Slijedom navedenog obavještavamo:
1. Prema izjavama sa konferencije, došlo je do sigurnosnog incidenta koji je uključivao osobne podatke, tj. do povrede 3000 osobnih podataka građana i povreda više odredbi Opće uredbe (dolje niže opisano).
2. Prema Ugovoru o javnoj nabavi broj UG-93/20 za nabavu usluga korektivnog i adaptivnog sustava eCEZDLIH – eCIJEPIH objavljen na stranicama indeks.hr evidentno je da nije uređeno pitanje zaštite osobnih podataka sukladno članku 28. Opće uredbe a u skladu s time postavlja se i pitanje tehničke i integrirane zaštite podataka suskladno članku 25. Opće uredbe.
Opća uredba određuje da se povreda osobnih podataka definira kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani (čl. 4. točka 12 GDPR).
Kada voditelj obrade izgubi kontrolu na osobnim podacima ili njihovom pristupu ili oni više nisu u njegovom posjedu, isto se označava kao gubitak osobnih podataka.
U slučaju povrede osobnih podataka, voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Voditelj i izvršitelj obrade su odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje. Sa stajališta načela informacijske sigurnosti, slučajnim ili neovlaštenim gubitkom pristupa osobnim podacima ili njihovim uništenjem, dolazi do povrede dostupnosti. Kako je voditelj obrade dužan osigurati, između ostalog i trajnu dostupnost podacima, privremena nedostupnost podacima sa znatnim učinkom na prava i slobode pojedinaca je povreda osobnih podataka (čl.32. točka 1(b) GDPR).
OBVEZA OBAVJEŠTAVANJA
Kada povreda uključuje podatke o zdravlju pojedinaca, smatra se da takva povreda uzrokuje visok rizik za prava i slobode pojedinaca, te voditelj obrade bez odgađanja mora obavijestiti Nadzorno tijelo (Agenciju za zaštitu osobnih podataka) i pojedince o povredi osobnih podataka. Izvršitelj obrade dužan je odmah po saznanju o nastanku incidenta, o svim okolnostima povrede bez odgađanja izvijestiti voditelja obrade.
U takvom izvještaju mora se barem:
- opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika čiji osobni podaci su povrjeđeni te kategorije i približan broj evidencija osobnih podataka;
- navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
- opisati vjerojatne posljedice povrede osobnih podataka;
- opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.
Treba spomenuti i da izvršitelj obrade može obavještavati nadzorno tijelo u ime voditelja, ali samo uz njegovo ovlaštenje kao dio međusobnog ugovora. Međutim, i tada je odgovornost za obavještavanje i dalje na voditelju obrade. Također, ako izvršitelj obrade pruža usluge višestrukim voditeljima obrade koji su svi pogođeni istom povredom, morat će pojedinosti o incidentu prijaviti svakom pojedinom voditelju obrade.
Kada je jasno da je došlo do povrede, a nisu jasni svi njeni razmjeri niti precizne informacije, voditelj obrade je dužan bez odgađanja obavijestiti Nadzorno tijelo, a po novim sananjima i detaljima ga postepeno obavještavati, što može uključivati i potpuno uklanjanje povrede.
Naime, kako je naglasak na što hitnijem otklanjanju negativnih učinaka povrede, na ovaj način se omogućuje Nadzornom tijelu da pravovremeno intervenira u skladu sa svojim zadaćama i ovlastima. Pogođene pojedince treba izravno informirati o povredi, što može biti e-mail ili SMS poruka. Kada to predstavlja nerazmjeran napor, potrebno je istaknuti javnu obavijest na internetskim stranicama.
Za kraj, važno je imati na umu slijedeće momente:
- neobavještavanje o povredi može biti pokazatelj nepostojanja sigurnosnih mjera ili neprikladnosti postojećih sigurnosnih mjera a na što upućuje i neuređenje pitanja zaštite
osobnih podtaka između voditelja i izvršitelja obrade (ugovornih strana) sukladno zahtjevima Opće uredbe.
- Kada se dogodi kršenje više odrebi Opće uredbe, nadzorno tijelo ima mogućnost izricanja sankcija za svako kršenje.
Centar Feralis je kao organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njegovih osobnih podataka obratila se nadzornom tijelu (AZOP) s zahtjevom za informacijama o postupanju u predmetnom slučaju kako bi mogli postupati u skladu sa svojim ciljevima i doprinijeti zaštiti osobnih podataka svih građana.
Fotografija: Matija Habljak, Pixsell
