Tijekom 2022. godine AZOP je izrekao nekoliko kazni zbog kršenja GDPR-a (Opće uredbe o zaštiti podataka). Visina kazni kretala se od 30.000 kuna, pa do prilično visokih 2.16 milijuna kuna.
Upravna novčana kazna zbog neoznačavanja objekta pod videonadzorom
Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako osiguravajuće društvo sa sjedištem u Zagrebu nije označilo da su poslovni objekt u kojem se provode tehnički pregledi i registracija vozila te ugovaraju usluge osiguranja i vanjska površina poslovnog objekta pod videonadzorom.
Što možemo naučiti iz ovog primjera? Tisak naljepnice s oznakom da je objekt pod video nadzorom i ostalim potrebnim podacima na naljepnici zanemariv je trošak. AZOP je na svojim stranicama pripremio predložak naljepnice. Potrebno ga je sami dopuniti osnovnim informacijama o voditelju obrade i obradi. Trošak koji bi organizaciju izašao najviše 100 kuna zbog kazne se popeo na više desetaka tisuća kuna. Imajte u vidu da AZOP provjeru slijeđenj GDPR-a može izvršiti bez najave, ne ostavljajući vam vremena za brzi ispravak..
Upravna novčana kazna zbog nedostavljanja kopije osobnih podataka na zahtjev ispitanika
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 940.000,00 kuna voditelju obrade odnosno društvu iz područja energetskog sektora zbog nedostavljanja snimki videonadzornih kamera na zahtjev ispitanika, čime je došlo do povrede članka 15. stavka 3. Opće uredbe o zaštiti podataka.
Što se je desilo da je društvo dobilo tako visoku kaznu? Kupac koji je točio gorivo na benzinskoj postaji bio je nezadovoljan mjerenjem natočenog goriva i uložio prigovor sukladno propisima o zaštiti potrošača. U svrhu bolje zaštite svojih potrošačkih prava, zatražio je da mu se dostavi kopija videozapisa s točnim datumom i vremenom. Takav zahtjev društvo je odbilo iz razloga što nije postojao pisani zahtjev službenog nadležnog tijela. Društvo je smatralo kako bi izdavanje takve kopije negativno utjecalo na prava i slobode zaposlenika benzinske postaje i drugih prisutnih kupaca.
Kupac se potom obratio Agenciji za zaštitu osobnih podataka, te je Agencija razmotrivši opravdanost ovoga slučaja donijela mišljenje da bi društvo trebalo ispitaniku dostaviti kopiju videozapisa. Međutim, društvo je odgovorilo da više ne mogu dostaviti tražene snimke jer se one brišu nakon sedam dana. Na osnovu toga AZOP je zaključio da je došlo do kršenja prava na pristup osobnim podacima, koje je jedno od temeljnih prava ispitanika.
Zanimljivo je kod ovog slučaja da se ujedno radi o mogućem eliminiranju dokaza. Postoji mogućnost da je društvo brisanjem videozapisa htjelo ukloniti dokaz i izbjeći financijsku štetu koju je moglo pretrpjeti zbog potrošačkog spora s kupcem. Upravo je ta mogućnost brisanja dokaza rezultirala tako visokom kaznom. Iako Agencija nije ovlaštena utvrditi radilo li se uistinu o eliminiranju dokaza i je li materijalna šteta uistinu nastala, ta se mogućnost uzima u obzir prilikom izricanja kazne.
Što možemo naučiti iz ovog primjera? Ako se na snimci nalaze druge osobe, društvo ne može automatski odbiti zahtjev ispitanika samo na osnovu te činjenice. Svojim zahtjevom ispitanik možda želi dokazati postojanje kaznenog dijela. Društvo čak i da ne udovolji zahtjevu ispitanika, trebalo bi osigurati da se videozapis kojeg je ispitanik zatražio izuzme od brisanja. Da je društvo postupilo na takav način, bilo bi u mogućnosti kasnije po naputku AZOP-a poslati videozapis kupcu. Zbog neznanja ili zbog pokušaja eliminiranja dokaza društvo može pretrpjeti višestruko veću štetu.
Tijekom 2022. godine AZOP je izrekao nekoliko kazni zbog kršenja GDPR-a (Opće uredbe o zaštiti podataka). Visina kazni kretala se od 30.000 kuna, sve do prilično visokih 2.16 milijuna kuna.
U seriji blogova na ovu temu, razmatrat će se nekoliko slučajeva objavljenih na stranicama AZOP-a.
Upravna novčana kazna zbog nepoduzimanja odgovarajućih tehničkih mjera
Zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba, koje je djelovalo u svojstvu izvršitelja obrade, haker je došao do neovlaštenog pristupa osobnim podacima 28.085 ispitanika. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima. Incident je AZOP-u prijavio voditelj obrade, telekomunikacijsko društvo iz Zagreba, koje je pisanim putem izvijestilo i korisnike svojih usluga o potencijalnoj povredi osobnih podataka.
AZOP
Objašnjenje:
Jednostavnije rečeno, telekomunikacijsko društvo je angažiralo vanjsku IT tvrtku kako bi se vršila ugovorena informatička usluga za telekomunikacijsko društvo. Angažirana IT tvrtka očigledno nije provodila zadovoljavajuće sigurnosne mjere zaštite podataka. Na žalost, iz opisa se ne može znati o kojim se sigurnosnim mjerama radilo. U nastavku ću kao primjer navesti nekoliko primjera sigurnosnih mjera, kako bi dobili bolju predodžbu o čemu se radi.
AZOP je povodom tog slučaja donio sljedeći zaključak:
Izvršitelj obrade prilikom obrade osobnih podataka dužan je poduzeti odgovarajuće tehničke mjere sigurnosti na način da treba osigurati trajnu povjerljivost sustava, kao i proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a prilikom procjene odgovarajuće razine sigurnosti posebno uzeti u obzir rizike neovlaštenog otkrivanja osobnih podataka.
AZOP
Što možemo naučiti iz tog primjera? Društvo nije kažnjeno zato što nije imalo propisanu GDPR dokumentaciju, već zato što nije implementiralo zadovoljavajuće tehničke i organizacijske sigurnosne mjere.
Slijediti GDPR ne znači samo izraditi dokumentaciju i pospremiti je u registrator već znači uistinu prilagoditi obradu osobnih podataka tako da ona bude zakonita (pravni aspekt) ali isto tako osigurati tehničke i organizacijske mjere kako bi pristup osobnim podacima bio kontroliran, a sami podaci bili zaštićeni od neovlaštenog preuzimanja ili gubitka, samo ćete se tako zaštititi od plaćanja kazne.
Ako ste u ulozi voditelja obrade, obavezno osigurajte da sa svim izvršiteljima obrade imate sklopljen sporazum o zaštiti podataka. Ponekad se to zanemari, a vas kao voditelja obrade može koštati jako puno ako izvršitelj obrade skrivi povredu podataka. Smatrat će se da se vi kao voditelj obrade niste pobrinuli za sigurnost obrade.
Ako ste u ulozi izvršitelja obrade također trebate biti svjesni da ćete odgovarati za povredu podatka, iako niste sklopili sporazum o zaštiti podataka. Štoviše, odgovarat ćete još i više jer to znači da se pravno niste uskladili s GDPR-om. Na žalost, većina manjih organizacija koje nude usluge poput knjigovodstva, servisa itd. zbog vrlo limitiranih financijskih sredstava, malog broja osoblja i nedostatka osoblja s pravnim i informatičkim znanjem, nemaju zadovoljavajuću dokumentaciju kao niti zadovoljavajuće organizacijske i tehničke sigurnosne mjere.
Takve se organizacije izlažu velikom riziku u svom poslovanju i plaćanju kazne. Riziku koji se može jako smanjiti kada bi se implementirale barem osnovne mjere informacijske sigurnosti.
U slučaju da se u vašem društvu desi povreda podataka (data breach), bez ikakvog odlaganja potrebno je utvrditi što se desilo i zašto se desilo, te odmah onemogućiti daljnju povredu podataka. Na primjer, ako se radi o bazi podataka izloženoj korisnicima na internetu, odmah onemogućiti takav pristup dok se ne utvrdi što je pošlo po krivu i dok se problem ne riješi. Ako podaci koji su "iscurili" nisu bili kvalitetno šifrirani, bit će potrebno najkasnije u roku 72 sata od trenutka saznanja, obavijestiti AZOP o povredi podataka. U tom periodu mora se izvršiti i analiza kako bi se utvrdilo što se desilo, kakvi podaci i koliko podataka je "iscurilo". Na AZOP-ovim stranicama nalazi se formular za povredu podataka kojega možete preuzeti i ispuniti.
Posljednjih nekoliko godina donijelo je značajne promjene u poslovnom svijetu, utječući na način rada i pristup podacima. Od primjene GDPR-a do neočekivanih izazova koje je donijela COVID-19 pandemija, organizacije su se suočile s nizom prepreka. Osim toga, rat u Ukrajini dodatno je zakomplicirao situaciju, povećavajući broj državno poticanih hakerskih napada. Poništavanje EU-U.S. Privacy Shield-a u srpnju 2020., dodatno je zakomplicirao već složenu situaciju. Organizacije moraju biti svjesne ovih promjena kako bi osigurale usklađenost.
COVID-19 pandemija prisilila je mnoge organizacije da pređu na rad od kuće, što je stvorilo nove izazove u zaštiti podataka. Službenici za zaštitu podataka i IT osoblje moraju razviti inovativna rješenja kako bi osigurali sigurnost podataka unatoč promjenama u radnom okruženju. Rat u Ukrajini doveo je do porasta državno poticanih hakerskih napada, što predstavlja dodatan rizik za sigurnost podataka. Organizacije moraju pojačati svoje sigurnosne mjere i biti spremne odgovoriti na potencijalne prijetnje. Poništavanje EU-U.S. Privacy Shield-a primjer je kako pravne promjene mogu utjecati na međunarodni transfer podataka. Organizacije trebaju pratiti takve promjene i prilagoditi svoje politike i postupke kako bi ostale usklađene s GDPR-om.
Suočavanje s GDPR izazovima u današnjem brzo mijenjajućem svijetu zahtijeva stalnu budnost i prilagodbu. Organizacije moraju biti proaktivne u praćenju promjena, razvijanju novih strategija zaštite podataka i osiguravanju usklađenosti sa zakonima o privatnosti. Samo tako mogu osigurati dugoročnu sigurnost i povjerenje svojih korisnika.
U današnje vrijeme, korištenje konferencijskih alata kao što su Zoom i Microsoft Teams za održavanje virtualnih sastanaka postalo je standard u mnogim organizacijama. Ovi alati ne samo da omogućavaju efikasnu komunikaciju među timovima koji rade na daljinu, već se često koriste i za edukacijske svrhe. Međutim, s povećanjem njihove upotrebe, povećava se i potreba za osiguravanjem sigurnosti i privatnosti sudionika. U ovom tekstu ćemo razmotriti kako optimizirati korištenje ovih alata u vašoj organizaciji.
Prvi korak je identificirati sve konferencijske alate koji se koriste unutar vaše organizacije. Ovo uključuje razumijevanje svrha njihove upotrebe - bilo da se radi o sastancima, edukaciji ili nekoj drugoj funkciji.
Zatim, važno je provjeriti sigurnosne postavke svakog konferencijskog alata koji se koristi. To uključuje:
Ne zaboravite dokumentirati sve ove procese u skladu s GDPR regulativom. To će osigurati da vaša organizacija ostane usklađena s pravilima privatnosti.
Ako je moguće, preporučuje se korištenje samo jednog konferencijskog alata unutar organizacije. To ne samo da pojednostavljuje procese i obuku zaposlenika, već također smanjuje rizike povezane sa sigurnošću podataka.
Edukacija zaposlenika o potencijalnim rizicima za privatnost prilikom korištenja konferencijskih alata je ključna. To uključuje osvještavanje o važnosti isključivanja mikrofona ili kamere kada nisu u upotrebi kako bi se izbjegle neugodne situacije.
Identifikacija alata koji se koriste, provjera njihovih sigurnosnih postavki, usklađenost s GDPR-om te edukacija zaposlenika o mogućim rizicima su koraci koje svaka organizacija treba poduzeti kako bi osigurala sigurno i efikasno virtualno radno okruženje.
Pandemija COVID-19 transformirala je način na koji radimo, potičući masovni prelazak na rad od kuće. Ovaj novi model rada donosi brojne GDPR izazove i pitanja privatnosti koja se ne smiju zanemariti.
Rad od kuće često uključuje korištenje konferencijskih alata. Međutim, to može ugroziti privatnost ne samo zaposlenika već i njihovih ukućana. Postoji rizik da se ukućani, posebno djeca, nenamjerno pojave na snimkama sastanaka. Važno je biti svjestan ove mogućnosti, posebno ako se sastanci snimaju.
Među ostalim sigurnosnim problemima ističe se povećana mogućnost krađe opreme, pristup računalima od strane drugih ukućana te nezaštićene ili slabo zaštićene kućne mreže. Ovi faktori mogu olakšati povredu osobnih i poslovnih podataka. Stoga je ključno provjeriti s IT timom mjere zaštite transfera podataka. Većina organizacija koristi VPN (Virtual Private Network) za siguran udaljeni pristup uredskoj mreži. VPN omogućava zaštićen pristup dokumentaciji i servisima uredske mreže, nudeći visok stupanj tajnosti. Međutim, implementacija i održavanje VPN-a zahtijeva stručno IT osoblje.
