Iako je u Hrvatskoj još od sre­dine 2003. godine na snazi Zakon o zašti­ti osob­nih podata­ka, zakon koji je usklađen s europ­skim zakon­o­davstvom, zan­imlji­vo je da mno­go lju­di i odgov­ornih oso­ba u našim poduzeći­ma za nje­ga ne zna, iako se svakod­nevno dešava­ju inter­ak­ci­je između građana i poduzeća, poje­d­i­naca i pravnih oso­ba u koji­ma se osob­ni podaci daju, priku­pl­ja­ju, spre­ma­ju i na druge načine obrađu­ju.

Zapra­vo, poma­lo je zabrin­java­juće koliko smo bezbrižni u pogle­du ono­ga što se deša­va s našim podaci­ma, jed­nom kada ih predamo u ruke nepoz­na­tim nam osoba­ma koje će tim podaci­ma dal­je ruko­vati sasvim van našeg znan­ja ili kon­t­role. A upra­vo nam Zakon o zašti­ti osob­nih podata­ka još od 2003. godine daje pril­ično snažan kon­trol­ni meh­a­nizam u ruke.

Autor ovog tek­s­ta nije pravnik. U tek­stu je iznešeno mišl­jen­je auto­ra koje niti u kojem sluča­ju ne može zami­jen­i­ti pravni sav­jet.

O čemu li se radi?

Ukratko rečeno, svatko tko od vas dobi­je osob­ni podatak, a osob­ni je podatak baš sva­ki podatak kojim se čak i neizravno može utvrdi­ti vaš iden­titet, mora pri Agen­ci­ji za zašti­tu osob­nih podata­ka reg­istri­rati tu zbirku podata­ka, a uz nju istaknu­ti točnu i isključivu svrhu za koju će ti podaci biti upotre­bl­ja­vani, te opisati na koji će način zašti­ti­ti te podatke od neovlaštenog pris­tu­pa i even­tu­alne zloupotrebe.

No, pa što? Kak­va korist od toga?

Osobni podatak — podatak o osobi

Za poče­tak, dobro je razum­jeti što osob­ni podatak uistinu jest — mno­gi bi se začudili.

Zakon defini­ra osob­ni podatak kao svaku infor­ma­ci­ju kojom je fiz­ič­ka oso­ba iden­ti­fi­ci­rana ili kojom se fiz­ič­ka oso­ba može iden­ti­fi­ci­rati, izravno ili neizravno.

Poseb­no je osob­ni podatak onaj podatak koji razotkri­va bilo kak­va obil­jež­ja koja su speci­fič­na za fiz­ič­ki, psi­hološ­ki, men­tal­ni, gospo­dars­ki, kul­turni ili soci­jal­ni iden­titet osobe.

Osob­ni podatak je, dak­le, adresa e-pošte, tele­fon­s­ki broj, broj bankovnog raču­na, pa i vaša fotografi­ja. Dodat­no na to, ras­no i etničko podri­jet­lo, vjer­sko i dru­go uvjeren­je, sindikalno članst­vo, zdravl­je, spol­ni živ­ot, podaci o kaz­nenom i prekrša­jnom pos­tup­ku su poseb­ne kat­e­gori­je osob­nih podata­ka o koji­ma se mora vodi­ti dodat­na briga i za koje se mora osig­u­rati poseb­na zašti­ta.

Fac­it. Držim da je osob­ni podatak sva­ka infor­ma­ci­ja o meni. Ja sam oso­ba i sva­ki podatak o meni je podatak o oso­bi, ili­ti osob­ni podatak.

Prikupljati se smije samo nužne podatke

Sig­urno ste u različitim upit­nici­ma koje morate pop­uni­ti kako biste dobili neku uslugu ili obav­ili kakvu narudžbu naišli na oznaku obavezno ispuni­ti uz podatke za koje biste se s pravom morali zap­i­tati čemu se sku­pl­ja­ju?

Floppy disc and a padlock.
Floppy disc and a padlock. Foto: Nick Ben­jamin­sz.

