Još 2021. je AZOP dao vrlo konkretnu i jasnu uputu da razmjena osobnih podataka putem emaila (bez primjene dodatnih mjera zaštite) predstavlja s aspekta zaštite osobnih podataka vrlo nesiguran način komunikacije i razmjene podataka iz razloga što elektronička pošta od pošiljatelja do primatelja putuje u lako čitljivom obliku i prolazi kroz niz točaka u komunikacijskom kanalu elektroničke pošte nad kojima niti pošiljatelj niti primatelj nemaju kontrolu:
 
https://azop.hr/utvrdivanje-prioriteta-u-planu-cijepljenja-protiv-bolesti-covid-19-preporuka-vezano-za-zastitu-osobnih-podataka/#
 
Stoga je za dostavu osobnih podataka (npr. excel tablica koje sadrže osobne podatke zaposlenika) putem elektroničke pošte, svih privitaka i datoteka potrebno prvo „zapakirati“, odnosno sažeti nekim od programa za sažimanje (ZIP), a koji u sebi ima mogućnosti enkripcije svog sadržaja putem lozinke velike složenosti i algoritma za enkripciju velike složenosti enkripcije te se tek tako „zapakirane“ i enkriptirane datoteke stavljaju kao privitak u elektroničku poštu.
 
No, i kad takvu praksu upražnjavamo, dogodi nam se konačni fijasko jer lozinku za otključavanje kriptirane datoteke primatelju također šaljemo emailom, odnosno, istim kanalom komunikacije.
 
Takva praksa može rasveseliti samo hakere, a za našu organizaciju može biti kažnjiva s posljedicama i na reputaciju.
 
Takav se slučaj dogodio na Islandu.
 
Grad Reykjavik je emailom krivoj osobi poslao zdravstvene podatke djeteta. Dokument sa zdravstvenim podacima je bio kriptiran, ali je lozinka za otvaranje poslana na istu pogrešnu email adresu.
 
Primatelj e-mail poruke je prijavio taj incident isti dan Gradu kao voditelju obrade, a Grad je prijavio povredu podataka nadzornom tijelu za zaštitu osobnih podataka, kako to nalaže GDPR u svom članku 33.
 
Nadzorno je tijelo prvo naglasilo da slanje neovlaštenoj strani enkriptiranog dokumenta emailom koji sadrži zdravstvene podatke zajedno s lozinkom za otključavanje dokumenta predstavlja povredu osobnih podataka u skladu s člankom 4. GDPR-a (Data Breach).
 
Lijepo su pojasnili da je zaključavanje dokumenta bilo beskorisno jer je lozinka priopćena na isti način kao i dokument, tj. uzastopnim email porukama na istu e-mail adresu. Voditelj obrade stoga nije osigurao sigurnost podataka kako je propisano člankom 32. GDPR-a.
 
Više o slučaju:
 
https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Iceland)_-_2022081293&mtc=today
 
Image by rawpixel.com on Freepik
 
#gdprcroatia