Na konferenciji za medije Nacionalnog stožera civilne zaštite održane 23.travnja, javnost je informirana da je službena internetska stranica za prijave građana za cijepljenje (CijepiSe) u svojim počecima rada privremeno bila nedostupna, ali je nakon uspostave njene ponovne tehničke funkcionalnosti izgubljena kontrola nad procijenjeno 3000 osobnih podataka građana, što je uključivalo i podatke o zdravlju. Više: Index.hr
Prema izjavama sa konferencije:
- došlo je do sigurnosnog incidenta koji je uključivao osobne podatke, tj. do povrede 3000 osobnih podataka građana.
Opća uredba određuje da se povreda osobnih podataka definira kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
(čl. 4. točka 12 GDPR)
|
Kada voditelj obrade izgubi kontrolu na osobnim podacima ili njihovom pristupu ili oni više nisu u njegovom posjedu, isto se označava kao gubitak osobnih podataka.
U slučaju povrede osobnih podataka, voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Voditelj i izvršitelj obrade su odgovorni za uspostavljanje primjerenih mjera za sprečavanje povreda, reagiranje na njih i njihovo otklanjanje.
Sa stajališta načela informacijske sigurnosti, slučajnim ili neovlaštenim gubitkom pristupa osobnim podacima ili njihovim uništenjem, dolazi do povrede dostupnosti. Kako je voditelj obrade dužan osigurati, između ostalog i trajnu dostupnost podacima, privremena nedostupnost podacima sa znatnim učinkom na prava i slobode pojedinaca predstavlja povredu osobnih podataka (čl.32. točka 1(b) GDPR).
OBVEZA OBAVJEŠTAVANJA
Kada povreda uključuje podatke o zdravlju pojedinaca, smatra se da takva povreda uzrokuje visok rizik za prava i slobode pojedinaca, te voditelj obrade bez odgađanja mora obavijestiti Nadzorno tijelo (Agenciju za zaštitu osobnih podataka) i pojedince o povredi osobnih podataka.
Izvršitelj obrade dužan je odmah po saznanju o nastanku incidenta, o svim okolnostima povrede bez odgađanja izvijestiti voditelja obrade.
U takvom izvještaju mora se barem:
- opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika čiji osobni podaci su povrjeđeni te kategorije i približan broj evidencija osobnih podataka;
- navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
- opisati vjerojatne posljedice povrede osobnih podataka;
- opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.
Treba spomenuti i da izvršitelj obrade može obavještavati nadzorno tijelo u ime voditelja, ali samo uz njegovo ovlaštenje kao dio međusobnog ugovora. Međutim, i tada je odgovornost za obavještavanje i dalje na voditelju obrade. Također, ako izvršitelj obrade pruža usluge višestrukim voditeljima obrade koji su svi pogođeni istom povredom, morat će pojedinosti o incidentu prijaviti svakom pojedinom voditelju obrade.
Kada je jasno da je došlo do povrede, a nisu jasni svi njeni razmjeri niti precizne informacije, voditelj obrade je dužan bez odgađanja obavijestiti Nadzorno tijelo, a po novim saznanjima i detaljima ga postepeno obavještavati, što može uključivati i potpuno uklanjanje povrede. Naime, kako je naglasak na što hitnijem otklanjanju negativnih učinaka povrede, na ovaj način se omogućuje Nadzornom tijelu da pravovremeno intervenira u skladu sa svojim zadaćama i ovlastima.
Pogođene pojedince treba izravno informirati o povredi, što može biti e-mail ili SMS poruka. Kada to predstavlja nerazmjeran napor, potrebno je istaknuti javnu obavijest na internetskim stranicama.
Za kraj, važno je imati na umu:
- neobavještavanje o povredi može biti pokazatelj nepostojanja sigurnosnih mjera ili neprikladnosti postojećih sigurnosnih mjera.
- kada se dogodi kršenje više odrebi Opće uredbe, nadzorno tijelo ima mogućnost izricanja sankcija za svako kršenje.
Centar Feralis je kao organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njegovih osobnih podataka, dana 23. travnja 2021. godine obratila se nadzornom tijelu (AZOP) sa zahtjevom za informacijama o postupanju u predmetnom slučaju.
AZOP - zahtjev za informacijama
Naime,iz medijskih objava nije razvidno da su voditelj i izvršitelj uredili pitanje zaštite osobnih podataka sukladno članku 28. Opće uredbe a s tim u vezi postavlja se i pitanje adekvatne tehničke i integrirane zaštite podataka kao i ostvarivanje prava građana (ispitanika) i drugo, a sve u kako bi mogli postupati u skladu sa svojim ciljevima i doprinijeti zaštiti osobnih podataka svih građana.
ZADNJE AŽURIRANO:
Na dan 27-04-2021 Agencija za zaštitu osobnih podataka je pokrenula nadzorna postupanja nad Ministarstvom zdravstva, kao voditeljem obrade, s ciljem utvrđivanja stvarnog stanja o mogućoj povredi osobnih podataka. Po završetku postupka, Agencija će obavijestiti javnost o svim relevantnim informacijama vezanim za ovaj slučaj.
Više o objavi Agencije za zaštitu osobnihpodataka potražite OVDJE
Autori: Ines & Marko Krečak, Službenik za zaštitu podataka - Feralis
Naše kolumne:
SeeBIZ: Povreda osobnih podataka na platformi CijepiSe
Glas Istre: VELIKI SIGURNOSNI PROPUST: Ministarstvo pod nadzorom AZOP-a zbog povrede osobnih podataka za 3000 građana
Povezane teme:
Prvi put u Hrvatskoj je web stranica nedostupna zbog povrede osobnih podataka
Sigurnost obrade osobnih podataka u zdravstvenim ustanovama
Tko su izvršitelji obrade?
Povezane usluge:
Službenik za zaštitu podataka - vanjska usluga
Usklađivanje poslovanja sa GDPR
