Zgroženi smo samom pomisli da bi se ovo moglo dogoditi, a dogodilo se u Poljskoj.
 
Popis pacijenata u karanteni, koji je uključivao adrese prebivališta, otkriven je neovlaštenim osobama na način da angažirana vanjska tvrtka koja se bavi zbrinjavanjem otpada nije vodila brigu o svim aspektima zaštite osobnih podataka.
 
Sve je rezultiralo povredom osobnih podataka (Data Breach) i naloženo im je da izravno obavijeste sve osobe s popisa sukladno odredbama članka 34. GDPR-a kako bi se te osobe pripremile na moguće negativne implikacije ovog sigurnosnog incidenta.
 
Obveza je to svakog voditelja obrade da u slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, mora bez nepotrebnog odgađanja obavjestiti te pojedince o povredi osobnih podataka.
 
Nadzorno tijelo je, iako imena i prezimena osoba u karanteni nisu kompromitirana, temeljem istrage utvrdilo da adresa stanovanja, ulica i ulični broj koji su povezani s osobom u karanteni predstavljaju osobne podatke,a podatak da je neka osoba u karanteni predstavlja i posebnu kategoriju osobnih podataka, odnosno, podatak o zdravlju.
 
Temeljem navedenih podataka moguće je identificirati konkretne osobe i GDPR se svakako primjenjuje.
 
A gdje je nastala pogreška? Gdje je propust u zbrinjavanju ispisanih popisa osoba u karanteni?
 
Propust je nastao u domeni konkretnog zaposlenika angažirane tvrtke koja zbrinjava otpad, koji nije ispravno nadzirao postupak zbrinjavanja ispisanih evidencija.
 
Točnije, popisi osoba u karantetni ostavljeni su na radnom stolu bez zaštite tajnosti i ograničenja pristupa, dostupni širem broju ljudi koji nisu ovlašteni imati uvid u iste.
 
Međutim, incident je eskalirao u dodatnom opsegu.
 
Drugi zaposlenik te iste tvrtke je mobitelom fotografirao popise osoba u karanteni i podijelio takve fotografije trećim osobama.
 
Ovo je slučaj u kojem postoji niz krivaca.
Kriva je tvrtka za zbrinjavanje otpada ali i ustanova koja ih je angažirala.
 
Članak 28. GDPR-a nalaže voditeljima obrade (ustanova) da angažiraju vanjske tvrtke za određene obrade osobnih podataka (tvrtka za zbrinjavanje otpada) samo ukoliko iste jamče i mogu dokazati da poznaju GDPR i znaju kako osigurati sve mjere zaštite osobnih podataka. Očito tome tako nije bilo.
 
S druge je strane tvrtka za zbrinjavanje otpada propustila redovito educirati svoje osoblje o postupanju s ispisanim listama.
 
A posebna priča su zaposlenici koji su fotografirali popise i dijelili ih trećim osobama. Takvo postupanje trebalo bi predstavljati izravno kršenje radne obveze.
 
Više o temi na ovom linku:
 
https://edpb.europa.eu/news/national-news/2020/reprimand-disclosure-list-quarantined-persons_en