Danas smo svjedočili brojnim medijskim natpisima o velikom curenju osobnih podataka vlasnika registriranih vozila u Hrvatskoj (
Večernji list, Dnevnik.hr,
Index.hr i drugi). Prema navodima, riječ je o USB sticku koji sadrži 2.444.587 zapisa o vozilima, uključujući podatke o 1.195.025 fizičkih osoba. Među podacima su imena, adrese, OIB-ovi, JMBG-ovi, datumi rođenja, registracije vozila i podaci o policama osiguranja. Osoba koja je pronašla USB stick predala ga je Sigurnosno-obavještajnoj agenciji (SOA), koja je potom obavijestila Ministarstvo unutarnjih poslova (MUP) i Agenciju za zaštitu osobnih podataka (AZOP).
GDPR i propusti u zaštiti podataka
Ključno pitanje koje se postavlja u ovakvim situacijama je kako je došlo do posjedovanja USB sticka s osobnim podacima. Naime, postoji razlika je li USB stick pronađen u tijelima koja upravljaju takvim podacima ili primjerice, na javnoj površini. Bez obzira na to, incident ukazuje na propuste u organizacijskim i tehničkim mjerama zaštite.
Opća uredba o zaštiti podataka (GDPR) ne isključuje mogućnost nastanka incidenata, ali obvezuje organizacije da poduzmu odgovarajuće tehničke i organizacijske mjere zaštite kako bi se smanjili rizici povrede osobnih podataka. Važno je da su mjere zaštite primjenjive i učinkovite u skladu s mogućnostima organizacije.
Ako organizacija implementira adekvatne mjere zaštite, poput obveze zaposlenika na povjerljivost, adekvatnih procedura i pravilnika, te tehničkih mjera kao što su jake lozinke i zaključavanje računala, incidenti se mogu minimizirati, iako se ne mogu potpuno isključiti. Stupanj odgovornosti voditelja obrade ključan je u procjeni, te se uzimaju u obzir sve uspostavljene mjere zaštite prilikom određivanja sankcija u skladu sa smjernicama
Europskog odbora za zaštitu podataka (EDPB).
Smjernice za određivanje kazni
Prema smjernicama Europskog odbora za zaštitu podataka (EDPB), prilikom određivanja kazni razmatra se je li do kršenja podataka došlo namjerno ili nepažnjom. Namjerna kršenja uključuju nezakonitu obradu naloženu od strane uprave ili postupanje protivno uputama službenika za zaštitu podataka, dok nepažnja može uključivati zanemarivanje postojećih politika, ljudsku pogrešku ili nepravovremenu primjenu tehničkih ažuriranja.
U obzir se također uzima i vrsta osobnih podataka. Posebno zaštićeni podaci, poput onih koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska uvjerenja, te genetski ili biometrijski podaci kao i podaci o kaznenim djelima i osudama, zahtijevaju strože kazne. U ovom slučaju, prema medijskim navodima, nije došlo do povrede takve kategorije podataka, što može utjecati na konačnu ocjenu težine incidenta.
Iako je incident s curenjem podataka značajan, trenutni podaci ukazuju na to da nije došlo do povrede osobnih podataka koje bi imale ozbiljne posljedice po ispitanike. Organizacije koje upravljaju osobnim podacima moraju kontinuirano raditi na poboljšanju sigurnosnih mjera kako bi smanjile rizik od sličnih incidenata. U konačnici, ovaj incident može poslužiti kao podsjetnik na važnost zaštite osobnih podataka u skladu s GDPR-om. Bez obzira na ishod istrage, incident ukazuje na potrebu za boljim upravljanjem i zaštitom osobnih podataka, čime se dodatno naglašava važnost pridržavanja GDPR standarda u svakodnevnom poslovanju.
