U Hrvatskoj iscurili podaci pacijenata, u EU nove kazne

12. studenoga 2019.

Nove smjernice EDPS-a

Europski nadzornik za zaštitu osobnih podataka (EDPS) objavio je smjernice Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 EDPS u kojima pojašnjava uloge i odgovornosti voditelja i izvršitelja te zajedničkih voditelja obrade osobnih podataka, temeljem Uredbe 2018/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka.

Iako ova Uredba regulira obradu osobnih podataka koje provode institucije Europske unije, ona počiva na istim načelima kao i GDPR, te su ove smjernice i primjeri u velikoj mjeri primjenjivi za sve voditelje i izvršitelje obrade. Posebno su korisni aneksi koji pomažu odrediti uloge u poslovnom odnosu te definiraju dužnosti i odgovornosti. Kako je i danas, godinu i pol dana od početka primjene GDPR-a, mnogima nejasan koncept izvršitelja, podsjećamo da je to u osnovi odnos u kojem voditelj obrade osigurava ispunjenje svih načela obrade osobnih podataka, a izvršitelj provodi obradu u ime voditelja temeljem dokumentiranih uputa.

Izrečene upravne novčane kazne

Španjolsko nadzorno tijelo (AEPD) izreklo je upravnu novčanu kaznu u iznosu od 12 tisuća eura voditelju obrade, naftnoj kompaniji Madrilena Red de Gas, jer nije poduzeo razumne mjere kako bi utvrdio identitet ispitanika koji je postavio zahtjev za pristup podacima. Ovakvo postupanje rezultiralo je otkrivanjem osobnih podataka neovlaštenim trećim stranama, te je suprotno obvezi voditelja obrade da sa sigurnošću utvrdi identitet ispitanika. Ukoliko to nije u mogućnosti, voditelj može odbiti zahtjev, a u tom slučaju teret dokaza leži na voditelju.

Tekst odluke dostupan je na španjolskom jeziku.

U Poljskoj je izrečena kazna voditelju obrade tvrtki ClickQuickNow zbog kršenja načela zakonitosti, poštenosti i transparentnosti obrade osobnih podataka. ClickQuickNow nije omogućio jednako jednostavno povlačenje privole kao i njezino davanje, te je dodatno namjerno zakomplicirao taj postupak. Osim upravne novčane kazne u iznosu oko 50 tisuća eura, voditelju obrade izrečene su i dodatne mjere – nalog da se u roku od 14 dana isprave nepravilnosti i korisnicima omogući jednostavno povlačenje privole i ostvarivanje prava u obradi osobnih podataka.

U Njemačkoj je Berlinsko nadzorno tijelo (Berliner Datenschutzbeauftragte) izreklo enormnu novčanu kaznu u iznosu od 14 i pol milijuna eura tvrtki Deutsche Wohnen SE. Predmetna tvrtka upravlja s otprilike 100 tisuća nekretnina za najam, a kažnjena je zbog propusta u uređivanju arhivskih datoteka i sustava za arhiviranje koji tehnički ne omogućava brisanje podataka za čiju daljnju obradu više ne postoji pravna osnova. Pri određivanju visine kazne nadzorno tijelo je primijenilo novi model izračunavanja kazni koji su usvojila njemačka nadzorna tijela, a ovo je do sada najveća izrečena kazna u Njemačkoj.

 

Procurili podaci iz hrvatskih bolnica

Navodno je više od 2 tisuće pacijenata koji u Republici Hrvatskoj čekaju operaciju ugradnje umjetnog koljena zaprimilo anonimni SMS kojim se upozoravaju da je takav medicinski zahvat, ukoliko ga se provodi u javnim bolnicama, opasan po zdravlje pacijenta. Slučajem se bavi i DORH te se provodi istraga na koji način su podaci o zdravstvenom stanju pacijenata i njihovi kontakti došli u ruke neovlaštenih trećih strana. Iako je u ovom slučaju došlo da povrede osobnih podataka manjeg broja osoba, s pravom trebamo biti zabrinuti za našu privatnost i zaštitu najosjetljivijih osobnih podataka u obradama koje provode zdravstvene institucije, od liječnika opće prakse do specijalističkih klinika.

Nove postavke privatnosti u Revolutu

Korisnici Revoluta nedavno su obavješteni o izmjenama u dokumentu Privacy Policy. Iako je pohvalno što je Revolut transparentno i na vrijeme jednostavno informirao sve korisnike o izmjenama i novostima, ove izmjene izazvale su buru negativnih komentara među stručnjacima za zaštitu osobnih podataka, ali i zabrinutost nadzornog tijela, irskog Data Protection Commission.

Ukratko, Revolut je definirao da za obradu podataka u svrhe marketinga i dijeljenja informacija s agencijama za procjenu kreditnog rejtinga nije potrebna izričita privola korisnika, već se te obrade podrazumijevaju, a korisnici imaju mogućnost da se u postavkama korisničkog računa usprotive takvim obradama. Suvišno je komentirati koliko je ova praksa u suprotnosti s načelom zakonitosti obrade osobnih podataka te štetna za ugled kompanije. Pitamo tko je službenik za zaštitu podataka u Revolutu i ima li ikakvog utjecaja na odluke menadžmenta?

Ukoliko ste korisnik savjetujemo da u postavkama računa provjerite odabrane opcije i prilagodite ih svojim željama, a možete se pridružiti i akciji kojom korisnici iskazuju nezadovoljstvo ovakvom odlukom te postaviti zahtjev za pristup svojim osobnim podacima na adresu: dpo@revolut.com

Termini edukacija

U najavi...

Edukacije u 2020.

U 2020. godini nastavljamo održavati tečajeve i radionice u javnim terminima.

Plan termina tečajeva ćemo uskoro objaviti, a do tada pratite naše ostale objave!

» Ponuda edukacija

Povezane vijesti

Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

Njemački 1&1 Telecom “zaradio” 9,55 milijuna eura kazne zbog neprimjerenih tehničkih mjera zaštite. Vlada UK definira nužne korake za izmjene i dopune nacionalnog zakonodavstva koje regulira zaštitu osobnih podataka. U SAD-u ukraden nezaštićeni uređaj s podacima o plaćama oko 29 tisuća Facebookovih zaposlenika. Sud EU presudio vezano za obradu osobnih podataka putem sustava video nadzora u stambenoj zgradi. EDPB potvrdio predložak ugovora između voditelja i izvršitelja obrade.

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Wojciech Wiewiórowski je novi Europski nadzornik za zaštitu podataka. Europski parlament pod istragom zbog nepravilnosti u obradi podataka. Njemačkoj bolnici 105 tisuća eura kazne. Mađari kaznili Facebook sa 3,6 milijuna eura zbog zavaravajuće poslovne prakse. IAPP objavio vodič o sličnostima i različitostima smjernica nacionalnih nadzornih tijela o upotrebi kolačića.

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Francuska tvrtka kažnjena zbog brojnih nepravilnosti u obradi osobnih podataka. Još nije usvojena ePrivacy uredba, ali je postignut dogovor o nacrtu druge, nove direktive – o mjerama zaštite kolektivnih interesa potrošača. EDPB je izdao smjernice za primjenu načela tehničke i integrirane zaštite podataka. U Srbiji privremeno obustavljen projekt sustavnog nadzora građana zbog nezadovoljavajuće procjene učinka na zaštitu podataka (DPIA). AZOP promijenio adresu sjedišta.