Piše: Dr. sc. Natalija Parlov Una
Da je GDPR i dalje aktualan, unatoč tome što su se mnogi poduzetnici opustili i odlučili go with the flow, govore i dvije nove izrečene kazne hrvatskog nadzornog tijela. Slijedom ovih nadzornih aktivnosti i posljedično poduzetih mjera mnogi voditelji i izvršitelji obrada trebali bi, za svoje dobro, detaljnije definirati ugovorne odnose - osobito u aspektima tehničkih i organizacijskih mjera informacijske sigurnosti.
Prva AZOP-ova kazna vezana je uz curenje osobnih podataka iz hrvatske IT tvrtke koja pruža svoje informatičke usluge mobilnim operaterima, bankama i državnim institucijama u Republici Hrvatskoj, ali i tvrtkama u inozemstvu. Tvrtka je bila u statusu izvršitelja obrade jednog hrvatskog telekoma i nije poduzela odgovarajuće tehničke mjere zaštite nad informatičkim uslugama koje su pružali telekomu. Pretrpjeli su hakerski napad prilikom kojeg je ugroženo i gotovo 30.000 hrvatskih ispitanika i njihovih osobnih podataka, a AZOP je utvrdio da se radilo o postojećim i predvidivim rizicima.
U GDPR praksi često nailazimo na pro forma ugovore ili anekse ugovora koji nedostatno obuhvaćaju međusobno reguliranje statusa u aspektima odgovornosti i obveza u odnosima voditelj-izvršitelj obrade kod poslova vezanim uz ophođenje s osobnih podacima. Velikim dijelom uzrokovano i time, nedostatnost organizacijskih i tehničkih mjera postali su jedan od najvećih razloga izricanja kazni na teritoriju EU pa je uputno upravo na to obratiti pažnju - kako u vlastitoj organizaciji, tako osobito i ako djelomično ili u potpunosti koristite usluge dobavljača koje podrazumijevaju pristup osobnim podacima ili ispunjavanje propisanih prava ispitanicima.
Kako se i sami ne biste našli u sličnoj situaciji dobar početak bio bi inzistiranje na visokim mjerama informacijske sigurnosti. One mogu početi detaljnijim reguliranjem ugovornog odnosa, uz pomoć korištenja međunarodnih standarda pri definiranju stavaka vezanih uz tehničke mjere ili uz konkretno ishođenje i/ili uvjetovanje certifikata standarda informacijske sigurnosti poput ISO/IEC 27001 (preporučljivo s proširenjem na zaštitu privatnosti ISO/IEC 27701 jer ono podrazumijeva i samo usklađivanje s GDPR-om) te osiguravanja kontinuiteta pružanja usluga i otpornosti sustava propisanih standardom ISO 22301.
Time ćete osigurati visoku kvalitativnu razinu zaštite sustava od curenja podataka koja je svim stranama u interesu, osobito jer je povjerenje u Vaš sustav nakon prvog curenja podataka teško vratiti - bilo ono uzrokovano direktno vašim propustom ili 'samo' propustom vašeg dobavljača.
Trenutno aktualne smjernice Europskog odbora za zaštitu podataka u reguliranju odnosa voditelj-izvršitelj obrade su ovdje (dostupno na engleskom jeziku). Sugerirala bih da osobitu pažnju posvetite drugom dijelu dokumenta koji sadrži vrlo konkretne prijedloge vezane uz opseg stavaka koje bi obje strane trebale međusobno ugovorno regulirati, s uključenim kontekstom organizacijskih i tehničkih mjera.
Druga danas izrečena AZOP-ova kazna vezana je uz nedostatnost nad usklađenosti videonadzora pa ponavljam i preporuku dokumenata vezanu uz te aspekte:
- Službene Smjernice o obradi osobnih podataka putem videouređaja, dostupne na hrvatskom jeziku ovdje
- Vodič za uporabu videonadzora namijenjen mikro, malim i srednjim poduzetnicima, dostupan na hrvatskom jeziku ovdje
U cijelosti prenosim AZOP-ovu obavijest o danas izrečenim kaznama:
Upravna novčana kazna zbog nepoduzimanja odgovarajućih tehničkih mjera
Zbog nepoduzimanja odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane društva za pružanje informatičkih usluga iz Zagreba (daljnje u tekstu: društvo), kao izvršitelja obrade, došlo je do kršenja sigurnosti koje je dovelo do neovlaštene obrade osobnih podataka 28.085 ispitanika, odnosno dovelo je do neovlaštenog pristupa osobnim podacima od strane hakera. Izvršitelj obrade nije poduzeo potrebne mjere za postizanje odgovarajuće razine sigurnosti sukladno postojećim i predvidivim rizicima te je postupio protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka.
Incident je AZOP-u prijavio voditelj obrade, telekomunikacijsko društvo iz Zagreba, koje je pisanim putem izvijestilo i korisnike svojih usluga o potencijalnoj povredi osobnih podataka.
Izvršitelj obrade prilikom obrade osobnih podataka dužan je poduzeti odgovarajuće tehničke mjere sigurnosti na način da treba osigurati trajnu povjerljivost sustava, kao i proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, a prilikom procjene odgovarajuće razine sigurnosti posebno uzeti u obzir rizike neovlaštenog otkrivanja osobnih podataka. S obzirom na to da društvo, prema javno dostupnim informacijama, pruža informatičke usluge i drugim mobilnim operaterima, bankama i državnim institucijama u Republici Hrvatskoj, ali i tvrtkama u inozemstvu (SAD, Velika Britanija, Nizozemska itd.), trebalo bi biti relevantni subjekt u davanju mišljenja, smjernica, predlagati rješenja voditeljima obrade o implementaciji web aplikacija, pa tako i osmišljavati i provoditi odgovarajuće tehničke mjere za zaštitu obrade osobnih podataka.
Slijedom navedenog, Agencija je sukladno svojim ovlastima iz članka 58. stavka 2. točke i Opće uredbe o zaštiti podataka izrekla upravnu novčanu kaznu, a sve u skladu s uvjetima za njezino izricanje iz članka 83. Opće uredbe i članka 44., 45. i 46. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna zbog neoznačavanja objekta pod videonadzorom
Agencija za zaštitu osobnih podataka je po službenoj dužnosti, bez prethodne najave, provela izravan nadzor nad obradom i provođenjem zaštite osobnih podataka, prikupljanja i obrade osobnih podataka učinjenih videonadzornim sustavom te je utvrdila kako osiguravajuće društvo sa sjedištem u Zagrebu (daljnje u tekstu: društvo) nije označilo da su poslovni objekt (u kojem se provode tehnički pregledi i registracija vozila te ugovaraju usluge osiguranja) i vanjska površina poslovnog objekta pod videonadzorom. Time je voditelj obrade, odnosno osiguravajuće društvo postupilo protivno članku 27. stavku 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Upravna novčana kazna za neoznačavanje objekta pod videonadzorom izrečena je sukladno članku 51. stavku 1. alineji 1. Zakona o provedbi Opće uredbe o zaštiti podataka.
Agencija smatra da je upravo korektivna mjera u vidu upravne novčane kazne učinkovita, proporcionalna i odvraćajuća te u potpunosti primjerena okolnostima za obje izrečene kazne.