07. ruj 23
Izbjegavanje kršenja osjetljivih osobnih podataka
Što je povreda osobnih podataka prema GDPR-u?
Prema propisima, "povreda osobnih podataka znači povredu sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađeni".
Kada je riječ o povredi osobnih podataka prema ISO 27001, povreda osobnih podataka je incident informacijske sigurnosti. Gledajući tri stupa informacijske sigurnosti, znamo da se informacijska sigurnost temelji na sljedećem:
· povjerljivosti
· integritetu
· dostupnosti
Ako GDPR povreda podataka razmatra na temelju ISO standarda, onda bi to izgledalo ovako:
Povjerljivost i povreda osobnih podataka prema GDPR-u
· neovlašteno otkrivanje
· pristup neovlaštenog trećeg subjekta
· slanje osobnih podataka na krivog primatelja
· gubitak ili krađa računalnih uređaja koji sadrže osobne podatke
Integritet i povreda osobnih podataka prema GDPR-u
· slučajno ili nezakonito uništenje
· gubitak osobnih podataka
· izmjena osobnih podataka bez dopuštenja
Dostupnost i povreda osobnih podataka prema GDPR-u
· slučajno ili nezakonito uništenje
· gubitak osobnih podataka
· gubitak dostupnosti ili pristupa osobnim podacima
S obzirom na perspektivu rizika i počevši od administrativnih kazni koje izdaju nacionalna nadzorna tijela za privatnost osobnih podataka, čini se da je najvažnija kategorija sve posebne kategorije podataka "osjetljivi podaci" koji su osobni podaci o zdravlju ispitanika kako je opisano u članku 9.1. GDPR-a. Analizirajući ponašanje regulatora s obzirom na podatke o zdravlju, primarni fokus čini se da je sprječavanje neovlaštenog otkrivanja i kažnjavanje ne samo otkrivanja već čak i mogućnosti otkrivanja. Iako svaka zemlja ima druge zakone koji reguliraju profesionalnu tajnu, GDPR članak 9.3. naglašava da zakletva tajne i odgovornost za čuvanje podataka o zdravlju privatno.
Nadalje, GDPR daje državama članicama EU-a mogućnost da uvedu dodatne uvjete, uključujući ograničenja u vezi s obradom genetskih podataka, biometrijskih podataka i podataka o zdravlju.
Što se tiče zdravlja, osobni podaci imaju barem dvostruku zaštitu (oni su zaštićeni posebnim zakonima u svakoj državi članici gdje svaka nacionalna lex specialis regulira obvezu čuvanja podataka o zdravlju privatno (npr. liječnici su obvezni čuvati povjerljivost liječnik-pacijent i u slučaju povrede imaju moralnu odgovornost gdje im se može oduzeti dozvola za obavljanje liječničke prakse, manje povrede/predaju odgovornosti gdje ih se može kazniti kaznom do kriminalnog djela gdje mogu biti zatvoreni - neovlaštenim otkrivanjem povjerljivih informacija, posebno o djeci).
Osim toga, GDPR daje državama članicama EU-a mogućnost da uvedu
dodatne uvjete, uključujući ograničenja u vezi s obradom genetskih podataka, biometrijskih podataka i podataka o zdravlju.
S obzirom na zdravlje, osobni podaci imaju barem dvostruku zaštitu (oni su zaštićeni posebnim zakonima u svakoj državi članici gdje svaka nacionalna lex specialis regulira obvezu čuvanja podataka o zdravlju privatno (npr. liječnici su obvezni čuvati povjerljivost liječnik-pacijent i u slučaju povrede imaju moralnu odgovornost gdje im se može oduzeti dozvola za obavljanje liječničke prakse, manje povrede/predaju odgovornosti gdje ih se može kazniti kaznom do kriminalnog djela gdje mogu biti zatvoreni - neovlaštenim otkrivanjem povjerljivih informacija, posebno o djeci).
Ovisno o državi članici EU-a, razvijeni su posebni zakoni koji reguliraju zaštitu prava pacijenata koji pojedincima (kao subjektima podataka) dodjeljuju dodatnu zaštitu, s naglaskom na tajnosti liječnik-pacijent, pravo pacijenta da primi pravovremene informacije, pravo pacijenta da zabrani otkrivanje podataka o zdravlju određenim osobama.
Liječnici u svim državama članicama EU-a dodatno su regulirani u smislu povjerljivosti etičkim kodeksima, kodeksima ponašanja i sličnim propisima ili standardima.
Isto vrijedi i za ljekarnike koji su obvezni čuvati povjerljivost ljekarne-pacijent ili etičke kodekse ponašanja gdje mogu snositi posljedice čak i za manje povrede. Medicinske sestre snose gotovo istu odgovornost. Nepotrebno je reći da svi zakoni, pravilnici i pravila, čak i bez GDPR-a, već dodjeljuju prava osobnih podataka o zdravlju članovima zdravstvenog tima, dok su drugi regulirani općim obvezama o tajnosti.
Implementacijom GDPR-a, osobni podaci o zdravlju smatraju se posebnom kategorijom podataka i uživaju posebnu zaštitu općenito (npr. poslodavac može saznati o terminalnoj bolesti, ovisnosti ili drugim podacima o zdravlju povezanim s osobom ako ih zaposlenici podijele, ali i zato što su te informacije uključene u bilješkama o bolovanju koje izdaju primarni zdravstveni djelatnici zaposlenicima kako bi bili plaćeni tijekom bolovanja (propisi se razlikuju od države članice do države članice).
Nije samo poslodavcu zabranjeno donošenje odluka na temelju dokumentacije o bolovanju, ali to se kažnjava kaznenim odredbama GDPR-a jer bi inače bilo smatrano nezakonitim obradom podataka. Budući da poslodavci primaju dokumentaciju (fizičku ili digitalnu), obvezni su zaštititi te podatke proporcionalno njihovoj osjetljivosti i riziku neovlaštenog otkrivanja, a to uključuje podatke o bolovanju.
Kada se tehničke i organizacijske mjere uzmu u obzir, trebaju se ukratko analizirati sljedeći slučajevi:
· Slučaj portugalske bolnice koja je kažnjena s 400.000 eura 2018. godine jer je ne-medicinsko osoblje imalo pristup svim medicinskim zapisima u bolničkom sustavu, što je predstavljalo ne
uspjeh u provedbi tehničkih i organizacijskih mjera koje osiguravaju razinu sigurnosti podataka prikladnu za razinu rizika koju predstavlja obrada osobnih podataka i dovela do neovlaštenog otkrivanja podataka: povreda osobnih podataka jer bolnica nije poštovala članak 32. GDPR-a.
· Slučaj Haga bolnice u Nizozemskoj koja je kažnjena s 460.000 eura gdje je stotine zaposlenika uhvaćeno u pristupu medicinskim zapisima poznate TV zvijezde bez autorizacije što je predstavljalo neuspjeh u provedbi tehničkih i organizacijskih mjera koje osiguravaju razinu sigurnosti podataka prikladnu za razinu rizika koju predstavlja obrada osobnih podataka i dovela do neovlaštenog otkrivanja podataka: povreda osobnih podataka jer bolnica nije poštovala članak 32. GDPR-a.
· Slučaj londonske ljekarne koja je kažnjena s 275.000 GBP (297.000 eura) jer su pohranili 50.000 dokumenata u nezaključane kutije što je predstavljalo neuspjeh u provedbi tehničkih i organizacijskih mjera koje osiguravaju razinu sigurnosti podataka prikladnu za razinu rizika koju predstavlja obrada osobnih podataka i dovela do neovlaštenog otkrivanja podataka: povreda osobnih podataka jer bolnica nije poštovala članak 32. GDPR-a.
· Slučaj bolnice u Rajnskoj pokrajini u Njemačkoj kažnjen s 105.000 eura koji je započeo kao zamjena pacijenata prilikom prijema pacijenta što je dovelo do pogrešnog fakturiranja i otkrilo tehničke i organizacijske propuste u upravljanju privatnošću bolnice koji su predstavljali neuspjeh u provedbi tehničkih i organizacijskih mjera koje osiguravaju razinu sigurnosti podataka prikladnu za razinu rizika koju predstavlja obrada osobnih podataka koji je doveo do neovlaštenog otkrivanja podataka, gubitka podataka, oštećenja dokumentacije: povreda osobnih podataka jer bolnica nije poštovala članak 32. GDPR-a.
· Slučaj norveške bolnice Østfold HF koja je kažnjena s 112.000 eura jer je utvrđeno da je Østfold HF bolnica pohranjivala podatke o pacijentima, uključujući osjetljive podatke (npr. razlog hospitalizacije), od 2013. do 2019. godine bez nadzora pristupa mapama gdje su podaci bili pohranjeni. Ta činjenica predstavljala je neuspjeh u provedbi tehničkih i organizacijskih mjera koje osiguravaju razinu sigurnosti podataka prikladnu za razinu rizika koju predstavlja obrada osobnih podataka koja je dovela do neovlaštenog otkrivanja podataka, gubitka podataka, oštećenja dokumentacije: povreda osobnih podataka jer bolnica nije poštovala članak 32. GDPR-a.
· Slučaj talijanske Azienda Ospedaliero Universitaria Integrata di Verona (bolnice) kažnjen je 2020. godine sa 30.000 eura jer je utvrđeno da je jedan vježbenik i radiolog dobio pristup zdravstvenim podacima svojih kolega što je predstavljalo prekršaj članka 5.1.f jer podaci nisu obrađivani na način koji osigurava odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja, korištenjem odgovarajućih tehničkih ili organizacijskih mjera (‘integritet i povjerljivost) i propust u provedbi tehničkih i organizacijskih mjera koje osiguravaju razinu sigurnosti podataka prikladnu za razinu rizika što je kvalificirano kao prekršaj članka 32. GDPR-a.
· Slučaj španjolske Global Business Travel Spain SLU koja je kažnjena sa 5.000 eura jer je jedan zaposlenik pristupio zdravstvenim podacima jedne osobe što je dovelo do zaključka da su tehničke i organizacijske mjere za osiguranje informacijske sigurnosti bile nedovoljne, što predstavlja kršenje članaka 32 (2) i 32 (4) GDPR-a.
· Slučaj bugarske DSK banke kažnjen s 511.000 eura zbog curenja osobnih podataka zbog nedovoljnih tehničkih i organizacijskih mjera za osiguranje zaštite informacijske sigurnosti. Treće strane imale su pristup više od 23.000 kreditnih zapisa koji se odnose na više od 33.000 klijenata banke, uključujući osobne podatke poput imena, državljanstava, identifikacijskih brojeva, adresa, kopija osobnih iskaznica i biometrijskih podataka kršenje članka 32. GDPR-a.
· Slučaj nizozemske tvrtke kažnjen s 725.000 eura 2020. godine zbog skeniranja otisaka prstiju svojih zaposlenika kako bi se evidentirala prisutnost. Budući da otisci prstiju spadaju u osjetljive podatke prema članku 9. GDPR-a, jer su biometrijski podaci i stoga mogu lako identificirati subjekta podataka, nizozemska agencija za zaštitu podataka (DPA) je u ovom slučaju razmotrila dva izuzetka: izričita privola prema članku 9. II a GDPR-a i nužnost obrade iz sigurnosnih razloga, što se odnosi na članak 9. II g GDPR-a. i zaključio da skeniranje otisaka prstiju u ovom slučaju nije bilo potrebno i neopravdano u odnosu na povredu privatnosti zaposlenika.
Analizirajući navedene slučajeve, važno je napomenuti da upravljanje pravima pristupa određenim podacima ne leži samo na zdravstvenim ustanovama već i na poslodavcima. Uvođenje politika prava pristupa i tehničkih mjera za kategorije osjetljivih podataka čini se izuzetno važnim za svaku organizaciju, jer neuspjeh u tome lako može dovesti do administrativnih kazni.
