GDPR Croatia

Dobili smo kritiku, naravno, dobronamjernu 😊 Upitani smo tko stoji iza GDPR Croatia stranice s obzirom da ne postavljamo selfije niti se nešto javno pokazujemo. “Pa zašto se malo više ne fotkate ko svi normalni na LinkedInu?” 😊 Da, nemamo selfija i puno fotki, držimo se stava da je davanje stvarne vrijednosti čitateljima ispravan smjer. Od samih početaka idemo smjerom naše istinske želje osvješćivanja svih ljudi dobre volje o važnosti brige o zaštiti vlastite privatnosti i osobnih podataka te primjene mjera informacijske sigurnosti. Dijelimo niz primjera iz stvarne prakse koju smo stekli kroz niz kompleksnih projekata u Hrvatskoj i Sloveniji. Na službenim web stranicama GDPR Croatia: https://lnkd.in/dtjFzN-T objavljeno je više od 2.400 stručnih postova lako pretraživih putem ponuđene tražilice po ključnim terminima, čime smo ostvarili našu želju svima omogućiti pristup najvećoj bazi GDPR znanja i iskustava u regiji. Slobodno je iskoristimo svi 🍀 Pri tom naša web stranica ne koristi nikakve trackere, analitičke ili marketinške kolačiće niti “umetke” raznih društvenih mreža. Gradimo bazu znanja od prvih objava na Facebooku 18.10.2017. a ovdje na LinkedInu dižemo profesionalnost u informiranju na višu razinu. Pri tom se trudimo da objave i komentari budu uvijek u okvirima uljuđenosti, pristojnosti i stručnosti. Naravno, dijelimo i opuštene šaljive objave 🤣 Bez vas vjernih čitatelja i pratitelja, bez vaših dobronamjernih komentara sve ovo ne bi imalo smisla, stoga vam na tome velika hvala 🥰 Posebno se želimo zahvaliti i Croatian Data Protection Authority-Agencija za zaštitu osobnih podataka na velikoj podršci i suradnji 🏆 Autor i urednik svih GDPR Croatia postova: Igor Barlek CIPP/E https://lnkd.in/dnGSGMkH #gdprcroatia (Since 2017)

Zaštita poslovne tajne je moguć izuzetak od prava pristupa podacima Svima nam je više-manje poznato naše besplatno pravo pristupa vlastitim osobnim podacima prema članku 15. GDPR-a i da pri tom moramo dobiti sve relevantne informacije KOJE naše osobne podatke KAKO i U KOJU svrhu s KOJIM pravnim temeljem obrađuje neki voditelj obrade, s KIM ih dijeli, odakle mu, KAKO dugo ih zadržava i KOJA su nam ostala prava iz GDPR-a. Pri tom imamo pravo dobiti i kopiju naših osobnih podataka. No, u članku 15. stavku 4. navedena je iznimka od prava na dobivanje kopije, ako bi se njenim davanjem negativno utjecalo na "prava i slobode drugih". Jedna od situacija kad je takva iznimka primjenjiva je slučaj otkrivanja poslovnih tajni. Takav slučaj dogodio se u Italiji, gdje je bivši zaposlenik zatražio svog bivšeg poslodavca pristup svojim osobnim podacima i njihovu kopiju, konkretno, zatražio je kopiju svih njegovih osobnih podataka u službenom laptopu koje je koristio tijekom radnog odnosa. Bivši poslodavac je odbio takav zahtjev radi zaštite poslovne tajne, a reagirao je tek nakon što mu se obratilo nadzorno tijelo za zaštitu podataka po zaprimljenoj prijavi, pri čemu je poslodavac tvrdio da je zahtjev bivšeg zaposlenika bio preopćenit i da su ga zatražili da specificira koje dokumente traži. Nadzorno tijelo je kaznilo poslodavca zbog neispunjenja zahtjeva bivšeg zaposlenika, naglasivši da poslodavac nije smio odbiti cijeli zahtjev, već je iz kopije osobnih podataka bivšem zaposleniku trebao izuzeti poslovne tajne. Drugim riječima, članak 15. stavak 4. GDPR-a ne daje pravo odbiti takav zahtjev u cijelosti. O takvim primjerima su sva EU nadzorna tijela donijela i Smjernice EDPB-a 01/2022 o pravima ispitanika – pravo na pristup: https://lnkd.in/d2CuM7Db koje lijepo navode: ֍ Pravo na dobivanje kopije ne smije negativno utjecati na prava i slobode drugih. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a posebno na autorsko pravo kojim je zaštićen računalni program. ֍ Nadalje, potrebno je uzeti u obzir pravo na povjerljivost korespondencije, primjerice u vezi s privatnim e-porukama u kontekstu radnog odnosa. ֍ Referenca je na presudu Europskog suda za ljudska prava, u slučaju Bărbulescu protiv Rumunjske, br. 61496/08, 5. rujna 2017, u točki 80. Više o slučaju: https://lnkd.in/d3H2YsDP Image by FreePik #gdprcroatia

AZOP edukacije, besplatne i online, prilika za ne propustiti 🍀

Prije otkrivanja osjetljivih podataka osigurajmo sigurnu identifikaciju podnositelja zahtjeva U suprotnome se može vrlo lako dogoditi da otkrijemo osobne podatke pa i vrlo osjetljive osobne podatke krivoj osobi, možda i nekom pojedincu bez dobrih namjera. Ne samo da članak 12. stavak 6. GDPR-a traži od voditelja obrade da osigura valjanu identifikaciju osobe kojoj će otkriti osobne podatke iz svoje baze, već to jednostavno nalaže i zdrav razum. Svima nam je jasno ako se netko javi s email adrese ime.prezime@gmail.com da to nikako ne znači da se radi o osobi tog imena i prezimena. Isto tako, identificiranje pojedinca imenom i prezimenom, adresom stanovanja i OIB-om teško može biti pouzdano s obzirom da se ti podaci lako mogu pronaći na odbačenim ili ekološki zbrinutim računima za javne komunalne usluge u spremnicima za otpad, vrlo često i nezaključanima. A ako se radi o potrebi otkrivanja posebno osjetljivih osobnih podataka, kakve obveze prema Zakonu o zaštiti prava pacijenata imaju zdravstvene ustanove, tada je zaista neophodno biti siguran da je podnositelj zahtjeva ovlašten imati pristup istima i da se zaista radi o toj osobi. Za sigurnu identifikaciju podnositelja zahtjeva treba iskoristiti već prikupljene informacije koje znaju samo pacijent ili druga ovlaštena osoba i sama zdravstvena ustanova. To mogu biti npr. datum ili vrsta zadnje terapije ili zahvata, naziv liječnika koji je ga je obavio, pa i jedinstveni broj pacijenta ili neka jedinstvena oznaka. Da sama jedinstvena oznaka nije dovoljna bez dodatnih podataka pokazuje nam slučaj iz Latvije gdje je nadzorno tijelo za zaštitu osobnih podataka jasno naglasilo da je uporaba jedinstvenog ID-a odličan način za pohranu podataka o pacijentima u sustavima i bazama, ali nikako nije dovoljan kad se radi o sprječavanju neovlaštenog otkrivanja podataka. Više o slučaju: https://lnkd.in/dEgHYcRU Image by Freepik #gdprcroatia

Niz besplatnih AZOP edukacija je pred nama povodom mjeseca kibernetičke sigurnosti Agencija za zaštitu osobnih podataka poziva na niz besplatnih edukativnih aktivnosti tijekom cijelog listopada koje će se održati povodom obilježavanja Europskog mjeseca kibernetičke sigurnosti. Cilj edukacija je podizanje svijesti o zaštiti osobnih podataka i kibernetičkoj sigurnosti, uz praktične savjete i rješenja koje možete primijeniti u svakodnevnom poslovanju i životu. Svi webinari počinju u 10 sati i traju jedan sat. Raspored webinara namijenjenih voditeljima/izvršiteljima obrade i službenicima za zaštitu podataka: 2. listopada 2024.– “Transferi osobnih podataka u treće zemlje”, link za sudjelovanje (registracija nije potrebna): https://lnkd.in/ddS8AUWQ 11. listopada 2024. – “Tehničke i organizacijske mjere za zaštitu osobnih podataka”, link za registraciju: https://lnkd.in/dTBV52ij 14. listopada 2024. – “Povrede osobnih podataka”, link za registraciju: https://lnkd.in/dfTqrkUc 17. listopada 2024. – “Službenik za zaštitu podataka” link za registraciju: https://lnkd.in/dNmt87j8 Priključimo se i webinarima koji su namijenjeni svim građanima te poslušajmo stručne savjete o sigurnosti na internetu, naučimo prepoznati potencijalne prijetnje i saznajmo kako zaštititi svoje osobne podatke i ostvariti svoja prava: 15. listopada 2024. – “Kako zaštititi svoje osobne podatke?” https://lnkd.in/drBmU-wi 21. listopada 2024. – “Kako prepoznati i izbjeći prijevare na internetu?” https://lnkd.in/dXHshd3e 28. listopada 2024. – ” Tko i kada smije obrađivati moje osobne podatke?”, https://lnkd.in/dq2fMYrb Za ne propustii 🍀

Prodaja alkoholnih pića maloljetnicima Svi znamo da je u RH zabranjena prodaja alkoholnih pića osobama mlađim od 18 godina, što je regulirano člankom 11. Zakona o trgovini, koji dodatno nalaže trgovinama da takvu zabranu jasno istaknu oznakom na svim prodajnim mjestima i da, AKO PROCIJENE DA JE KUPAC MLAĐI OD 18 GODINA, a pri tom kupac dobrovoljno ne dokaže da je punoljetan DAVANJEM NA UVID prodavaču neke od osobnih isprava, tada trgovac ne smije prodati alkoholno piće kupcu. Gledajući tu odredbu vjerujemo da je svima jasna. No ne znamo koliko je jasna samim trgovcima na terenu, friškim prodavačima ili prodavačima kojima nisu dane jasne upute kako postupati. S jedne strane je prodavač u obvezi ispravno procijeniti je li kupac punoljetan, a ako ima ikakvu sumnju u to treba ga uputiti na odredbe Zakona o trgovini ili, još bolje, na istaknutu obavijest koja o tome govori, i zamoliti za uvid u osobni dokument. Isključivo uvid. Ako kupac ne da osobni dokument, a ne mora ga pokazati, tada mu prodavač ne može ni prodati alkoholno piće. Tu je uvijek prisutan izazov ako prodavača vanjski izgled kupca zavara pa ne posumnja u njegovu punoljetnost, a naknadno se utvrdi prijavom ili inspekcijskim nadzorom da se ipak radilo o maloljetniku. Sklizak teren za prodavače i trgovinu, vjerujemo da s posebnim oprezom pristupaju takvim slučajevima. No, u Mađarskoj su prodavači možda najvećeg maloprodajnog lanca u EU (Aldi) iskazali svoj veliki oprez mjerama kakve nisu dozvoljene ni u Mađarskoj. Tražili su na uvid osobni dokument svaku osobu koja je kupovala alkoholno piće, a nekima su i zapisivali datum rođenja. Takva praksa bila je neujednačena po poslovnicama, a općenito su nedostajale jasne obavijesti kupcima o takvim zabranama, kao i GDPR obavijesti s najavom da bi se zbog zakonskih obveza mogao tražiti uvid u osobne dokumente za osobe za koje nije pouzdano da su punoljetne te informacija na čemu se temelji takva provjera osobnih podataka. No, uglavnom, maloprodajni lanac Aldi je u Mađarskoj zbog ovih propusta kažnjen 204.000 EUR uz obvezu isticanja GDPR obavijesti o uvidu u osobne dokumente mogućih maloljetnika, da su takve obavijesti imali vjerujemo da bi i praksa prodavača bila ispravna u ujednačena u svim poslovnicama. Takve obavijesti nismo nigdje ni kod nas vidjeli. Više o slučaju na: https://lnkd.in/eEGrdehg Image by FreePik #gdprcroatia

Tko sve ima pristup našim zdravstvenim podacima u e-Kartonu Pisali smo o toj temi prije dosta mjeseci i izrazili zabrinutost kako su tada bile omogućene, odnosno, ograničene mogućnosti upravljanja pravila pristupa podacima pacijenta unutar sustava e-Građani. Ograničenje prava pristupa osobnim podacima obveza je iz članka 25. GDPR-a koji određuje načine provođenja Data Protection by Design and by Default načela, kao i sigurnosnih mjera iz članka 32. GDPR-a. Prema pisanju medija AZOP je početkom godine pokrenuo nadzor na Ministarstvom zdravstva. Izdvajamo iz teksta u mediju: Pristup e-Kartonu za mnoge predstavlja prijetnju jer u njima svatko može vidjeti medicinsku dokumentaciju, od posljednjeg krvnog nalaza, termina za pregled do povijesti bolesti jer bi zahvaljujući njima privatne stvari mogle »procuriti«. S druge strane, zdravstveni djelatnici upozoravaju da su mogućnosti e-Kartona nedovoljno iskorištene. Ljekarnik, na primjer, kod izdavanja nekog bezreceptnog lijeka ili dodatka prehrani ne zna koje sve terapije taj pacijent uzima, niti mu može dati dobar savjet. Djelatnici bolnica žalili su se da neki njihovi kolege nesmetano zaviruju u njihove e-Kartone, čitaju njihove intimne podatke i šire ih u radnom kolektivu. U sustavu e-Građani, preko Portala zdravlja, svaki pacijent ima opciju odobrenja, odnosno zabrane uvida u svoje medicinske podatke za pojedine kategorije liječnika. Teoretski tako sve zdravstvene službe mogu dobiti uvid u e-Karton, ali pod uvjetom da im to pacijent odobri. U praksi, stanje je takvo da malo tko od građana uopće ulazi u svoj e-Karton putem sustava e-Građani, a kamoli da odobrava uvid u njega. Cijeli članak je ovdje: https://lnkd.in/dYZ-td_m

Opreza nikad dovoljno ⚠️ Izdvajamo iz medija: “Ona je, prema prijavi, 27. rujna zaprimila poziv od nepoznate ženske osobe koja joj je rekla da joj je hakiran bankovni račun, ali da je ona zaposlenica udruge koja se bavi suzbijanjem hakera, te da joj da svoje osobne podatke kako bi joj pomogla. 40-godišnjakinja joj je dala svoje osobne podatke te je po njezinim uputama na mobitel instalirala aplikaciju pod izlikom da je ta aplikacija za zaštitu od hakera. 40-godišnjakinja je postupila po uputama nepoznate osobe, te je neposredno nakon toga vidjela da joj je s računa skinut novčani iznos od oko 4900 eura.” https://lnkd.in/dBNx9Jrm

AZOP besplatne edukacije ne jenjavaju Iskoristimo priliku 🎯

Kazna zbog nekriptiranog USB sticka Zamislimo da nosimo USB stick na kojem se nalaze dokumenti s osobnim podacima osoba koje protiv kojih se vode kazneni postupci. I zamislimo da izgubimo taj USB stick ili nam ga ukradu. Otkrivanje i neovlašten pristup tolikim vrlo osjetljivim osobnim podacima definitivno može nanijeti veliku štetu pojedincima o čijim se osobnim podacima radi, odnosno, stvoriti visoke rizike na njihova prava i slobode. Prvo valja postaviti pitanje zašto se uopće tako osjetljivi osobni podaci spremaju na USB stick i zašto se USB stick uopće koristi. Uvijek moramo biti svjesni da su USB stickovi dana dimenzijama sve manji a kapacitetom sve veći i vjerojatnost da izgubimo i otkrijemo poslovne tajne i osobne podatke svakim danom sve više raste. Ako je baš iz nekog razloga NUŽNO i nezaobilazno koristiti USB stick, tada trebamo taj USB stick kriptirati. Time sprječavamo da i u slučaju gubitka USB sticka ili u slučaju neovlaštenog pristupa sadržaju USB sticka osobni podaci ili poslovne tajne na njemu ostaju nedostupni nalazniku USB sticka ili njegovom kradljivcu. To je NUŽNA organizacijska i tehnička mjera ako već moramo koristiti USB stickove, i GDPR nam to jasno nalaže kroz svoj članak 32. A tako ih je jednostavno kriptirati. Uzmemo naše računalo s Windows 10/11 Professional ili Enterprise operativnim sustavom, u kojem je omogućena i BitLocker funkcionalnost. Priključimo USB stick na takvo računalo, potražimo u Control panelu "BitLocker", potražimo naš USB stick u popisu diskova za aktiviranje BitLockera, i pokrenimo postupak kroz kojeg nas vode Windowsi. Na MacOS računalima možemo isto napraviti putem Disk Utility aplikacije koju Mac ima predinstaliranu. Tijekom takvih postupaka morat ćemo upisati i potvrditi željenu lozinku za otključavanje USB sticka, a kojom osiguravamo da do sadržaja USB sticka možemo doći samo mi, bez obzira jesmo li ga izgubili ili ga nam je netko uzeo. I u takvom slučaju gubitak USB sticka ne predstavlja povredu osobnih podataka ili Data Breach. Samo trebamo zapamtiti upisanu lozinku. Ako to ne učinimo slijedi veliki problem. Možda nas slučaj iz Španjolske može potaknuti na poduzimanje sigurnosnih mjera, u kojem je konzultantska tvrtka iz nama neobjašnjenih razloga koristila USB stickova za držanje vrlo osjetljivih podataka i nakon što im je ukraden, stvar je eskalirala. Nadzorno tijelo za zaštitu osobnih podataka potvrdilo je da je učinjen veliki propust u sigurnosnim mjerama izostankom kriptiranja USB stickova, unatoč raznim opisanim i dokumentiranim sigurnosnim procedurama unutar organizacije. A tako je malo trebalo da se zaštite od nepotrebnih problema i kazne od 145.000 EUR. Više o slučaju: https://lnkd.in/dSBUnMcm Image by kues1 on Freepik #gdprcroatia