Pregled tjedna: 2.-8. rujna 2019.

10. rujna 2019.
Haag: Opet procurili osobni podaci iz bolnice. Facebook: Stručni članak o prenosivosti podataka. Jesu li podaci o potrošnji električne energije osobni podaci? AEPD: Popis obrada za koje ne treba DPIA.

Ponovno curenje osobnih podataka iz haške bolnice

Niti dva mjeseca nakon što je postala prvom nizozemskom institucijom koja je „zaradila“ kaznu zbog kršenja GDPR-a, haška bolnica bori se s novom povredom osobnih podataka. U trgovačkom centru u Rijswijku pronađen je popis s imenima devetnaestero pacijenata i njihovim zdravstvenim podacima (liječnik, razlog zaprimanja i plan liječenja), a na poleđini – shopping lista!

U priopćenju za javnost iz bolnice su istaknuli da se podaci o pacijentima pohranjuju u digitalnom obliku, a u fizičkom obliku se koriste samo za vrijeme tretiranja pacijenata. U bolnici je propisana procedura prema kojoj se takvi popisi sigurno pohranjuju u trajno zatvorene vrećice ili se uništavaju u uništavaču papira – korak koji ovaj put nije ispunjen te je nepridržavanje procedure dovelo do nove povrede osobnih podataka.

Podsjetimo, nizozemsko nadzorno tijelo je u srpnju istoj ovoj bolnici već izreklo kaznu od 460 tisuća eura zbog neovlaštenog otkrivanja zdravstvenih podataka pacijenta među zaposlenicima i nepoduzimanja odgovarajućih mjera zaštite osobnih podataka, uz rok za uspostavu tih mjera do 2. listopada ove godine.

Prenosivost podataka – razmatranja i izazovi

Iako GDPR i kalifornijski CCPA uređuju pravo na prenosivost osobnih podataka u Facebooku smatraju da je ovo pravo potrebno podrobnije odrediti, zbog čega su na tu temu objavili i stručni članak s naslovom „Charting a Way Forward – Data Portability and Privacy”.

Dokument obrađuje pet pitanja koja Facebookov voditelj službe privatnosti Erin Egan smatra ključnima: Što je prenosivost podataka? Koji podaci trebaju biti prenosivi? Čiji podaci trebaju biti prenosivi? Kako istovremeno omogućiti prenosivost i štititi privatnost? Tko je odgovaran za eventualnu nezakonitu obradu podataka nakon njihovog prijenosa?

Za usporedbu, Radna skupina iz članka 29 (WP29, današnji EDPB) je krajem 2016. godine objavila Smjernice o pravu na prenosivost podataka, WP 242 rev.01 u skladu s GDPR u kojima, među ostalim, donose zaključke o tome u kojim je slučajevima potrebno ispitanicima osigurati pravo na prenosivost podataka.

Podaci o potrošnji struje su osobni podaci?

„U praksi, vrlo je jednostavno za pružatelja usluge opskrbe električnom energijom, kada ima podatke o mjestu (lokaciji) potrošnje saznati tko je obveznik plaćanja, odnosno vlasnik brojila. Iz tog razloga moramo zaključiti da podaci o potrošnji električne energije predstavljaju osobne podatke, jer se osoba može identificirati bez dodatnog (neproporcionalnog) napora.“

Ovo je zaključak Vrhovnog suda Španjolske u presudi povodom žalbe elektroprivrednog poduzeća Iberdrola protiv Državnog tajnika za energiju. Zanimljivo je da Sud kao primjer navodi slučaj Breyer C- 582/14, u kojem je Sud Europske unije odlučio da se IP adresa smatra osobnim podatkom ako se po njoj, uz dodatne informacije, osoba može identificirati.

AEPD objavio popis obrada za koje ne treba DPIA

Španjolsko nadzorno tijelo (AEPD) objavilo je popis obrada osobnih podataka za koje nije potrebno provoditi procjenu učinka na zaštitu podataka (DPIA). S ciljem da pomognu voditeljima obrade u određivanju potrebe provođenja DPIA, a prema članku 35. GDPR-a, nadzorna tijela mogu uspostaviti i javno objaviti ovakve popise te o tome obavijestiti Europski odbor za zaštitu podataka.

Predmetni popis temelji se na Smjernicama o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” u smislu Uredbe 2016/679, WP 248 rev.01, a odnosi se na:

  • Obrade koje se provode prema smjernicama koje je nadzorno tijelo usvojilo ili odobrilo
  • Obrade koje se provode prema smjernicama odobrenog kodeksa ponašanja
  • Obrade koje su nužne da bi se izvršila zakonska obveza, službena ovlast ili zadaća od javnog interesa
  • Obrade koje provode (samozaposlene) osobe koje obavljaju registriranu djelatnost (liječnici, odvjetnici i sl.) u okviru svojih redovnih poslovnih procesa
  • Obrade koje se odnose na interne administrativne poslove u srednjim i malim poduzećima (računovodstvo i obračun dohotka, upravljanje ljudskim resursima i sl.)
  • Obrade koje provode suvlasnici u stambenim zgradama
  • Obrade koje provode stručna udruženja i neprofitne udruge u vezi s podacima o članovima i suradnicima, pod uvjetom da se obrada ne odnosi na posebne kategorije osobnih podataka.