(od Federice, advokata i šefa Aidr-a za regiju Lombardija) Dana 1. aprila internet stranica INPS-a pretrpjela je veliku povredu podataka.
Veoma veliki broj pristupa za traženje bonusa od 600 eura koji je priznat nakon vanredne situacije Covid19 bukvalno je doveo ovu stranicu u zastoj, a podaci značajnog broja poreskih obveznika su nezakonito diseminirani i ostali vidljivi neko vrijeme, izlažući subjekte podataka ozbiljnim rizicima od njihova prava.
Situacija bi već na ovaj način bila dovoljno pogubna, ali ono što ju je dodatno pogoršalo bilo je dijeljenje screenshotova „narušenih“ profila na društvenim mrežama što je evidentno doprinijelo daljem širenju podataka.
Osnovna poenta se odnosi upravo na ovo „divlje“ deljenje snimaka ekrana, iako je sprovedeno kako bi se dokumentovao proboj podataka INPS-a.
Postoje dva različita aspekta koja treba razmotriti: funkcionisanje interneta s jedne strane i zakonodavstvo o zaštiti ličnih podataka s druge strane.
Počnimo s funkcionisanjem interneta.
Objavljivanje sadržaja na mreži omogućava korisnicima da ponovo dijele ono što su drugi objavili, efektivno pojačavajući njegovu difuziju kako se ciljna publika širi.
Što je veći broj dijeljenja, veća je diseminacija dotičnog sadržaja.
To znači da je negativna vrijednost vijesti, kao iu slučaju jasno prikazanih podataka zbog neispravnosti web stranice INPS-a, direktno proporcionalna broju dionica, odnosno broju, čak i samo potencijalnih, subjekata koji mogu postati svjestan toga.
Stoga je lako shvatiti da je šteta dalekosežnija ako se na različite načine doprinosi širenju vijesti.
I nema sumnje da snimanje ekrana ličnih podataka drugih ljudi i njihovo postavljanje na internet doprinosi pogoršanju štete koja je već nastala samim kršenjem podataka.
Prelazeći na regulatorne podatke, Evropska uredba 2016/679 o zaštiti ličnih podataka definiše u čl. 4, povreda ličnih podataka „narušavanje sigurnosti koje slučajno ili nezakonito rezultira uništenjem, gubitkom, modifikacijom, neovlaštenim otkrivanjem ili pristupom ličnim podacima koji se prenose, čuvaju ili na drugi način obrađuju“.
Epizoda, odnosno epizode koje su se dogodile na web stranici INPS-a u ovom slučaju spadaju u sve namjere i svrhe.
Evropsko zakonodavstvo također predviđa posebne obaveze kontrolora podataka da obavijesti Garanta, ali ništa ne govori o obavezama onih koji iz različitih razloga mogu biti uključeni u kršenje podataka.
To ne znači da korisnici ne moraju poštovati nikakva ograničenja, jer su u svakom slučaju podložni općim principima GDPR-a, s posljedicom da ne mogu obrađivati, a samim tim i širiti osobne podatke bez valjane pravne osnove.
Prevedeno u praksu, to znači da se širenje screenshot-ova privatnog profila sa socijalnom pozicijom korisnika, također u svrhu prijave anomalije, a samim tim i kršenja podataka, ne može provoditi sic et simpliciter na društvenim mrežama.
Difuzija, pokrenuta mehanizmom s kojim Internet i pojedinačne društvene mreže funkcionišu, ima za posledicu pojačavanje širenja, poput požara i na nekontrolisan način, istih podataka čije je kršenje prijavljeno.
Drugim riječima, njihovim dijeljenjem korisnik doprinosi povećanju negativnog efekta i potencijalne štete koja proizlazi iz širenja podataka.
Također treba dodati da, u nedostatku valjane pravne osnove za obradu, dijeljenje screenshot-ova postaje, na isti način, samo po sebi nedozvoljena obrada koja bi, barem u teoriji, mogla izložiti sankcijama predviđenim GDPR i zakonska uredba 101 /2018.
Međutim, hipoteza u kojoj su predmetni screenshootovi podijeljeni nakon prikrivanja osobnih podataka, s jedinom svrhom, dakle, da se dokaže neispravnost web stranice INPS-a, je drugačija.
Dijeljenje snimaka ekrana i ličnih podataka, u ovom konkretnom slučaju, poprimilo je takve razmjere da je neophodna službena intervencija Garanta.
Saopštenjem za javnost od 2. aprila 2020. godine, Uprava je, u cilju suzbijanja širenja podataka i negativnog potencijala njihovog kruženja, precizirala da „kako se ne bi povećali rizici za osobe čiji su lični podaci umešani u povredu podataka. i izbjegavanje mogućih krivičnih djela, Uprava skreće pažnju na apsolutnu neophodnost da svako ko je postao svjestan ličnih podataka drugih ne koristi ih i izbjegava da ih saopštava trećim licima ili ih širi, na primjer na društvenim kanalima, već kontaktira isti garant prijaviti sve relevantne aspekte."
Stoga se pažnja na sve što se dijeli uvijek mora održavati na najvišem nivou, posebno u pogledu ličnih podataka, jer je rizik povećanja negativne vrijednosti i konkretne opasnosti za prava uključenih subjekata mnogo veći nego što mislite .
Svaka procjena zakonitosti dijeljenja mora se izvršiti tačno trenutak prije slanja, budući da je nakon objave sadržaj nepopravljivo napustio našu dostupnost, više ga nije moguće kontrolirati i upravljati sa svim posljedicama, uključujući i pravne, koje iz toga proizlaze.