(Federica, právnik a manažér organizácie Aidr Regione Lombardia) 1. apríla minulého roka došlo na webovej stránke INPS k významnému porušeniu údajov.
Veľmi vysoký počet prístupov na žiadosť o bonus 600 EUR uznaný po mimoriadnej udalosti zo strany Covid19 doslova vyhodil stránku a údaje značného počtu daňovníkov boli nezákonne šírené a zostali viditeľné určitý čas. , vystavenie dotknutých osôb vážnym rizikám pre ich práva.
Situácia by bola týmto spôsobom dostatočne katastrofálna, ale k ďalšiemu prehĺbeniu situácie sa pridalo zdieľanie snímok „porušených“ profilov na sociálnych sieťach, ktoré zjavne prispeli k ďalšiemu šíreniu údajov.
Základný bod sa týka práve tohto „divokého“ zdieľania obrazoviek, hoci sa uskutočnil s cieľom dokumentovať porušenie údajov INPS.
Je potrebné zvážiť dva rôzne aspekty: fungovanie siete na jednej strane a právne predpisy o ochrane osobných údajov na strane druhej.
Začnime s fungovaním siete.
Publikovanie online obsahu umožňuje používateľom opätovne zdieľať to, čo ostatní zverejnili, čím sa rozširuje cieľová skupina, čím sa efektívne rozširuje jej šírenie.
Čím vyšší je počet akcií, tým väčšie je zverejnenie príslušného obsahu.
To znamená, že záporná hodnota správ, ako je to v prípade údajov, ktoré sa jasne uvádzajú v prípade nefunkčnosti lokality INPS, je priamo úmerná počtu akcií, tj počtu, aj keď len potenciálnym, subjektov, ktoré sa o nich môžu dozvedieť.
Preto je ľahké pochopiť, že škoda má väčší rozsah, ak niekto prispieva rôznymi spôsobmi k šíreniu správ.
A niet pochýb o tom, že snímanie snímok o osobných údajoch iných ľudí a ich zverejňovanie online pomáha zhoršiť škody, ktoré už vznikli samotným porušením údajov.
Pokiaľ ide o regulačné údaje, európske nariadenie 2016/679 o ochrane osobných údajov definuje čl. 4, porušenie osobných údajov „porušenie bezpečnosti, ktoré náhodne alebo nezákonne zahŕňa zničenie, stratu, zmenu, neoprávnené zverejnenie alebo prístup k preneseným, uloženým alebo inak spracovaným osobným údajom“.
Epizóda alebo skôr epizódy, ktoré sa vyskytli na webovej stránke INPS, spadajú do tohto hľadiska vo všetkých ohľadoch.
V európskych právnych predpisoch sa takisto ustanovujú osobitné oznamovacie povinnosti pre ručiteľa, ale nič nehovorí o povinnostiach uložených tým, ktorí by sa z rôznych dôvodov mali podieľať na porušení ochrany údajov.
To neznamená, že používatelia by nemali rešpektovať žiadne obmedzenia, pretože v žiadnom prípade podliehajú všeobecným zásadám GDPR, v dôsledku čoho nemôžu spracúvať, a preto zverejňovať osobné údaje bez platného právneho základu.
V praxi to znamená, že šírenie snímok obrazovky súkromného profilu so situáciou v oblasti sociálneho zabezpečenia používateľa, a to aj s cieľom upozorniť na anomálie, a teda na porušenie údajov, sa na sociálnych sieťach nemôže stať sic et simpliciter.
Difúzia vyvolaná mechanizmom, ktorým sieť a jednotlivé sociálne siete fungujú, má za následok zosilnenie šírenia tých istých údajov, o ktorých je porušenie oznámené, divokým a nekontrolovaným spôsobom.
Inými slovami, užívateľ so svojimi podielmi pomáha zvyšovať negatívny účinok a potenciálne škody vyplývajúce zo šírenia údajov.
Malo by sa tiež dodať, že bez platného právneho základu pre zaobchádzanie sa zdieľanie obrazoviek stáva rovnako nezákonným zaobchádzaním, ktoré by prinajmenšom teoreticky mohlo byť vystavené sankciám stanoveným GDPR a legislatívnym dekrétom 101 / 2018.
Odlišná je však hypotéza, v ktorej boli predmetné obrazovky zdieľané po stmavení osobných údajov, a to výlučne na účely preukázania nesprávneho fungovania stránky INPS.
Zdieľanie snímok obrazovky a osobných údajov sa v konkrétnom prípade uskutočnilo v takom rozsahu, že si vyžaduje ručný zásah ručiteľa.
V tlačovej správe z 2. apríla 2020 úrad s cieľom obmedziť šírenie údajov a negatívny potenciál ich šírenia, úrad uviedol, že „Aby sa nezvýšili riziká pre osoby, ktorých osobné údaje boli zapojené do V prípade, že dôjde k porušeniu a aby nedošlo k možným trestným činom, dozorný úrad upozorňuje na absolútnu nevyhnutnosť, aby ktokoľvek, kto sa dozvedel o osobných údajoch iných, ich nemal používať a nemal by ich oznamovať tretím stranám alebo ich šíriť, napríklad na sociálnych sieťach, a adresovať im skôr to isté. Ručiteľ nahlási všetky relevantné aspekty “.
Preto je potrebné venovať pozornosť všetkému, čo sa zdieľa, vždy na najvyššej úrovni, najmä pokiaľ ide o osobné údaje, pretože riziko zvýšenia hodnoty a skutočného nebezpečenstva pre práva dotknutých subjektov je oveľa väčšie ako to, čo môžete myslieť.
Každé posúdenie zákonnosti zdieľania sa preto musí uskutočniť presne chvíľu pred odoslaním, pretože po zverejnení obsah nenapraviteľne opustil našu dostupnosť, už nie je možné ho kontrolovať a spravovať so všetkými dôsledkami vrátane právnych, ktoré pochádzajú z toho.