U četvrtak kasno navečer Index je objavio vijest da je Grad Zagreb objavio osobne podatke građana koji su prijavili štetu od nevremena putem njihovog web obrasca.
Kako su naveli, obrazac na koji su iz Grada pozivali građane kako bi putem njega prijavili štetu od razorne oluje imao je ozbiljan bug pa su tako od osobnih podataka procurila imena i prezimena, mailovi, OIB-i, brojevi telefona, adrese građana, kako i fotografije oštećene imovine koje su građani prilagali svojim prijavama.
Grad je potvrdio propust, kao i da su za njega saznali tek kada ih je Index o istom obavijestio.
Na upit Net.hr-a iz Agencije za zaštitu osobnih podataka (AZOP) potvrdili su da su odmah po saznanju iz medija započeli žurno postupanje nad Gradom Zagrebom te da će utvrditi sve relevantne okolnosti tijekom nadzornog postupanja i sukladno utvrđenom donijeti odgovarajući akt, o čemu više možete pročitati OVDJE.
Ozbiljan propust
"U ovom slučaju radi se o ozbiljnom propustu Grada Zagreba kao voditelja obrade koji je odgovoran za sigurnost i zaštitu podataka svojih ispitanika (građanki i građana RH koji su prijavljivali štetu putem određene forme odnosno na način kako je to odredio Grad Zagreb točnije odgovorne osobe Grada), sve sukladno Općoj uredbi o zaštiti podataka (GDPR)", kaže za Net.hr Ana Bačić, pravnica specijalizirana za područje AI, zaštite privatnosti i osobnih podataka iz društva Presido.
Bačić kaže kako se klikom na link za pristup obrascu za prijavu štete vidi da ispitanici uopće nisu bili obaviješteni o obradi podataka sukladno svim zahtjevima Opće uredbe o zaštiti podataka.
"Moram reći da je to i inače veliki problem - državna i javna tijela, institucije RH kojima bi građani najviše trebali vjerovati i koje bi trebale voditi primjerom u poštivanju propisa, iste očito ne poštuju. Za ovakve propuste tvrtke su dobivale i dobivaju velike novčane kazne. Politika ozbiljno treba razmotriti promjenu dosadašnjeg Zakona o provedbi Opće uredbe o zaštiti podataka, no ne kozmetičku promjenu već ozbiljnu izmjenu predmetnog zakona", upozorava Bačić.
Kaže da je, po informacijama dostupnim u medijima, u ovom slučaju vidljivo da je u pogledu GDPR-a riječ o incidentu za koji su odgovorne osobe Grada Zagreba.
Prijava AZOP-u nije jedina obaveza grada
"Osobito njihov DPO moraju prijaviti Agenciji za zaštitu osobnih podataka", kaže Bačić dodajući da prijava Agenciji za zaštitu osobnih podataka (AZOP) nije jedina obaveza grada.
"Oni moraju, između ostaloga, obavijestiti sve građanke i građane kao ispitanike o onome što se dogoodilo, moraju im dati detaljnu obavijest o incidentu (postoje zahtjevi kako ta obavijest mora izgledati tj. što mora sadržavati), što do sada nismo mogli vidjeti u javnom prostoru.
Moguće je da su pojedinačno obaviješteni ispitanici putem kontakt podataka koje je Grad imao o njima, no svakako s obzirom na incident i rizike kojima su izloženi ispitanici, javna objava Grada i obavijest ispitanicima morala je i mora biti drugačija. Ostaje vidjeti kako će odgovorne osobe dalje upravljati ovim incidentom i što će Agencija za zaštitu podataka reći po ovom pitanju", kaže Bačić.
"U sličnim situacijama koje smo mogli doživjeti u RH Agencija za zaštitu podataka uvijek je upućivala ispitanike (građane i građanke Grada Zagreba u ovom slučaju koji su prijavili štetu) da se obrate voditelju obrade koji im mora dati sve relevantne informacije", kaže pravnica Bačić.
Prikupiti sve informacije, a onda…
Svima koji ne znaju jesu li i njihovi podaci bili zahvaćeni incidentom savjetuje da se jave Gradu Zagrebu kao voditelju obrade i to na adresu službenika za zaštitu podataka. Napominje kako građani uvijek imaju pravo pitati što je s njihovim podacima, u koje svrhe se koriste, jesu li podijeljeni, tko im ima pristup…
"Građani uvijek mogu pitati i informirati se kod onih koji obrađuju njihove podatke što obrađuju, tražiti pristup, kopiju, prijenos, brisanje i sl.", kaže Bačić dodajući kako je, naravno, moguće obratiti se i odvjetnicima ukoliko netko smatra da bi ga odvjetnik mogao bolje zaštititi. Tek nakon što se prikupe sve potrebne informacije, moguće je razmišljati o tome što poduzeti dalje.