GDPR Cookie Consent by Free Privacy Policy

Povreda osobnih podataka na internetskoj stranici CijepiSe

Povreda osobnih podataka na internetskoj stranici CijepiSe
GDPR
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 24.04.2021 / 18:05
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Na konferenciji za medije Nacionalnog stožera civilne zaštite održane 23. travnja, službena internetska stranica za prijave građana za cijepljenje (CijepiSe) u svojim počecima rada je privremeno bila nedostupna, ali je nakon uspostave njene ponovne tehničke funkcionalnosti izgubljena kontrola nad procijenjeno 3.000 osobnih podataka građana, što je uključivalo i podatke o zdravlju.

Slijedom navedenog obavještavamo:

1. Prema izjavama sa konferencije, došlo je do sigurnosnog incidenta koji je uključivao osobne podatke, tj. do povrede 3000 osobnih podataka građana i povreda više odredbi Opće uredbe (dolje niže opisano).
2. Prema Ugovoru o javnoj nabavi broj UG-93/20 za nabavu usluga korektivnog i adaptivnog sustava eCEZDLIH – eCIJEPIH objavljen na stranicama indeks.hr evidentno je da nije uređeno pitanje zaštite osobnih podataka sukladno članku 28. Opće uredbe a u skladu s time postavlja se i pitanje tehničke i integrirane zaštite podataka suskladno članku 25. Opće uredbe.

Opća uredba određuje da se povreda osobnih podataka definira kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani (čl. 4. točka 12 GDPR).

Kada voditelj obrade izgubi kontrolu na osobnim podacima ili njihovom pristupu ili oni više nisu u njegovom posjedu, isto se označava kao gubitak osobnih podataka.

U slučaju povrede osobnih podataka, voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

Voditelj i izvršitelj obrade su odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje. Sa stajališta načela informacijske sigurnosti, slučajnim ili neovlaštenim gubitkom pristupa osobnim podacima ili njihovim uništenjem, dolazi do povrede dostupnosti. Kako je voditelj obrade dužan osigurati, između ostalog i trajnu dostupnost podacima, privremena nedostupnost podacima sa znatnim učinkom na prava i slobode pojedinaca je povreda osobnih podataka (čl.32. točka 1(b) GDPR).

OBVEZA OBAVJEŠTAVANJA
Kada povreda uključuje podatke o zdravlju pojedinaca, smatra se da takva povreda uzrokuje visok rizik za prava i slobode pojedinaca, te voditelj obrade bez odgađanja mora obavijestiti Nadzorno tijelo (Agenciju za zaštitu osobnih podataka) i pojedince o povredi osobnih podataka. Izvršitelj obrade dužan je odmah po saznanju o nastanku incidenta, o svim okolnostima povrede bez odgađanja izvijestiti voditelja obrade.

U takvom izvještaju mora se barem:

- opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika čiji osobni podaci su povrjeđeni te kategorije i približan broj evidencija osobnih podataka;
- navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
- opisati vjerojatne posljedice povrede osobnih podataka;
- opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

Treba spomenuti i da izvršitelj obrade može obavještavati nadzorno tijelo u ime voditelja, ali samo uz njegovo ovlaštenje kao dio međusobnog ugovora. Međutim, i tada je odgovornost za obavještavanje i dalje na voditelju obrade. Također, ako izvršitelj obrade pruža usluge višestrukim voditeljima obrade koji su svi pogođeni istom povredom, morat će pojedinosti o incidentu prijaviti svakom pojedinom voditelju obrade.

Kada je jasno da je došlo do povrede, a nisu jasni svi njeni razmjeri niti precizne informacije, voditelj obrade je dužan bez odgađanja obavijestiti Nadzorno tijelo, a po novim sananjima i detaljima ga postepeno obavještavati, što može uključivati i potpuno uklanjanje povrede.

Naime, kako je naglasak na što hitnijem otklanjanju negativnih učinaka povrede, na ovaj način se omogućuje Nadzornom tijelu da pravovremeno intervenira u skladu sa svojim zadaćama i ovlastima. Pogođene pojedince treba izravno informirati o povredi, što može biti e-mail ili SMS poruka. Kada to predstavlja nerazmjeran napor, potrebno je istaknuti javnu obavijest na internetskim stranicama.

Za kraj, važno je imati na umu slijedeće momente:

- neobavještavanje o povredi može biti pokazatelj nepostojanja sigurnosnih mjera ili neprikladnosti postojećih sigurnosnih mjera a na što upućuje i neuređenje pitanja zaštite
osobnih podtaka između voditelja i izvršitelja obrade (ugovornih strana) sukladno zahtjevima Opće uredbe.
- Kada se dogodi kršenje više odrebi Opće uredbe, nadzorno tijelo ima mogućnost izricanja sankcija za svako kršenje.

Centar Feralis je kao organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njegovih osobnih podataka obratila se nadzornom tijelu (AZOP) s zahtjevom za informacijama o postupanju u predmetnom slučaju kako bi mogli postupati u skladu sa svojim ciljevima i doprinijeti zaštiti osobnih podataka svih građana.

Fotografija: Matija Habljak, Pixsell

Tagovi: Cijepise, povreda osobnih podataka, GDPR,
PROČITAJ I OVO
Samo turizam Hrvata spašava
SEZONA KAO SUDBINA
Samo turizam Hrvata spašava
KOLUMNA - Dajmo im da troše! Kockarnice, sadržaji, butici, resorti za bogataše, kontinentalni turizam, raftinzi, kampovi. Toliko mogućnosti da tih 20% bude i više.
Doba opće digitalne kontrole
KONTROLA
Doba opće digitalne kontrole
KOMENTAR - Digitalni nadzor pojedinaca je opasnost - ali to se ne može izbjeći. Vrijeme opće digitalne kontrole je već počelo.
Njemačku muči inflacija, ali zarade kompanija širom svijeta ulijevaju povjerenje investitora
BEZ PESIMIZMA
Njemačku muči inflacija, ali zarade kompanija širom svijeta ulijevaju povjerenje investitora
ANALIZA - Nakon što već nekoliko mjeseci svjedočimo većoj razini inflacije u Sjedinjenim Državama, ona polako dolazi i u Europu, što pokazuju srpanjska inflacijska očitanja njemačkih pokrajina.
Drugi kvartal: Više stečajeva, ali i novoosnovanih tvrtki
GOSPODARSKI PREGLED
Drugi kvartal: Više stečajeva, ali i novoosnovanih tvrtki
ANALIZA - Unatoč nastavku pandemije koronavirusa, gospodarska aktivnost i broj aktivnih gospodarskih subjekata su u porastu u usporedbi s istim razdobljem protekle godine.
Kineski štapići
UČIMO KINU
Kineski štapići
KOLUMNA - 筷子 [kuàizi] iliti štapići za jelo su tradicionalni pribor za jelo koji se koristi u paru i jednake je veličine – standardno oko 20 cm no, ako se radi o onima za kuhanje, mogu biti i između 30 – 40 cm.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE