250.000 funtov globe škotskemu lokalnemu svetu - kršitev varstva osebnih podatkov
Britanski Urad informacijskega pooblaščenca je oglobil škotski svet lokalne skupnosti Scottish Borders v višini četrt milijona funtov, saj so se na zbirnem mestu za papir (ekološkem otoku) na parkirnem mestu enega od nakupovalnih centrov našle pokojninske evidence zaposlenih na Škotskem mejnem svetu.
Na 848 pokojninskih evidencah (v papirni obliki), ki so bile najdene na odlagališču, so bili zapisani osebne podatke (OP) zaposlenih na svetu, in sicer njihova osebna imena in priimki, naslovi ter številke nacionalnega zavarovanja, na večini pa tudi osebni dohodki zaposlenih in podatki njihovih bančnih računov.
Svet kot upravljavec OP je pokojninske evidence 'outsoursal', tj. izročil zunanjemu pogodbenemu obdelovalcu OP, z namenom, da bi jih le-ta digitaliziral (tj. oblikoval v elektronski obliki).
Zunanji obdelovalec pa je po tem, ko je evidence pretvoril v digitalno obliko, le-te odvrgel v prenapolnjen zabojnik, namesto, da bi jih vrnil svojemu naročniku (svetu) ali jih varno uničil. OP so bili tako izpostavljeni razkritju nepooblaščenim osebam; posamezniki, na katere so se OP nanašali, bi bili lahko celo izpostavljeni kraji identitete in finančnim izgubam, brez vsakršne svoje krivde.
Opisano razkritje osebnih podatkov pomeni resno kršitev britanskega Zakona o varstvu osebnih podatkov (tim. Data Protection Act 1998) in evropskih predpisov s področja varstva osebnih podatkov. Za to kršitev je v prvi vrsti odgovoren svet, četudi je (na prvi, laični pogled) neposredno ni zagrešil. Kot upravljavec OP bi svet namreč moral poskrbeti za zavarovanje OP. Pri tem pa ni izpolnil vsaj treh zahtev:
1. za pogodbenega obdelovalca bi moral izbrati osebo, ki zagotavlja ustrezna in zadostna jamstva za zavarovanje OP (gl. v nadaljevanju);
2. s pogodbenim obdelovalcem bi moral skleniti pisno pogodbo o obdelovanju OP, v kateri bi uredila medsebojne pravice in obveznosti ter se dogovorila o primernih tehničnih in organizacijskih postopkih ter ukrepih, s katerimi se varujejo OP ter preprečuje nepooblaščeno ali nezakonito obdelovanje OP in njihova slučajna ali namerna izguba, uničenje ali poškodba; ter
3. svet kot upravljavec OP bi moral redno nadzorovati izvajanje teh postopkov in ukrepov za zavarovanje OP (kot zgoraj).
Za opisane kršitve je britanski Urad informacijskega pooblaščenca škotski svet Scottish Borders oglobil v višini četrt milijona funtov. Rok za plačilo globe je 12. oktober 2012, v primeru predčasnega plačila pa se globa zmanjša za 20 % (na 200.000 funtov). Odločbo o denarni kazni si lahko preberete tukaj (12 strani / 1.68MB PDF).
Še opozorilo: vse opisane zahteve glede varstva OP veljajo tudi v Sloveniji (Zakon o varstvu osebnih podatkov, ZVOP-1).
Vsebine na spletnem mestu ne predstavljajo pravnih nasvetov v konkretni zadevi. Možno je, da vsebina ni ažurirana oziroma da se je po objavi spremenila zakonodaja, sodna praksa ali druge okoliščine. V dvomu predlagamo, da nas pokličete na 0590 91 974 ali pišete na email.
Avtor: JK Group Law firm
Objavljeno: 01.01.2010
Oznake: