanove - 2
▪ Obrazovne ustanove - 2
▪ Hoteli - 1
▪ Zračne luke - 1
▪ Osiguravajuća društva - 1
AZOP je i opisao što provjerava tijekom nadzora:
U provedbi nadzornih aktivnosti Agencija vodi računa i provjerava u kojoj mjeri je voditelj zbirke osobnih podataka i/ili izvršitelj obrade osobnih podataka poduzeo tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te glede utvrđenja obveza osoba koje su zaposlene u obradi podataka, na potpisivanje izjave o povjerljivosti. Unutar fizičkih i tehničkih mjera zaštite obrade osobnih podataka između ostaloga se primjerice provjerava fizička i tehnička sigurnost/zaštita osobnih podataka kod voditelja zbirke osobnih podataka i/ili izvršitelja obrade osobnih podataka (uključivo pristup i ulaz u prostorije, pristup/akreditacija i korištenje informacijskog sustava od strane ovlaštenih osoba, obrada i zaštita osobnih podataka glede video nadzornog sustava, funkcioniranje i zaštita informatičke i komunikacijske opreme koja se koristi za obradu osobnih podataka, čuvanje i zaštita te arhiviranje/zbrinjavanje spisa/predmeta i druge dokumentacije i zapisa koji sadrže osobne podatke i dr.).
Jednako tako provjerava se i provedeno ili planirano opremanje sigurnosnom i dr. opremom (npr. protuprovalna vrata i prozori te sigurnosni ormari/sefovi i si. za pohranu, zaštitne brave te sustavi zaključavanja sa sustavima evidencije ulaza, prolaza ili pristupa, alarmni sustavi glede prisutnosti u prostoru ili pokušaja nasilnog ulaska, vatrodojava i dimni alarmi kao i raspoloživa sredstva i/ili sustavi gašenja požara i dr.).
Nadalje, nadzorne aktivnosti podrazumijevaju i provjeru tzv. „business continuity" - načine postupanja kod prikupljanja/obrade i zaštite osobnih podataka kod problema s funkcioniranjem informacijskih i/ili komunikacijskih sustava te napajanja energijom, postupanja u slučaju kvara ili zamjene informatičke opreme (koja se koristi za obradu osobnih podataka), postojanje i funkcioniranje službe fizičke i
tehničke zaštite unutar vlastitog ustroja voditelja zbirke/izvršitelja obrade ili angažmana pružatelja
usluge iz područja privatne zaštite.
Samo 163 službenika za zaštitu podataka uspješno je završilo program edukacije T4DATA za službenike za zaštitu podataka u javnopravnim tijelima, što je izrazito mali broj u odnosu na ukupno 800 prijavljenih službenika.
Od stranice 137. dokumenta AZOP je prikazao konkretnija mišljenja, primjere i preporuke.
