AZOP je zaprimio zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositelj zahtjeva navodi kako je kako je došao do saznanja kako u njegovom dosjeu Srednje strukovne škole (dalje u tekstu: Škola) nedostaje njegova ovjerena kopija Diplome o položenom majstorskom ispitu, kao i Potvrda o stečenom zvanju majstor natkonobar, a koje je podnositelj zahtjeva dostavio u Školu 2005. godine.
U provedenom upravnom postupku je utvrđeno kako Škola, kao voditelj obrade nije poduzimala odgovarajuće zaštitne mjere osobnih podataka podnositelja zahtjeva, uslijed čega je došlo do gubitka/nestanka dokumentacije podnositelja zahtjeva, a čime su povrijeđene odredbe članka 25. i 32. Opće uredbe o zaštiti podataka.
U svom očitovanju Škola navodi kako osobne podatke djelatnika čuva u mapama- personalni dosjei u željeznom ormaru s ključem koji imaju samo ravnatelj i tajnica. Ostala dokumentacija bivših djelatnika, kao i natječajna dokumentacija i dokumentacija Škole od prethodnih godina nalaze se u drvenim ormarima s ključem. Također, Škola u očitovanju navodi kako je ovo prvi slučaj da nedostaje dokumentacija u personalnom dosjeu. Također, Škola u očitovanju navodi da je 2019., godine, uslijed vremenskih neprilika, došlo do prokišnjavanja i poplave u Školi u svim prostorijama zgrade te da su bili raspoređeni u nekoliko susjednih škola, tako da je moguće i da se prilikom sanacije i premještaja opreme i namještaja zagubila dokumentacija.
Iz utvrđenog činjeničnog stanja jasno proizlazi kako je došlo do gubitka dokumenata koji sadrže osobne podatke podnositelja. S tim u vezi, Škola kao voditelj obrade osobnih podataka, u dostavljenom očitovanju navodi kako je moguće da se nestala dokumentacija zagubila prilikom sanacije i premještaja opreme i namještaja radi vremenskih neprilika.
Također, temeljem prikupljene dokumentacije u postupku utvrđeno je kako Škola kao voditelj obrade nije poštivala načelo cjelovitosti i povjerljivosti obrade osobnih podataka temeljem kojeg je bila dužna osigurati odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Također, Škola kao voditelj obrade sukladno pravilima sigurnosti obrade osobnih podataka, obvezna je provesti odgovarajuće tehničke i organizacijske mjere kako bi spriječila neovlašteno ometanje postupaka obrade podataka, a što iz konkretnog slučaja dade zaključiti kako ista nije postupala u skladu sa navedenim.
U konkretnom slučaju prije svega ukazujemo na potrebu kontinuirane edukacije osoba zaposlenih u obradi osobnih podataka, prvenstveno u smislu obveza sigurnog disponiranja i obrade osobnih podataka na način da se svaka mogućnost gubitka/nestanka dokumentacije koja sadrži osobne podatke zaposlenika svede na najmanju moguću mjeru.
Također, Škola kao voditelj obrade dužna je uvesti organizacijske mjere zaštite osobnih podataka, primjerice na način da se dokumentacija koja sadrži osobne podatke ispitanika, kao fizičkih osoba razdvoji od dokumentacije koja takve podatke ne sadrži.
Isto tako bilo bi uputno vođenje evidencije prilikom izdavanja određenih dokumenata na zahtjeve ispitanika, kao fizičkih osoba.
Osim toga, Škola kao voditelj obrade osobnih podataka je dužna u tijeku nekih radnih aktivnosti kada dolazi do prijenosa određenih dokumenta koji sadrže osobne podatke ispitanika postupati sa povećanom pažnjom, a sve iz razloga da ne dođe do rizika od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Više u Rješenju AZOP-a:
https://azop.hr/wp-content/uploads/2022/09/RJESENJE-gubitak-osobnih-podataka.pdf
