SVE VIŠE PRITUŽBI Agencija za zaštitu osobnih podataka kaznila OB Zadar, evo zašto

Agencija za zaštitu osobnih podataka (AZOP) izrekla je novčanu kaznu Općoj bolnici Zadar u iznosu od četiri tisuće eura nakon provedenog nadzornog postupanja, kojim je utvrđeno višestruko kršenje Opće uredbe o zaštiti podataka (GDPR). Osim zadarske bolnice, AZOP je kaznio i trgovačko društvo koje je nepropisno koristilo osobne podatke građana za potrebe naplate parkiranja pred trgovačkim lancima i Općom bolnicom Zadar, i to upravnom novčanom kaznom u iznosu od 80 tisuća eura.

Zloupotreba ovlaštenja

– Sukladno preporukama Agencije za zaštitu osobnih podataka vrši se revizija ugovora što uključuje i sklapanje dodatka ugovoru sukladno članku 28. Opće uredbe o zaštiti podataka, te se poduzimaju i ostale mjere obavještavanja korisnika o obradi njihovih osobnih podataka, poručio je kratko Željko Čulina, ravnatelj Opće bolnice Zadar, objasnivši da je Opća bolnica Zadar kao voditelj obrade podataka s trgovačkim subjektom u svojstvu izvršitelja obrade podataka sklopila ugovor za korištenje aplikacije u svrhu naplate korištenja parkinga.

Naime, spomenuto trgovačko društvo imalo je ovlaštenje od MUP-a za pristup podacima iz Evidencije registriranih vozila, koju sukladno Zakonu o sigurnosti prometa na cestama vodi Ministarstvo unutarnjih poslova. Međutim, ovlaštenje su imali samo za nadzor parkiranja u jednoj jedinici lokalne samouprave u kojoj su imali koncesiju za to. To je ovlaštenje, međutim, trgovačko društvo zlouporabilo, pa su koristili pristup osobnim podacima i u druge svrhe te izvan područja koncesije – konkretno, za potrebe organizacije i naplate parkiranja trgovačkih lanaca i Opće bolnice Zadar.

Na taj način prekršeno je više odredbi iz Opće uredbe o zaštiti podataka – osim što su osobne podatke koristili za neovlaštene svrhe, nisu imali ni ugovor s OB Zadar koji bi jasno regulirao njihov odnos kao izvršitelja obrade u svrhu naplate i organizacije parkinga OBZ, a uz to kod obrade osobnih podataka ispitanika nisu poduzeli odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka.

U nastavku nadzornog postupanja, Agencija za zaštitu osobnih podataka dodatno je utvrdila da je Opća bolnica Zadar koristila aplikacijsko rješenje navedenog trgovačkog društva, koje je putem web servisa Ministarstva unutarnjih poslova automatski dohvaćalo podatke o vlasnicima vozila – i to bez odgovarajuće pravne osnove. Takav oblik obrade osobnih podataka provodio se suprotno odredbama Opće uredbe o zaštiti podataka, jer OB Zadar nije osigurala zakonitost, niti transparentnost obrade.

Rekordan broj kazni

Korisnici parkirališta, naime, nisu bili transparentno i na propisan način informirani o obradi njihovih osobnih podataka u kontekstu naplate parkinga, a osim toga, Opća bolnica nije poduzela odgovarajuće organizacijske mjere zaštite osobnih podataka korisnika parkirališta prilikom prikupljanja osobnih podataka vlasnika vozila vezano uz naplatu parkinga u aplikaciji niti je sklopila ugovor o obradi osobnih podataka korisnika parkirališta s trgovačkim društvom. Za navedene povrede OB Zadar izrečena je kazna u iznosu od 4.000 eura.

Posebno zabrinjava i činjenica da između OB Zadar i trgovačkog društva koje je izvršitelj obrade osobnih podataka nije postojao formalni ugovor o obradi osobnih podataka korisnika parkirališta. Zbog ovih višestrukih propusta, AZOP je Općoj bolnici Zadar izrekao upravnu novčanu kaznu u iznosu od četiri tisuće eura.

Prošlo je već osam godina otkako je započela puna primjena Opće uredbe o zaštiti podataka, poznatija kao GDPR, kojoj je cilj zaštita osobnih podatka građana. Agencija je tada dobila ovlast izricanja visokih upravnih novčanih kazni. Prije tri godine Agencija je zbog kršenja GDPR-a izrekla 14 upravnih novčanih kazni u ukupnom iznosu od 528.370 eura, uključujući i 285.000 eura kazne telekomunikacijskoj kompaniji A1, kod kojega su zbog neovlaštenog pristupa kompromitirani podaci 100.000 korisnika.

Agencija je 2023. godine izrekla 28 upravnih novčanih kazni u ukupnom iznosu od 8.266.350,00 eura, uključujući i dvije najviše kazne agencijama za naplatu potraživanja u iznosu od 5,47 i 2,26 milijuna eura, a 2024. godina obilježena je rekordnim brojem pojedinačnih kazni – njih ukupno 38 u ukupnom iznosu od 536.200,00 eura, uz 168 korektivnih mjera izrečenih voditeljima/izvršiteljima obrade koje za cilj imaju ispravljanje utvrđenih nepravilnosti u postupku. Također, zabilježen je značajan porast zahtjeva za zaštitu prava ispitanika i broj nadzornih postupanja.

Iscurili podaci

– Građani sve više postaju svjesni da su osobnih podaci njihova vrijedna imovina i sve češće traže informacije o tome tko i u koju svrhu obrađuje njihove osobne podatke. Dok je 2023. godine zaprimljeno 321 pritužba/zahtjev za utvrđivanje povrede prava, 2024. godine njihov broj skočio je na 1.257, što je među ostalim i rezultat kibernetičkih napada koji su zahvatili brojne poslovne subjekte diljem Hrvatske, a u vezi kojih je Agencija provela i promptna nadzorna postupanja po službenoj dužnosti. Također, porastu je doprinio i veliki broj zaprimljenih pritužbi/zahtjeva za utvrđivanje povrede prava vezanih uz područje videonadzora, njih 378. Suprotno predviđanjima nekih da će Opća uredba o zaštiti podataka s vremenom izgubiti na važnosti, stupanjem na snagu Uredbe o umjetnoj inteligenciji ona postaje snažnija nego ikad, stoji u Godišnjem izvješću AZOP-a za 2024. godinu.

Valja podsjetiti i na to da su lani iscurili osobni podaci vlasnika svih registriranih vozila u Hrvatskoj – bilo je riječi o 2.444.587 zapisa o vozilima 1.195.052 fizičkih osoba, a podaci sadrže njihova imena, adrese, OIB-e, JMBG-e, datume rođenja, registracije i ostale podatke o vozilima i njihovim policama osiguranja. Do danas nadležne institucije nisu otkrile tko je krivac.

OSOBNI PODACI NA PARKINGU

Korisnici parkirališta, naime, nisu bili transparentno i na propisan način informirani o obradi njihovih osobnih podataka u kontekstu naplate parkinga, a osim toga, Opća bolnica nije poduzela odgovarajuće organizacijske mjere zaštite osobnih podataka korisnika parkirališta

Povjerljive informacije o zdravlju pacijenata

Uz Opću bolnicu Zadar, Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu i Općoj županijskoj bolnici Vinkovci, u iznosu od tri tisuće eura, zbog višestrukih povreda odredbi Opće uredbe o zaštiti podataka (GDPR). Premda bolnica svakodnevno obrađuje izuzetno osjetljive zdravstvene podatke kao dio svoje osnovne djelatnosti, utvrđeno je da OŽB Vinkovci nije na odgovarajući način provodila i testirala organizacijske mjere zaštite koje imaju za cilj osiguranje sigurnosti obrade zdravstvenih podataka – to je, valja istaknuti, od iznimne važnosti kod zaštite visoko rizičnih i povjerljivih informacija o zdravlju pacijenata.

Osim toga, OBŽ Vinkovci nije izvijestila Agenciju o povredi osobnih podataka u roku od 72 sata od saznanja te nije izvijestila ispitanika čiji su podaci bili predmet povrede osobnih podataka. Naime, tijekom provedenog nadzornog postupanja utvrđeno je kako je povreda osobnih podataka nastala kao posljedica kršenja sigurnosti koje je dovelo do neovlaštenog otkrivanja medicinske dokumentacije javnosti, pohranjene u bolničkom informacijskom sustavu predmetnog voditelja obrade.

– Zaštita osobnih podataka pacijenta i čuvanje povjerljivosti informacija o zdravlju važno je ne samo radi poštovanja privatnosti pacijenta, već i radi povjerenja u medicinsku struku i zdravstvene usluge koje pružaju liječnici i drugo medicinsko osoblje, istakli su u AZOP-u, koji su kaznu izrekli i KBC-u Zagreb. Njih su zbog nepoduzimanja tehničkih mjera zaštite osobnih podataka kaznili s 20 tisuća eura.