Zapravo, nijedan voditelj obrade, nijedna organizacija, bila javna, državna ili privatna, ne smije izgubiti dokumentaciju o svojim zaposlenicima, bivšim zaposlenicima, učenicima, studentima, sadašnjim ili bivšima, te mora osigurati primjerene organizacijske i tehničke mjere da se dokumenti, bez obzira bili oni u ispisanom ili elektroničkom obliku, ne izgube niti neovlašteno unište ili izbrišu.
 
I u inozemnim GDPR medijima nailazimo na slučaj iz svibnja 2022. u kojem je AZOP reagirao prema jednoj srednjoj školi u Hrvatskoj, koja je "zagubila" ovjerenu kopiju Diplome o položenom majstorskom ispitu i Potvrdu o stečenom zvanju majstor natkonobar bivšeg učenika:
 
https://gdprhub.eu/index.php?title=AZOP_(Croatia)_-_Decision_of_31_May_2022&mtc=today
 
Budimo objektivni, to su dokumenti od iznimne važnosti za bivšeg učenika temeljem kojih dokazuje svoje školovanje i educiranost u natječajima za radno mjesto ili za daljnje školovanje i napredovanje.
 
Takve dokumente škole izdaju u formi kopija i naknadno na zahtjev bivših učenika i takvih slučajeva nema malo, posebice slučajeva učenika koji su odlučili potražiti svoju sreću izvan granica RH.
 
Pisali smo o tom slučaju detaljno:
 
https://www.biconsult.hr/gdprcroatia/2047-azop-nepoduzimanje-odgovarajucih-zastitnih-mjera-osobnih-podataka-gubitak-dokumentacije
 

U svom očitovanju Škola navodi kako osobne podatke djelatnika čuva u mapama- personalni dosjei u željeznom ormaru s ključem koji imaju samo ravnatelj i tajnica. Ostala dokumentacija bivših djelatnika, kao i natječajna dokumentacija i dokumentacija Škole od prethodnih godina nalaze se u drvenim ormarima s ključem. Također, Škola u očitovanju navodi kako je ovo prvi slučaj da nedostaje dokumentacija u personalnom dosjeu.

Također, Škola u očitovanju navodi da je 2019., godine, uslijed vremenskih neprilika, došlo do prokišnjavanja i poplave u Školi u svim prostorijama zgrade te da su bili raspoređeni u nekoliko susjednih škola, tako da je moguće i da se prilikom sanacije i premještaja opreme i namještaja zagubila dokumentacija.

Iz utvrđenog činjeničnog stanja jasno proizlazi kako je došlo do gubitka dokumenata koji sadrže osobne podatke podnositelja. S tim u vezi, Škola kao voditelj obrade osobnih podataka, u dostavljenom očitovanju navodi kako je moguće da se nestala dokumentacija zagubila prilikom sanacije i premještaja opreme i namještaja radi vremenskih neprilika.

Također, temeljem prikupljene dokumentacije u postupku utvrđeno je kako Škola kao voditelj obrade nije poštivala načelo cjelovitosti i povjerljivosti obrade osobnih podataka temeljem kojeg je bila dužna osigurati odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

Također, Škola kao voditelj obrade sukladno pravilima sigurnosti obrade osobnih podataka, obvezna je provesti odgovarajuće tehničke i organizacijske mjere kako bi spriječila neovlašteno ometanje postupaka obrade podataka, a što iz konkretnog slučaja dade zaključiti kako ista nije postupala u skladu sa navedenim.

U konkretnom slučaju prije svega ukazujemo na potrebu kontinuirane edukacije osoba zaposlenih u obradi osobnih podataka, prvenstveno u smislu obveza sigurnog disponiranja i obrade osobnih podataka na način da se svaka mogućnost gubitka/nestanka dokumentacije koja sadrži osobne podatke zaposlenika svede na najmanju moguću mjeru.

Također, Škola kao voditelj obrade dužna je uvesti organizacijske mjere zaštite osobnih podataka, primjerice na način da se dokumentacija koja sadrži osobne podatke ispitanika, kao fizičkih osoba razdvoji od dokumentacije koja takve podatke ne sadrži.

Osim toga, Škola kao voditelj obrade osobnih podataka je dužna u tijeku nekih radnih aktivnosti kada dolazi do prijenosa određenih dokumenta koji sadrže osobne podatke ispitanika postupati sa povećanom pažnjom, a sve iz razloga da ne dođe do rizika od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Ovo vrijedi za sve organizacije, bez obzira u kojem području djeluju.


Više u Rješenju AZOP-a:
https://azop.hr/wp-content/uploads/2022/09/RJESENJE-gubitak-osobnih-podataka.pdf
 
 
#gdprcroatia