Nema razloga pretpostavljati da su biometrijski podaci i genetski podaci manje osjetljivi od osobnih podataka o zdravlju i da bi trebali uživati istu razinu zaštite koju propisuje GDPR. Štoviše, druge posebne kategorije podataka, uključujući vjerska ili filozofska uvjerenja, pripadnost sindikatima, rasno ili etničko porijeklo, podaci o seksualnom životu ili seksualnoj orijentaciji, trebaju se tretirati na isti način i zaštititi tehničkim i organizacijskim mjerama proporcionalnim riziku koji nose (ako je obrada tih podataka zakonita, uopće) prema odredbama članka 9. GDPR-a.
Ako trebate više informacija o Shipping API-ju, značajkama Shipping API-ja ili budućem razvoju, slobodno nam se obratite u bilo koje vrijeme na adresu support@infranet.hr.
Preporučeni članci
-
11. ruj 20Izbjegavanje kršenja osjetljivih osobnih podataka
Povreda osobnih podataka može se dogoditi nenamjerno, ne nužno zbog nemara, već zato što analiza ponekad pokazuje da određeni podaci nisu osobni podaci, dok su zapravo. Naše stajalište je da oznaka podataka kao osobnih ovisi o mnogim čimbenicima, uglavnom o kontekstu obrade podataka. Postupanje s posebnim kategorijama podataka zahtijeva dodatnu pažnju.
-
09. ruj 20Neizravna identifikacija pojedinca korištenjem osobnih podataka.
GDPR samo spominje neizravnu identifikaciju kao način identifikacije osobe, ali ostavlja sve u mraku o ostatku. Nije samo stvar u tome želi li netko identificirati nekoga, već i o intrinzičnoj vrijednosti podataka i njegovoj inherentnoj sposobnosti olakšavanja procesa identifikacije nekoga, bez obzira na to želi li netko to učiniti ili ne.
-
02. ruj 20Izravna identifikacija pojedinca korištenjem osobnih podataka
Što je izravna potvrda identiteta? Kako se kretati kroz GDPR, budući da široko kaže: "identificirana fizička osoba je ona koja se može identificirati, izravno ili neizravno", a da ne spominje što je izravna identifikacija i što ona podrazumijeva. Pogledi autora mogli bi vam pomoći da to bolje razumijete.
-
30. kol 20Identifikacija pojedinca putem osobnih podataka
Kako potvrditi identitet osobe? Koja su načela potvrde identiteta i njihov odnos s autentifikacijom? Kako biti u skladu s GDPR-om, spriječiti krađu identiteta i povrede podataka osobnih informacija? Ovaj blog post sažima neke od tema vezanih uz GDPR koje smo obrađivali na visokoj razini. Ako tek započinjete s GDPR-om u zahtjevnom projektu, nadamo se da naši stavovi mogu učiniti vaše putovanje bržim i ekonomičnijim.
-
14. kol 20Kako znati je li podatak osobni podatak: izbjegnite početničke greške u vezi s GDPR-om
Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da bi se podaci trebali tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto se ne raspravlja više o kontekstu obrade podataka? Neki od naših stavova u ovom blogu mogli bi vas natjerati na razmišljanje.
-
06. kol 20Cookie pristanak i GDPR - izbjegavajte uobičajene pogreške
Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da se podaci zapravo trebaju tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto ljudi manje raspravljaju o kontekstu obrade podataka? Neke od naših gledišta u ovom blogu mogu vas natjerati na razmišljanje.
-
04. kol 20ISO/IEC 27001 - razumijte naš način razmišljanja
Kada je u pitanju sigurnost informacija, naš je cilj da razumijete naš način razmišljanja. Vjerujemo da ako razumijete kako mi razmišljamo, bolje ćete shvatiti stvarnu važnost pridržavanja standarda ISO 27001 i sve prednosti koje donosi vašem poslovanju.