Također je vrlo važno razjasniti kako je organizirano praćenje rada zaposlenika kod kuće. Instalacija softverskih alata koji prate aktivnosti zaposlenika može predstavljati problem u pogledu privatnosti. Istražite mogućnost korištenja drugih softverskih rješenja poput sustava za upravljanje projektima u oblaku umjesto alata za praćenje aktivnosti.
Rad od kuće donosi brojne GDPR izazove koji zahtijevaju pažljivo razmatranje sigurnosnih mjera i privatnosti. Organizacije moraju osigurati da su podaci zaštićeni te da se poštuju prava zaposlenika i njihovih obitelji dok rade iz udobnosti svojeg doma.
Tijekom pandemije COVID-19, mnoge organizacije uvele su obavezno ispunjavanje COVID formulara prilikom ulaska u zgrade, bolnice i druge objekte. Ovi formulari, koji su zahtijevali podatke poput imena, adrese, kontakta i zdravstvenog stanja vezanog uz COVID-19, postali su standardna praksa. Međutim, važno je razmotriti kako se ovi formulari usklađuju s GDPR-om i kako osigurati zaštitu osobnih podataka.
Neki subjekti su uveli COVID formulare bez konzultacija sa službenicima za zaštitu podataka ili čak i bez obavještavanja istih. To je rezultiralo nedostatkom transparentnosti i dokumentacije o obradi osobnih podataka. Da bi se izbjegle takve greške u budućnosti, ključno je osigurati da je svaka obrada osobnih podataka transparentna i dokumentirana.
Obrada osobnih podataka putem COVID formulara mora biti zakonita. U ovom kontekstu, obrada je opravdana kako bi se zaštitili ključni interesi ispitanika ili drugih osoba, sprječavanjem ulaska zaraženih osoba i time širenje virusa.
Važno je jasno odrediti tko ima pristup ispunjenim formularima te gdje i kako se oni čuvaju kako bi se spriječio neovlašteni uvid. Također, potrebno je definirati trajanje čuvanja podataka i metode sigurnog uništavanja nakon isteka tog perioda.
Ako treća strana prikuplja podatke u vaše ime (npr., zaštitarska tvrtka), nužno je imati sklopljen sporazum o zaštiti podataka s tom tvrtkom. Također, potrebno je educirati sve osobe koje dolaze u kontakt s formularima o pravilnom postupanju i čuvanju istih.
Upravljanje COVID formularima iziskuje pažljivo planiranje i provedbu mjera zaštite privatnosti ispitanika. Organizacije moraju osigurati da su sve faze obrade osobnih podataka u skladu s GDPR-om, od prikupljanja do uništavanja podataka. Time ne samo da štite privatnost pojedinaca već i jačaju povjerenje javnosti u svoje postupke tijekom i nakon pandemije COVID-19.
U svijetu gdje se digitalni podaci brzo mijenjaju, usklađenost s Općom uredbom o zaštiti podataka (GDPR) nije jednokratni zadatak, već zahtijeva stalnu pažnju i prilagodbu. Razumijevanje da je usklađenost s GDPR-om kontinuirani proces ključno je za zaštitu privatnosti korisnika i izbjegavanje potencijalnih kazni.
Za tvrtke i organizacije, bitno je shvatiti da usklađenost s GDPR-om zahtijeva neprestano praćenje i prilagodbu. Ovo uključuje redovito ažuriranje načina obrade podataka, reviziju poslovnih procesa te adaptaciju na nove tehnologije. Promjene u poslovanju ili tehnološkim alatima mogu utjecati na vašu sposobnost da ostanete usklađeni s GDPR-om, stoga je ključno biti proaktivan.
Službenici za zaštitu podataka igraju ključnu ulogu u osiguravanju usklađenosti s GDPR-om. Njihova primarna zadaća nije samo rješavanje problema nakon što se pojave, već aktivno sprječavanje potencijalnih propusta u privatnosti. Važno je da se službenici uključe od samog početka planiranja projekata ili procesa kako bi osigurali da su sve obrade podataka u skladu s GDPR-om. Ovaj pristup, poznat kao Privacy by Design (Privatnost po dizajnu), naglašava važnost integracije mjera zaštite privatnosti od samog početka.
Ostati usklađen s GDPR-om zahtijeva više od inicijalne implementacije pravila; to je kontinuirani proces koji zahtijeva stalnu pažnju i prilagodbu. Uključivanjem službenika za zaštitu podataka od samog početka i primjenjivanjem principa Privatnosti po dizajnu, tvrtke mogu osigurati da su njihove obrade podataka uvijek u skladu s najnovijim zakonskim zahtjevima. Održavanjem ovog proaktivnog pristupa, organizacije ne samo da štite privatnost svojih korisnika već i jačaju svoj ugled kao pouzdanih čuvara osobnih podataka.