BI CONSULT d.o.o. Varaždin

Najljepša hvala 🍀 Najljepša hvala Agenciji za zaštitu osobnih podataka na pozivu da autor i urednik GDPR Croatia, Igor Barlek CIPP/E održi 26. listopada 2023. radionicu za svu zainteresiranu javnost naziva „Sigurnosti - ključ GDPR usklađenosti“, u okviru međunarodnog EU ARC II projekta i povodom mjeseca kibernetičke sigurnosti. Najljepša hvala i brojnoj publici koja je uložila 3 sata pune pažnje, kao i na brojnim dodatnim pitanjima koja ste nam uputili. Nadamo se da je predavač opravdao vaše povjerenje i da je uspio pojasniti zašto bez osiguranja sigurnosnih mjera i povjerljivosti nema GDPR usklađenosti te zašto su nam „badava svi GDPR papiri ovog svijeta“ ako prethodno navedeno ne ispunimo. Do slijedeće prilike nastavljamo i dalje u dinamičnom ritmu na GDPR Croatia 😉 #gdprcroatia

Objava fotografija i snimki pacijenata na društvenim mrežama Složit ćemo se, liječnici ne smiju fotografirati ili snimati pacijenta bez njegova pristanka, osim u slučajevima kada su takve fotografije ili snimke dokazano nužne za postavljanje dijagnoze, za liječenje i praćenje pojedinih faza liječenja i njihove učinkovitosti i rezultata. No, ako se liječnik ili ordinacija ili klinika odluče pohvaliti na svojim web stranicama i na društvenim mrežama o uspješnom zahvatu, medicinskom tretmanu ili konačnom rezultatu liječenja, pacijent mora biti zamoljen da sam odluči želi li dati svoju IZRIČITU privolu za takvu javnu objavu, uz jasno mu dane informacije gdje će se njegove fotografije, snimke pa i izjave i imena objavljivati i kako takvu privolu može u svakom trenutku povući. Moramo znati da fotografija ili snimka pacijenta može predstavljati posebnu kategoriju osobnih podataka, odnosno, podatke koji se odnose na zdravlje, a tada stupa na snagu članak 9. GDPR-a. Kad se liječnik ili ordinacija ili klinika želi javno pohvaliti svojim uspješnim tretmanom ili ga prikazati na nekoj medicinskoj konferenciji, pacijent mora na to izričito pristati. Ali i ne mora pristati. Čini nam se da dobar broj ordinacija i klinika danas, u želji za promocijom vlastite kvalitete zdravstvenih usluga, zaboravlja na GDPR. Tako je isto zaboravio liječnik u Rumunjskoj pa dobio kaznu od 2.000 EUR objavivši snimku pacijenta na svojoj Facebook stranici. Iako je snimku izbrisao dan poslije objave, šteta je učinjena. Objavom snimke otkriveno je i zdravstveno stanje pacijenta, kao i njegova slika, glas i ime. Objavu je vidjelo prilično ljudi i podijeljena je na raznim stranicama i u medijima. Više o slučaju iz Rumunjske: https://lnkd.in/d4sJePQz Image by Freepik #gdprcroatia

Privatna ili kućna iznimka od primjene GDPR-a Ovo je možda jedna od ključnih iznimki od obveza GDPR-a koji u svom članku 2. utvrđuje da se ova stroga EU regulativa ne primjenjuje za obrade osobnih podataka koje provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti koje stoga nisu povezane s profesionalnom ili komercijalnom djelatnošću. Ključno je prepoznati da, ako želimo izbjeći primjenu obveza iz GDPR-a, moramo osigurati da naše postupanje s tuđim osobnim podacima radimo isključivo u privatne ili pak u kućne svrhe unutar jasno ograničenog broja drugih povezanih ljudi. Zovemo je i takozvanom "kućnom iznimkom" od primjene GDPR-a. U takvu kategoriju kućnih aktivnosti ulaze i korespondencija i posjedovanje adresa ili društveno umrežavanje te internetske aktivnosti poduzete u tom kontekstu. Smisao ove odredbe je izbjegavanje nepotrebnih ograničenja na nas pojedince, kao fizičke osobe. Primijetili ste riječ "isključivo" koju smo spomenuli do sada više puta i tu je tzv. "linija razgraničenja" koja znači da postupanje s osobnim podacima u privatne i profesionalne svrhe spada u režim GDPR-a. Prilikom privatne ili kućne svrhe važno je da je komunikacija ograničena na vrlo ograničen i poznat broj ljudi koji razmjenjuju osobne podatke unutar zatvorene grupe bez ikakve profesionalne ili komercijalne svrhe. Pri tom javna objava tuđih osobnih podataka na društvenim mrežama, uključujući fotografije i snimke, i davanje pristupa neograničenom broju ljudi nikako ne može spadati u takvu privatnu ili kućnu iznimku. Sukus je to presude visokog upravnog suda u Poljskoj, u slučaju gdje je fizička osoba javno objavila određenu presudu suda na Facebooku i ostavila je tamo vidljivu 11 dana. Član njegove obitelji je prijavio ovaj slučaj nadzornom tijelu za zaštitu osobnih podataka, koje je smatralo da se radi i privatnoj ili kućnoj iznimci od primjene GDPR-a, ali je visoki upravni sud doveo stvari na svoje mjesto jasno ukazavši na uvodnu izjavu (18) GDPR-a, na presudu Europskog suda u slučaju C-212/13 i stajalište radne skupine WP29 broj 5/2009. Više o slučaju na: https://lnkd.in/dzd6VzVW Image from FreePik #gdprcroatia

https://lnkd.in/dKhk95xR Objavljen popis nadležnih tijela sukladno Uredbi o umjetnoj inteligenciji Člankom 77. stavkom 2. Uredbe o umjetnoj inteligenciji propisano je da države članice do 2. studenoga 2024. moraju odrediti i objaviti popis tijela javne vlasti ili javnih tijela nadležnih za nadzor i provedbu obveza vezanih uz zaštitu temeljnih prava pri korištenju visokorizičnih sustava umjetne inteligencije. Sukladno ovoj obvezi, Republika Hrvatska odredila je kao nadležna tijela: Agenciju za zaštitu osobnih podataka, Pučku pravobraniteljicu, Pravobraniteljicu za djecu, Pravobraniteljicu za ravnopravnost spolova, Pravobraniteljicu za osobe s invaliditetom, Državno izborno povjerenstvo i Agenciju za elektroničke medije.

Ima li AI ikakve veze s GDPR-om? Svakodnevno prateći razne objave u medijima i na društvenim mrežama na temu primjene AI ne možemo se oteti dojmu da zaštita osobnih podataka obrađivanih putem AI sustava nije prepoznata kao jednim od temeljnih i nezaobilaznih elemenata usklađenosti AI sustava. ֍ Jel možda razlog ili uzrok tome leži u činjenici da ni GDPR nismo usvojili onako kako smo ga trebali još prije puno godina? ֍ Ili nam je GDPR previše kompleksan i nitko nam ga ne zna kvalitetno približiti? ֍ Ili je razlog tome što nismo imali vremena pročitati EU AI Act ili nam je i taj propis previše kompleksan? Molim? Što je AI Act ili Artificial Intelligence Act? Sažeto rečeno, AI Act ili Akt o umjetnoj inteligenciji ili Uredba (EU) 2024/1689 je Uredba EU, baš kao i GDPR, koja donosi skup strogih zakonskih obveza za sve sudionike u AI okruženju, koja pruža svim sudionicima implementacije AI sustava jasne zahtjeve i obveze u pogledu određenih primjena AI. Ne smijemo zatvarati oči na činjenicu da danas već naveliko prisutni određeni AI sustavi stvaraju rizike koji itekako mogu donijeti neželjene ishode, prvenstveno na nas obične male ljude i na naša temeljna prava. Na primjer, često nije moguće saznati zašto je AI donio odluku ili predviđanje i zašto je poduzeo određenu mjeru. Stoga može biti teško procijeniti je li netko bio u nepravednom nepovoljnom položaju, primjerice u odluci o zapošljavanju ili o iznosu police osiguranja ili pak u zahtjevu za dobivanje kredita. AI aktom se utvrđuje pravni okvir za: ֍ rješavanje rizika posebno uzrokovanih primjenama AI; ֍ zabranu AI praksi koje predstavljaju neprihvatljive rizike za temeljna ljudska prava; ֍ utvrđivanje popisa visokorizičnih aplikacija; ֍ utvrđivanje jasnih zahtjeva za AI sustave za visokorizične primjene; ֍ definiranje posebnih obveza subjekata za uvođenje i dobavljača visokorizičnih AI aplikacija; ֍ ocjenjivanje sukladnosti prije stavljanja određenog AI sustava u uporabu ili stavljanja na tržište; ֍ implementaciju i provedbu AI akta nakon stavljanja određenog AI sustava na tržište; ֍ uspostavu nadzornu strukturu na europskoj i nacionalnoj razini. Da, istina je, svakim danom vidimo sve više tvrtki u RH koje se nastoje pohvaliti kako su u svoje poslovne procese ili u svoja softverska rješenja uveli AI sustave. Sve češće dobivamo ponude za edukacije na temu primjene AI. I, vjerujte nam, nikad nismo vidjeli da pri tom itko spominje zaštitu osobnih podataka niti GDPR. Ok, vjerojatno vidimo samo loše objave i dobivamo nepotpune ponude. Važno je što prije prepoznati da je GDPR zapravo sastavni i nezaobilazni dio AI akta. Ako putem AI sustava, vlastitih ili kupljenih, obrađujemo osobne podatke, GDPR se u cijelosti primjenjuje. Drugim riječima, bez poštivanja GDPR-a ne može se ni AI akt ispoštovati. Vjerovali ili ne, GDPR ili Uredba (EU) 2016/679 se u tekstu AI akta izrijekom spominje čak 30 puta. Trideset. Tri-Nula. Image from FreePik #gdprcroatia

Smije li poslodavac koristiti privatnu email adresu ili telefonski broj zaposlenika? Kad poslodavac želi koristiti privatne email adrese ili telefonske brojeve u poslovne svrhe, mora postojati zakoniti temelj koji treba pronaći u članku 6. GDPR-a. Dvije su opcije poslodavcu: Kad je isto NUŽNO radi legitimnog interesa poslodavca a istovremeno je u interesu zaposleniku i zaposlenik razumno to očekuje – npr: poslodavac nije u mogućnosti dati zaposleniku službeni mobitel i novi mobilni broj, ali želi ga kontaktirati radi izravnog i brzog informiranja o važnim informacijama, npr. o promjeni radnog rasporeda ili o razmjeni relevantnih informacija. Privola kad NIJE NUŽNO koristiti privatne email adrese ili privatne mobilne brojeve a službene poslodavac nije omogućio – npr: poslodavac želi dostavljati isplatne liste zaposlenicima na privatne email adrese, iako zaposlenici rade u uredu na adresi poslodavca na kojoj poslodavac jednostavno može isprintati isplatne liste i podijeliti ih zaposlenicima izravno bez dodatnog korištenja privatnih email adresa. Prepoznajemo razliku između NUŽNO i NIJE NUŽNO, jel? Radi boljeg razumijevanja donosimo jedan primjenjiv slučaj iz Finske. Tvrtka, autobusni prijevoznik, objavila je privatne mobilne brojeve svojih vozača na vlastitom intranetu, iako su svim vozačima dodijeljeni službeni mobilni brojevi. Na zahtjev nadzornog tijela je tvrtka pokušala pojasniti da im je takva objava bila nužna za komunikaciju s njima i da takvu obradu osobnih podataka radi temeljem ugovorne obveze proistekle iz ugovora o radu. Zaboravili su na temeljno načelo ograničenja osobnih podataka iz članka 5. GDPR-a kada prikupljeni osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. Korištenje privatnih mobilnih brojeva definitivno nije spadalo pod ugovornu obvezu iz ugovora o radu, s obzirom da se ugovorna obveza treba odnositi samo na obrade osobnih podataka nužnih za ostvarivanje prava i obveza iz ugovora o radu i propisa iz radnog prava. Nadzorno tijelo je naglasilo da nije bilo potrebe niti nužnosti otkrivati privatne mobilne brojeve vozača svim ostalim vozačima, već je poslodavac itekako mogao pronaći pametniji način za organizaciju komunikacije među njima bez uporabe njihovih privatnih osobnih podataka, konkretno korištenjem službenih mobitela. Da bude stvar gora, određen broj vozača je svoje privatne mobilne brojeve učinio tajnima i neobjavljenima u javnim telefonskim imenicima telekom operatora, što nas dovodi do lakog zaključka da je poslodavac previše ušao u privatni život zaposlenika. Primjer iz Finske: https://lnkd.in/d-3YBpPn Image from FreePik #gdprcroatia

