Slučaj platforme CijepiSe, koju je po narudžbi Ministarstva zdravstva izradila tvrtka Cuspis d.o.o., već danima puni medijske stupce. Naime, ova platforma koštala je 4,46 milijuna proračunskih kuna, a u početku je radila s greškama što je dovelo do toga da je 3.000 građana koji su se prvi prijavili - ispalo s liste.

Zbog ove afere, ministar Vili Beroš više puta je prozivan, a osim što je u medijima puno prisutnija činjenica da je ministar Beroš dodijelio izradu platforme CijepiSe svom poznaniku Vinku Kojundžiću i njegovoj tvrtci Cuspis d.o.o. - manje se govori da je upravo gubitkom podataka prema velikom broju ljudi počinjen prekršaj i to radi povrede osobnih podataka.

Ovaj slučaj je, nakon više upita građana preuzeo Hrvatski centar za zaštitu podataka Feralis, koji se obratio se Agenciji za zaštitu podataka (AZOP) sa zahtjevom za informacijama o postupanju u mogućem slučaju povrede osobnih podataka na platformi CijepiSe.

AZOP je pak na svojim stranicama obavijestio javnost da provodi nadzorne aktivnosti vezano za platformu CijepiSe i da će o svemu pravodobno informirati građane.

O slučaju smo razgovarali s Ines i Markom Krečak iz Centra Feralis, koji su ujedno i predstavnici Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO), te je, uz ostalo, Feralis član nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.

- Što se točno dogodilo vezano za platformu CijepiSe i povredu podataka?

- Zadnjih dana često smo mogli pročitati naslove vezano za platformu CijepiSe i probleme koji se javljaju s njezinom primjenom. Na konferenciji za medije Nacionalnog stožera civilne zaštite održanoj 23. travnja, javnost je potom bila informirana da je službena internetska stranica za prijave građana za cijepljenje (CijepiSe) u svojim počecima rada imala tehničke poteškoće i privremeno je bila nedostupna. Nakon uspostave njene ponovne tehničke funkcionalnosti izgubljena je kontrola nad procijenjeno 3.000 osobnih podataka građana, što je uključivalo i podatke o zdravlju.

Prema izjavama s konferencije, došlo je do sigurnosnog incidenta koji je uključivao osobne podatke, tj. do povrede osobnih podataka.

Ines i Marko Krečak, Hrvatski centar za zaštitu podataka Feralis

- Nacionalni stožer je rekao da je baza samo privremeno bila nedostupna i to u samim počecima rada, te da su svi podaci građana i dalje u bazi. Zašto je to onda povreda osobnih podataka?

- Opća uredba određuje da se povreda osobnih podataka definira kao kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. Međutim, kada voditelj obrade, o ovom slučaju Ministarstvo zdravstva, makar i privremeno nema dostupnost osobnim podacima, ono se također označava kao gubitak osobnih podataka.

- Što je u tom slučaju bilo potrebno napraviti?

- Kada povreda, makar i privremenog trajanja, uključuje podatke o zdravlju pojedinaca, smatra se da takva povreda uzrokuje visok rizik za prava i slobode pojedinaca. U tom slučaju voditelj obrade mora neodgodivo učiniti dvije stvari - obavijestiti Nadzorno tijelo tj. Agenciju za zaštitu osobnih podataka, i to najkasnije u roku 72 sata od saznanja o povredi, te obavijestiti pojedince pogođene povredom.

- Mediji navode da Ministarstvo nije vlasnik te platforme, već je tvrtka Cuspis d.o.o. to radila ugovorno za Ministarstvo. Zar nije onda odgovornost na Cuspisu, a ne Ministarstvu?

- Tvrtka Cuspis d.o.o. je u ovom slučaju izvršitelj obrade i kao takav bio je dužan odmah po saznanju o nastanku incidenta, o svim okolnostima povrede bez odgađanja izvijestiti voditelja obrade tj. Ministarstvo zdravstva. Ministarstvo zdravstva je kao voditelj obrade trebalo obavijestiti Agenciju za zaštitu podataka o nastalom incidentu i obavijestiti pogođene pojedince. Međutim, treba spomenuti i da izvršitelj obrade može obavještavati nadzorno tijelo u ime voditelja, ali samo uz njegovo ovlaštenje kao dio međusobnog sporazuma o obradi osobnih podataka.

- Kako građani mogu saznati da li su povrijeđeni njihovi osobni podaci?

- Upravo o tome detaljnu uputu je dao AZOP na svojim web stranicama, gdje navode da, ukoliko smatraju da su njihovi osobni podaci obrisani ili žele ostvariti svoja prava iz članka 15. Opće uredbe o zaštiti podataka, se građani obrate voditelju obrade, odnosno u konkretnom slučaju Ministarstvu zdravstva koje obrađuje njihove osobne podatke. Na službenim stranicama Agencije, moguće je preuzeti obrazac Zahtjeva za ostvarivanje prava ispitanika koji građani mogu koristiti prilikom obraćanja Ministarstvu zdravstva, ali i u svakoj situaciji kada žele ostvariti svoja prava zajamčena Općom uredbom o zaštiti podataka.

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om