GDPR Cookie Consent by Free Privacy Policy

Povreda osobnih podataka na internetskoj stranici CijepiSe

Povreda osobnih podataka na internetskoj stranici CijepiSe
GDPR
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 24.04.2021 / 18:05
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Na konferenciji za medije Nacionalnog stožera civilne zaštite održane 23. travnja, službena internetska stranica za prijave građana za cijepljenje (CijepiSe) u svojim počecima rada je privremeno bila nedostupna, ali je nakon uspostave njene ponovne tehničke funkcionalnosti izgubljena kontrola nad procijenjeno 3.000 osobnih podataka građana, što je uključivalo i podatke o zdravlju.

Slijedom navedenog obavještavamo:

1. Prema izjavama sa konferencije, došlo je do sigurnosnog incidenta koji je uključivao osobne podatke, tj. do povrede 3000 osobnih podataka građana i povreda više odredbi Opće uredbe (dolje niže opisano).
2. Prema Ugovoru o javnoj nabavi broj UG-93/20 za nabavu usluga korektivnog i adaptivnog sustava eCEZDLIH – eCIJEPIH objavljen na stranicama indeks.hr evidentno je da nije uređeno pitanje zaštite osobnih podataka sukladno članku 28. Opće uredbe a u skladu s time postavlja se i pitanje tehničke i integrirane zaštite podataka suskladno članku 25. Opće uredbe.

Opća uredba određuje da se povreda osobnih podataka definira kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani (čl. 4. točka 12 GDPR).

Kada voditelj obrade izgubi kontrolu na osobnim podacima ili njihovom pristupu ili oni više nisu u njegovom posjedu, isto se označava kao gubitak osobnih podataka.

U slučaju povrede osobnih podataka, voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

Voditelj i izvršitelj obrade su odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje. Sa stajališta načela informacijske sigurnosti, slučajnim ili neovlaštenim gubitkom pristupa osobnim podacima ili njihovim uništenjem, dolazi do povrede dostupnosti. Kako je voditelj obrade dužan osigurati, između ostalog i trajnu dostupnost podacima, privremena nedostupnost podacima sa znatnim učinkom na prava i slobode pojedinaca je povreda osobnih podataka (čl.32. točka 1(b) GDPR).

OBVEZA OBAVJEŠTAVANJA
Kada povreda uključuje podatke o zdravlju pojedinaca, smatra se da takva povreda uzrokuje visok rizik za prava i slobode pojedinaca, te voditelj obrade bez odgađanja mora obavijestiti Nadzorno tijelo (Agenciju za zaštitu osobnih podataka) i pojedince o povredi osobnih podataka. Izvršitelj obrade dužan je odmah po saznanju o nastanku incidenta, o svim okolnostima povrede bez odgađanja izvijestiti voditelja obrade.

U takvom izvještaju mora se barem:

- opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika čiji osobni podaci su povrjeđeni te kategorije i približan broj evidencija osobnih podataka;
- navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
- opisati vjerojatne posljedice povrede osobnih podataka;
- opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

Treba spomenuti i da izvršitelj obrade može obavještavati nadzorno tijelo u ime voditelja, ali samo uz njegovo ovlaštenje kao dio međusobnog ugovora. Međutim, i tada je odgovornost za obavještavanje i dalje na voditelju obrade. Također, ako izvršitelj obrade pruža usluge višestrukim voditeljima obrade koji su svi pogođeni istom povredom, morat će pojedinosti o incidentu prijaviti svakom pojedinom voditelju obrade.

Kada je jasno da je došlo do povrede, a nisu jasni svi njeni razmjeri niti precizne informacije, voditelj obrade je dužan bez odgađanja obavijestiti Nadzorno tijelo, a po novim sananjima i detaljima ga postepeno obavještavati, što može uključivati i potpuno uklanjanje povrede.

Naime, kako je naglasak na što hitnijem otklanjanju negativnih učinaka povrede, na ovaj način se omogućuje Nadzornom tijelu da pravovremeno intervenira u skladu sa svojim zadaćama i ovlastima. Pogođene pojedince treba izravno informirati o povredi, što može biti e-mail ili SMS poruka. Kada to predstavlja nerazmjeran napor, potrebno je istaknuti javnu obavijest na internetskim stranicama.

Za kraj, važno je imati na umu slijedeće momente:

- neobavještavanje o povredi može biti pokazatelj nepostojanja sigurnosnih mjera ili neprikladnosti postojećih sigurnosnih mjera a na što upućuje i neuređenje pitanja zaštite
osobnih podtaka između voditelja i izvršitelja obrade (ugovornih strana) sukladno zahtjevima Opće uredbe.
- Kada se dogodi kršenje više odrebi Opće uredbe, nadzorno tijelo ima mogućnost izricanja sankcija za svako kršenje.

Centar Feralis je kao organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njegovih osobnih podataka obratila se nadzornom tijelu (AZOP) s zahtjevom za informacijama o postupanju u predmetnom slučaju kako bi mogli postupati u skladu sa svojim ciljevima i doprinijeti zaštiti osobnih podataka svih građana.

Fotografija: Matija Habljak, Pixsell

Tagovi: Cijepise, povreda osobnih podataka, GDPR,
PROČITAJ I OVO
Teretni vlakovi dobili podršku politike, ali povratak ide sporo
PRIJEVOZ
Teretni vlakovi dobili podršku politike, ali povratak ide sporo
ANALIZA - Godinama je željeznica "racionalizirala" svoju mrežu što je značilo nestanak na tisuće tvorničkih priključaka. Sad i politika podupire povratak robe na šine, ali to je veoma ambiciozan pothvat.
Cyber kriminal procvao zbog korone
KRIMINAL NA WEBU
Cyber kriminal procvao zbog korone
ANALIZA - Korona potiče kriminal na webu. Broj kaznenih djela raste, a stopa otkrivanja počinitelja stagnira.
Vučić na Ljotićevom putu
SRAMOTNO
Vučić na Ljotićevom putu
KOMENTAR - Da rehabilituje Dimitrija Ljotića od Dana pobede Aleksandar Vučić bolju priliku nije mogao izabrati.
Borna Sosa nije izdajnik
NOGOMET
Borna Sosa nije izdajnik
KOLUMNA - Pakiranje Sosi samo je vrhunac svega što se događa ne samo u hrvatskom nogometu već u kompletnom hrvatskom sportu.
Postaje li bakar nova nafta?
SIROVINE
Postaje li bakar nova nafta?
KOLUMNA - U Bank of Americi ističu da su zalihe bakra najniže u posljednjih petnaest godina i da bi ga, s obzirom na trenutnu potražnju, kada globalno gospodarstvo ponovno uzima maha, bilo dovoljno samo za tri tjedna.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE