25. veljača 2021.

GDPR KAZNA U HRVATSKOJ - Zaštitarska tvrtka kažnjena zbog curenja snimke. Ovo se tiče SVIH NAS

 foto Shutterstock
piše Natalija Parlov Una
piše Natalija Parlov Una

Početkom tjedna hrvatsko nadzorno tijelo AZOP (Agencija za zaštitu osobnih podataka) izdalo je rješenje kojim se zaštitarskoj tvrtki, koja se između ostalog bavi i pružanjem usluga vezanim uz videonadzor, izriče upravna novčana kazna zbog curenja snimaka tijekom pružanja usluga svojim klijentima. Zaštitarsku tvrtku prijavio je sam klijent, a slučaj nije nimalo benigne naravi jer je snimka dospjela na društvene mreže i postala viralna. Ozbiljno je naškodila pojedincu koji se na njoj nalazi, a vjerojatno i ne samo njemu.

Taman kad se većina pravnih subjekata (neopravdano) opustila glede reguliranja međusobnog odnosa zvanog voditelj-izvršitelj obrade podataka, detaljnog iščitavanja sadržaja takvih ugovora i često se prepustila toku rijeke tipiziranih dokumenata bez detaljnije specifikacije minimalnih tehničkih i organizacijskih mjera te termina zvanog „odgovornost“, dogodio se moment koji će puno poduzetnika navesti na razmišljanje. A i građana. Jer se tiče i svakog pojedinca.

U GDPR terminologiji, hrvatsko nadzorno tijelo je izreklo kaznu izvršitelju obrade kojeg je prijavio sam voditelj obrade u slučaju vezanom uz curenje osobnih podataka uslijed neovlaštene objave snimaka s videonadzora. Namjerno ne spominjem imena ni tvrtke niti pojedinca jer te informacije u ovom slučaju nisu važne za kontekst i samo bi dodatno produžile agoniju pojedincu. 

Što se dogodilo?

Zaposlenik zaštitarske tvrtke je u jednoj od poslovnica klijenta snimio mobitelom snimku s nadzornog ekrana videonadzora te istu proslijedio trećoj osobi. Snimka je dospjela na društvene mreže i u medije te postala viralna. Kako je osoba koja je bila na snimci ubrzo prepoznata uslijedio je val uvreda, podsmijeha i izrugivanja u javnosti što joj je (kao što bi vjerojatno i svakom od nas) moglo ozbiljno psihički naškoditi.

Iako je ovdje zaštitarska tvrtka bila u funkciji pružanja usluga videonadzora kao dobavljač, ona nije svog klijenta upozorila na to curenje podataka (što je bila obvezna) već je klijent za incident doznao tako što mu je sam pojedinac sa snimke uložio prigovor. Kako se radi o jednoj od vodećih zaštitarskih tvrtki u Hrvatskoj, gotovo je čudesno i to da niti nakon tog incidenta ista tvrtka nije poduzela nikakve korake kako bi se daljnja mogućnost takvih curenja podataka svela na minimalnu razinu, što je ustanovilo nadzorno tijelo.

Zašto je ovaj slučaj jako važan?

Curenje podataka koje uzrokuje kršenje nečijeg prava na privatnost ne bi trebalo gledati na način da to predstavlja samo „kršenje nečije ugovorne obveze ili neusklađenost s regulativom“. Osobni podaci nisu samo ime i prezime, brojevi – oni su sve ono čime se može izravno ili neizravno identificirati pojedinac, osoba, Vi.

Curenje osobnih podataka u javnost može u sekundi uništiti život pojedincu i njegovoj obitelji i zato osobitu pažnju posvetite, kako vlastitoj tako i odgovornosti uključene druge strane, kod obrade osobnih podataka – bilo Vaših zaposlenika, direktnih ili indirektnih klijenata i svih ostalih situacija u kojima ćete biti uključeni u njihovo prikupljanje, obradu i arhiviranje.

Naposljetku, svi smo mi prvenstveno pojedinci od krvi i mesa s pravom na privatnost, slavnim i neslavnim momentima, obiteljima i prijateljima, a tek nakon toga pojedini od nas i poduzetnici s obvezom usklađivanja s tom regulativom i osiguravanja propisanih prava ispitanicima. Od te premise bi trebalo krenuti i kad svoju vlastitu organizaciju usklađujete s GDPR-om ili promišljate o minimalnim tehničkim ili organizacijskim mjerama u zaštiti osobnih podataka koje obrađujete ili njima imate pristup.

Što sad s videonadzorima?

Kad ćete postavljati videonadzor u stambenu zgradu, tvrtku ili uzimati vanjskog dobavljača za tu vrstu usluga uzmite u obzir da te snimke svakako predstavljaju obradu osobnih podataka ukoliko se na njima nalaze osobe. Obveze su detaljno propisane, kao i prava ispitanika.

GDPR nije administrativno zlo koje nas je sve zadesilo uz potrese i pandemiju - on je vrlo konkretno sredstvo kojim i Vi osobno, kao građani EU-a, imate osigurana prava na svoju privatnost što predstavlja jedan neprocjenjiv tektonski pomak u hektičnoj okolini digitalnog doba i sve naprednijih tehnoloških mogućnosti.

Od materijala koji bi Vam u slučaju videonadzora mogli biti od velike koristi preporučam Vam dva dokumenta:

  1. službene Smjernice o obradi osobnih podataka putem videouređaja, dostupne na hrvatskom jeziku ovdje
  2. Vodič za uporabu videonadzora namijenjen mikro, malim i srednjim poduzetnicima, dostupan na hrvatskom jeziku ovdje

Cjelovit sadržaj izjave nadzornog tijela o ovom slučaju je ovdje.

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO/IEC 27001, privatnosti ISO/IEC 27701, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. Nositeljica je kolegija Digitalna ekonomija na EFFECTUS poduzetničkim studijima - Studiju za financije i pravo. LinkedIn