‘Have I Been Pwned’ stranicu svi znamo, jel? Na jednostavan rečeno, globalno prepoznata stranica https://lnkd.in/e-Qp3_C javno je dostupna svakom od nas da samo upisom svoje email adrese provjerimo jel ista završila na Dark webu nekim cyber napadom i jel tamo dostupna cyberkriminalcima da je u budućnosti, možda već i danas, iskoriste za cyber napad na nas, našu tvrtku ili ustanovu. Važno je uočiti realnu opasnost da je s našom email adresom, najčešće kao korisničkim imenom, ukradena i lozinka, kakvu značajan broj ljudi koristi zasigurno i za ulaz u druge aplikacije, društvene mreže, poslovne sustave ili pak u vlastita računala. Njezin pokretač Troy Hunt objavio je knjigu ‘Pwned’ i besplatno je dostupna svakome na stranici: https://lnkd.in/dzbCicrD Iskoristimo priliku za skinuti nezaobilazno štivo na temu pošasti 21. stoljeća 🍀 #gdprcroatia

Kako GDPR gleda na odnos klijenta i odvjetnika Najsažetije što možemo napisati jest da su odvjetnički uredi gotovo uvijek u ulozi voditelja obrade, bez obzira u kojem mi bili odnosu s njima. Pri tom slijedimo i Smjernice EDPB-a u području određivanja uloge voditelja i izvršitelja obrade: https://lnkd.in/eSd-8qA7 Primjer je na 12. stranici Smjernica: Tvrtka angažira odvjetničko društvo da je zastupa u sporu. Da bi izvršilo ovaj zadatak, odvjetničko društvo treba obrađivati osobne podatke povezane sa slučajem. Razlozi obrade osobnih podataka mandat su odvjetničkog društva da zastupa klijenta na sudu. Međutim, takav mandat nije posebno usmjeren na obradu osobnih podataka. Odvjetničko društvo djeluje kroz značajan stupanj neovisnosti, na primjer prilikom odlučivanja koje podatke koristiti i kako, a pri tom od klijenta ne prima upute u vezi s načinom obrade osobnih podataka. Obrada koju odvjetničko društvo provodi kako bi ispunilo zadaću zakonskog predstavnika povezana je s funkcionalnom ulogom odvjetničkog društva te je odvjetničko društvo voditelj obrade. Zašto pišemo ovaj članak? Naišli smo na slučajeve kada organizacija angažira vanjsko odvjetničko društvo i traži sklapanje ugovora o zaštiti podataka iz članka 28. GDPR-a s odvjetničkim društvom kao izvršiteljem obrade. To je pogrešno. S odvjetničkim društvima za uobičajene odvjetničke poslove ne sklapamo ugovor o zaštiti podataka jer se ne radi o odnosu voditelja obrade prema izvršitelju obrade. Iako su odvjetnici pružatelji usluga u poslovnom smislu, mi ih ne angažiramo da u naše ime i za naš račun obrađuju osobne podatke. Štoviše, profesionalna stručnost koja karakterizira odvjetnike definira njihovo djelovanje na način da oni sami određuju koje osobne podatke klijenta, tuženika, tužitelja, svjedoka ili drugih osoba trebaju i u kom opsegu te hoće li ih ili moraju otkriti trećim stranama. Mi kao klijenti nemamo baš nikakav utjecaj na to, odnosno, ne utvrđujemo svrhu niti esencijalne elemente načina obrade osobnih podataka. Odvjetnici ne trebaju upute klijenta kako će koristiti osobne podatke, već ih obrađuju na način kakav je primjeren za obranu interesa klijenta. No, da ne bi bio sve tako jednostavno, pokazat ćemo i slučaj kada odvjetnik preuzima ulogu izvršitelja obrade, sukladno Smjernicama WP29, stajalištima UK nadzornog tijela ICO i njemačkog nadzornog tijela. Npr. ako klijent angažira odvjetnički ured za pregled određenog dokumenta koji sadrži osobne podatke ili za usluge pohrane dokumentacije tvrtke. U takvim slučajevima svrhu postupanja s osobnim podacima i načine kako postupati s njima zajedno s rokovima obrade određuje klijent kroz vlastite upute, a odvjetnički ured preuzima ulogu izvršitelja obrade. #gdprcroatia

Rješenje AZOP-a zbog nezakonitog slanja obavijesti kandidatima za radno mjesto u CC polju Agencija za zaštitu osobnih podataka zaprimila je zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka, u kojemu podnositelj zahtjeva navodi kako je društvo objavilo natječaj za posao na koji se javio podnositelj zahtjeva. Predmetno društvo dostavilo mu je e-poruku u kojoj mu se zahvaljuje na prijavi te ga obavještava da je na navedeno radno mjesto prijavljen drugi kandidat. Korištenjem CC (carbon copy) i potpunim zanemarivanjem BCC (blind carbon copy) njegova adresa elektroničke pošte, koja sadrži njegovo ime i prezime, dostavljena ostalih 99 primatelja elektroničke pošte (neizabrani kandidati) bez valjane pravne osnove te kako je time došlo do povrede njegovih osobnih podataka zbog neovlaštenog otkrivanja sadržaja trećim osobama. Također, ističe kako je tada bio zaposlen i u traženju posla u konkurentskoj djelatnosti te kako svako otkrivanje činjenice traženja novog zaposlenja trećim osobama predstavlja protupravno i štetno postupanje kao i kršenje njegovog prava na privatnost. Iz zaprimljenog očitovanja društva utvrđeno je kako je do omogućavanja neovlaštenog uvida u osobne podatke podnositelja zahtjeva došlo uslijed nenamjerne nepažnje zaposlenice, s čijeg maila je poslana navedena obavijest. Nepoduzimanjem odgovarajućih tehničkih mjera zaštite od strane društva prilikom slanja obavijesti o ishodu natječajnog postupka na adrese elektroničke pošte dana došlo je do neovlaštene obrade osobnih podataka, na način da je obavijest o ishodu natječajnog postupka poslana na ukupno 100 adresa elektroničke pošte bez postojanja pravne osnove iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, a sve protivno članku 25. stavku 2. i članku 32. stavku 2. Opće uredbe o zaštiti podataka. Korištenjem opcije „kopija“ došlo je do neovlaštenog uvida u osobne podatke podnositelja zahtjeva (adresu elektroničke pošte te činjenicu da je isti bio neizabrani kandidat u natječajnom postupku) od strane ostalih 99 sudionika predmetnog natječaja slanjem obavijesti o izboru na mail adrese svih sudionika natječajnog postupka, te da je zbog učinjenog propusta voditelja obrade osobnih podataka veliki broj osoba neovlašteno došao u posjed osobnih podataka podnositelja zahtjeva, voditelju obrade izrečena je službena opomena. Navedenim načinom komuniciranja je osim navedenog, omogućena zlouporaba osobnih podataka podnositelja zahtjeva, budući da je isti u kritičnom trenutku bio zaposlen u konkurentskoj firmi te je zbog sudjelovanja u natječaju mogao imati posljedica u profesionalnom životu ukoliko sporna elektronička pošta dospije u ruke njegovog tadašnjeg poslodavca. Rješenje AZOP-a protiv poslodavca zbog nepoduzimanja odgovarajućih mjera je ovdje: https://lnkd.in/eBZksmq9 #gdprcroatia

Objava tuđe fotografije na društvenim mrežama Zamislimo slučaj da u jeku priprema za naše vjenčanje dođemo u trgovinu vjenčanicama i trgovina objavi našu fotografiju na Instagramu bez našeg pristanka. Iznenađenje. Nije nužno da bismo se oduševili takvim potezom trgovine, možda nismo ispali onako kako bismo htjeli ili ne želimo biti iskorišteni za jeftine marketinške svrhe trgovine ili pak jednostavno ne želimo biti objavljeni na društvenim mrežama bez da nas se pita za dozvolu. Upravo takav slučaj dogodio se u Španjolskoj. Naravno, prijava je podnesena nadzornom tijelu za zaštitu osobnih podataka, iako je fotografija u međuvremenu uklonjena s Instagrama. Trgovina se pred nadzornim tijelom pokušavala pravdati da su naknadno objavili fotografiju sa zamućenim licima i da su osobe s fotografije sami mogli tražiti uklanjanje fotografije preko Instagrama. Nadzorno tijelo uopće nije razmatralo opciju da bi trgovina mogla imati legitimni interes (bez pristanka fotografiranih osoba) za objavu na Instagramu, jer ga zaista nije ni imala. Jedan od temelja legitimnog interesa je taj da pojedinci moraju razumno očekivati takvo postupanje s njihovim osobnim podacima. Nadzorno tijelo je također analiziralo jel postojala valjana privola osobe s fotografije u vjenčanici. Tu je nadzorno tijelo zauzelo stav da privola mora biti informirana, posebna i izrazom potpuno slobodne volje osobe o čijim se osobnim podacima radi te da mora biti dana jasnom aktivnošću pristanka pojedinca. Čak i ako osoba s fotografije podijeli objavljenu fotografiju ne znači da je time dala i svoju GDPR privolu za objavu na društvenim mrežama. Više o slučaju: https://lnkd.in/emKrd5up Photo by Los Muertos Crew from Pexels #gdprcroatia