Bliži nam se kraj semestra i želimo prenijeti iskustva svima zainteresiranima kako u 2021. ne bi više činili pogreške.
Prenosimo odličan i istovremeno porazan slučaj iz Švedske.
Jedno švedsko sveučilište je u svrhe znanstvenog istraživanja zatražilo od policije zapise inicijalnih istraga o silovanjima, dobili su ih u ispisanom obliku, sve ih skenirali i uredno pohranili na Cloud.
Zapisi su sadržavali niz osobnih podataka involviranih strana uključujući sumnje na počinjenje kaznenog dijela, podatke o potencijalnim počiniteljima, njihovim kontaktnim podacima i švedskim OIB-ovima kao i podatke o seksualnim životima pojedinaca. Jednom riječju vrlo vrlo osjetljivi osobni podaci.
Ukupno se radilo o stotinu takvih slučajeva i svi su uredno pohranjeni u jedan od američkih cloud servisa bez ikakve zaštite i jamstva da nitko neće moći pristupiti toj dokumentaciji. Nekako osjećamo da su sve dignuli na Google Drive, jao jao.
Pogreške koje su istraživači na Sveušilistu učinili su slijedeće:
- vrlo osjetljive osobne podatke prenijeli su na Cloud servis izvan EU u SAD kao zemlju u kojoj se sve skenira i prati, bez neophodne enkripcije tih dokumenata
- istraživači Sveučilišta povremeno su tražili od policije dodatne informacije u vezi konkretnih slučajeva na način da su kompletnu dokumentaciju pojedinog slučaja slali policiji u privitku nezaštićenog i ne-enkriptiranog emaila, unatoč tom, pazite sad, što ih je policija upozorila da se osjetljivi podaci ne smiju slati nezaštićenim emailom
- Sveučilište nije shvatilo ili nije poznavalo GDPR pa nisu prijavili povredu osobnih podataka nadzornom tijelu
Sve je to rezultiralo kaznom Sveučilištu od otprilike 54.000 EUR. Za taj jedan slučaj.
Više o slučaju na:
https://edpb.europa.eu/news/national-news/2020/university-failed-sufficiently-protect-sensitive-personal-data_en