Prim­jerice, na pril­ično dobro urađenoj pris­tup­ni­ci za Konzu­mov pro­gram Plus Card, čijim pop­un­ja­van­jem dobi­vate poz­natu Konzu­movu kar­ticu, veli­ki je dio površine posvećen upra­vo naglaša­van­ju svrhe korišten­ja priku­pljenih podata­ka. Konzum vrlo detaljno iznosi za što mu točno služe naši podaci, a izri­jekom garan­ti­ra za nji­hovu sig­urnost i tajnost. Čak se u otis­nu­tim prav­il­i­ma pro­gra­ma spom­in­je Zakon o zašti­ti osob­nih podata­ka. Za svaku pohvalu.

Pa ipak, baš nigdje, pa čak niti iz opsežnih prav­i­la se ne vidi iz kojeg bi razlo­ga Konzu­mu tre­bao podatak o našem spolu, koji se zahti­je­va kao obavezan podatak. A osim spom­in­jan­ja nužnos­ti punol­jet­nos­ti, nikakav se znača­jan razlog ne navo­di niti za priku­pl­jan­je datu­ma rođen­ja, koji se također traži kao obavezan podatak (naime, proči­tao sam uvjete, pot­pisao sam se, dak­le punol­je­tan sam).

Po Zakonu o zašti­ti osob­nih podata­ka je onome tko priku­pl­ja podatake dop­ušteno priku­pl­jati samo one podatke koji su bit­ni za pos­ti­zan­je utvrđene svrhe priku­pl­jan­ja i ne smi­ju se priku­pl­jati u većem opsegu nego je to nužno da bi se postigla utvrđe­na svrha. Sasvim sig­urno da onda u pris­tup­ni­ci, u okviru naslovl­jenom s Obavezni podaci — potreb­ni su nam Vaši osnovni podaci kako bis­mo Vam mogli poslati osvo­jene nagradne kupone na Vašu kućnu adresu pol­ja za datum rođen­ja i spol nema­ju što traži­ti.

Usprkos tome, Konzu­movu pris­tup­nicu navodim kao zan­imljiv, ali i dobar prim­jer — iako u svo­joj pris­tup­ni­ci nisam pop­unio dva suviš­na podat­ka, kar­ticu sam ipak dobio.

Fac­it. Što­god da sto­ji u ugov­oru ili općim uvje­ti­ma neči­jeg poslo­van­ja mora biti usklađeno sa zakonom. Ako nije, držim da to što nije mogu slo­bod­no ignori­rati. Sto­ga, ako je izve­di­vo, onda napros­to ne pop­un­javam one podatke za koje ne vidim da su nužni s obzirom na nave­de­nu svrhu.

Ispitanik uvijek ima kontrolu nad svojim podacima

Oni­ma koji priku­pl­ja­ju osob­ne podatke Zakon o zašti­ti osob­nih podata­ka nameće stanovite obveze koje osig­u­rava­ju da osobe čiji su podaci priku­pljeni — tzv. ispi­tani­ci — uvi­jek ima­ju kon­trolu nad svo­jim podaci­ma.

Za poče­tak, onaj koji priku­pl­ja osob­ne podatke je dužan ispi­taniku pruži­ti infor­ma­ci­je o svome iden­tite­tu, o točnoj svr­si obrade podata­ka, o tome tko će koris­ti­ti priku­pljene podatke, te o tome je li davan­je podata­ka obavezno ili dobro­voljno i koje će posljedice imati uskra­ta davan­ja podata­ka. Kao obavezno se može provodi­ti samo sku­pl­jan­je podata­ka po nekoj zakon­skoj osnovi, a onda je onaj koji provo­di priku­pl­jan­je dužan navesti o kojoj se zakon­skoj osnovi radi.

Niš­ta man­je važno nije niti da je onaj koji podatke priku­pl­ja dužan gorn­je infor­ma­ci­je dati ispi­taniku čak i ako podatke ne sku­pl­ja neposred­no od ispi­tani­ka.

U nas­tavku, onaj koji priku­pl­ja osob­ne podatke je ispi­taniku dužan na nje­gov zaht­jev izdati potvr­du o tome obrađu­ju li se osob­ni podaci ispi­tani­ka, dati ispi­taniku obav­i­jesti o tome koji se podaci obrađu­ju i od kuda su podaci priku­pljeni, omogući­ti ispi­taniku uvid u nje­gove podatke, dostavi­ti mu ispise tih podata­ka, objas­ni­ti logiku automatske obrade podata­ka. Ovo mora biti učin­jeno unutar 30 dana od pod­nošen­ja zaht­je­va.

Također, na zaht­jev ispi­tani­ka mora onaj koji priku­pl­ja osob­ne podatke obav­i­ti ažuri­ran­je, ispravl­jan­je ili dop­unu, uko­liko su ti podaci neažurni, neis­pravni ili nepot­puni. I ovo mora biti učin­jeno unutar 30 dana, te ispi­tanik o tome mora biti obav­i­ješten. Zan­imlji­va posljed­i­ca ove obveze jest da sva poduzeća, prim­jerice komu­nal­na, sada i zakonom mora­ju hitro ažuri­rati naše prom­jene adresa i sl., a s čime je zna­lo biti i više­godišn­jih prob­le­ma.

Kon­ačno, zakon utvrđu­je da se osob­ni podaci ne smi­ju koris­ti­ti dul­je od vre­me­na koje je nužno za ost­varen­je deklari­rane svrhe, a po isteku tog vre­me­na se podaci mora­ju obrisati. Na zaht­jev ispi­tani­ka se podaci mora­ju obrisati uko­liko nji­ho­va obra­da nije u skladu sa Zakonom o zašti­ti osob­nih podata­ka, a nije uko­liko se koriste dul­je od vre­me­na nužnog da se ost­vari svrha zbog koje su priku­pljeni.

Iz gorn­je­ga proi­zlazi da ispi­tanik ima kon­trolu nad cije­lim živ­o­tom svo­jih osob­nih podata­ka, od trenut­ka kada su priku­pljeni do trenut­ka kada mora­ju biti brisani. Val­ja imati na umu da su gorn­ji navo­di načel­ni, te da pos­to­je stanovi­ti izuze­ci i dru­gi momen­ti koji proi­zlaze iz zakona, a za koje ovd­je nema mjes­ta, niti ih ja mogu anal­izirati.

Fac­it. Ako dajem svo­je osob­ne podatke nekome, očeku­jem (a) znati sve o nje­mu, (b) znati sve o nje­gov­im koris­nici­ma, © imati tra­jnu kon­trolu nad svo­jim podaci­ma i (d) biti sig­u­ran da podaci neće biti pohran­ji­vani dul­je nego je to nužno.

Kuda idu osobni podaci?

Ne tre­ba onda biti naivan i mis­li­ti da poduzeća u koja tradi­cional­no imamo toliko pov­jeren­ja da im bez promišl­jan­ja ostavl­jamo, rec­i­mo, bro­jeve svo­jih kred­it­nih kar­ti­ca, ne čine fra­pantne lap­suse, pa da za man­u­al­ni pri­jepis svih podata­ka koji­ma nas netko može bez prob­le­ma opel­ješi­ti ne zapošl­java­ju sezonske rad­nike. Ovo je prim­jer, ali ilus­tri­ra da kada jed­nom ostavi­mo svo­je infor­ma­ci­je na nekakvom pul­tu, stvarno može­mo samo pogađati koji će i kakvi lju­di doći u situaci­ju da te podatke prepišu. Osim ako niste uistinu sig­urni da direk­tor poduzeća kojem ste podatke dali ne mis­li da ga od odgov­ornos­ti šti­ti to što je imao stvarno dobru nam­jeru, ali eto, dogodi­lo se i što vi sada hoćete? Uostalom, imao sam pri­liku čuti i za amer­ičku komap­ni­ju koja je pružala uslugu sig­urnog servera, kolek­ti­rala podatke o kred­it­nim kar­ti­ca­ma kroz SSL vezu, a potom koris­niku usluge sig­urnog servera sku­pljene osob­ne podatke slala običnom e-poš­tom u otvorenom obliku.

Pre­ma Zakonu o zašti­ti osob­nih podata­ka onaj koji sku­pl­ja osob­ne podatke mora poduzeti i tehničke i kadrovske i orga­ni­zaci­jske mjere zaštite istih, a zaposleni­ci koji rade na obra­di podata­ka mora­ju biti pravno obvezani čuvati nji­hovu tajnost. Za ovo bi svatko tko obrađu­je osob­ne podatke morao imati interne pravil­nike pos­tu­pan­ja.

U širem je kon­tek­stu svrha Zakona i da reg­uli­ra pro­tok oso­bih podata­ka preko granice. Naime, kao što se out­sor­cea mno­go rada, tako se i za obradu podata­ka ponekad una­jmlju­je rad u zeml­ja­ma gdje je on jeftin. Zakonom nije dop­ušteno u svrhu obrade osob­nih podata­ka koris­ti­ti usluge u zeml­ja­ma koje i same nema­ju zakon­o­davst­vo ekvi­va­lent­no ovome. Suprot­no tome, s ovakvim zakonom i mi može­mo nudi­ti usluge obrade osob­nih podata­ka drugim zeml­ja­ma, poseb­no europ­skim s čijim je zakon­o­davstvom ovaj Zakon usklađen.

Zaštitu pruža Agencija za zaštitu osobnih podataka

Ova je agen­ci­ja osno­vana s cil­jem da vrši nad­zor nad obradom osob­nih podata­ka u Repub­li­ci Hrvatskoj.

Agen­ci­ja radi svoj posao, a na njen­im se web-strani­ca­ma mogu pron­aći i neka zan­imljivi­ja stvar­na rješen­ja i mišl­jen­ja. Tako se može vid­jeti prim­jer gdje je Agen­ci­ja naloži­la jed­nom blogeru da ukloni osob­ne podatke treće osobe koje je objavio, da je naloži­la dru­gom blogeru da ukloni fotografi­ju treće osobe, da je naloži­la uklan­jan­je javno objavl­jene slike iz online mat­u­rantskog godišn­ja­ka, da je naloži­la dućanu da obriše zbirku osob­nih podata­ka koju je dućan stvo­rio provlačen­jem kred­i­tinih kar­ti­ca kupaca kroz čitač na bla­ga­jni i sl.

Agen­ci­ji se može obrati­ti svatko, sa zaht­jevom za zašti­tu pra­va ili s upit­om za mišl­jen­je.

Zbirke osobnih podataka se moraju registrirati

Svatko tko sku­pl­ja osob­ne podatke stvara zbirku osob­nih podata­ka. Osim u nekim zakonom određen­im sluča­je­vi­ma, taj mora takvu zbirku unapri­jed evi­den­ti­rati pri Agen­ci­ji za zašti­tu oso­bih podata­ka.

Ovo uistinu nije težak posao: upis u reg­is­tar se može obav­i­ti online i nema isprike da se to ne uči­ni!

Gdje ste blogeri i drugi webmajstori?

Uvje­tu­jete li komen­ti­ran­je svog blo­ga ostavl­jan­jem osob­nih podata­ka — ime­na i adrese e-pošte? Imate li forum na koji se reg­istri­ra­ju članovi? Mogu li se vaši pos­jetitelji pret­plati­ti na kakav newslet­ter?

Ako da, tre­bate li tako priku­pljenu zbirku osob­nih podata­ka reg­istri­rati pri Agen­ci­ji za zašti­tu osob­nih podata­ka? Ako da, tre­bate li kao voditelj zbirke osob­nih podata­ka sebe jas­no iden­ti­fi­ci­rati? Jeste li odgo­vara­juće zašti­tili zbirku od sluča­jne ili nam­jerne zlouporabe, uništen­ja, gubit­ka, neovlaštenih prom­je­na ili dos­tu­pa?

Daljnje informacije

Osim Zakona o zašti­ti osob­nih podata­ka (NN 103/2003, 118/2006 , 41/2008 i evt. kas­ni­je izm­jene, potraži­ti na HIDRA-i), sve se rel­e­vantne infor­ma­ci­je mogu pron­aći u brošu­ra­ma za građane i voditel­je zbir­ki osob­nih podata­ka na strani­ca­ma Agen­ci­je za zašti­tu oso­bih podata­ka.

Komentari

Otvorite temu na foru­mu Webmajstori.net.