Preporuka za unaprjeđenje zaštite osobnih podataka korisnika usluga


Preporuka za unaprjeđenje zaštite osobnih podataka korisnika usluga


Nastavno na veći broj upita koje je zaprimila ova Agencija od strane građana a koji su se odnosili na prikupljanje i daljnju obradu osobnih podataka korisnika usluga društva H. prvenstveno vezano uz obradu njihovih osobnih podataka na način da se u svrhu utvrđivanja njihovog identiteta prilikom pružanja usluga društva skenira/kopira njihov osobni dokument, Agencija za zaštitu osobnih podataka kao mjerodavno tijelo u području nadzora nad zaštitom osobnih podataka sukladno članku 33. st. 1. podstavku 7. Zakona o zaštiti osobnih podataka („Narodne novine“ broj 106/12 -pročišćeni tekst zakona) daje sljedeću preporuku za unapređenje zaštite u prikupljanju i daljnjoj obradi osobnih podataka korisnika usluga društva u gore navedenu svrhu.

Osobni podaci korisnika usluga moraju se obrađivati pošteno i zakonito te se mogu prikupljati u svrhu s kojom su isti upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja. Nadalje, osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati u većem opsegu nego što je nužno da bi se postigla utvrđena svrha (članak 6. Zakona o zaštiti osobnih podataka).

Sukladno članku 7. stavku 1. Zakona o zaštiti osobnih podataka osobni podaci se, između ostaloga, smiju prikupljati i dalje obrađivati isključivo uz privolu ispitanika, u slučajevima određenim zakonom, u svrhu sklapanja i izvršenja ugovora u kojem je ispitanik stranka te u drugim taksativno navedenim slučajevima u predmetnom članku. Isto tako za obradu osobnih podataka mora postojati zakonita svrha od strane voditelja zbirke osobnih podataka.

Nadalje, potrebno je napomenuti da je Zakonom o osobnoj iskaznici („Narodne novine“ broj 62/15), kao posebnim  zakonom,  propisano  kako je osobna iskaznica elektronička javna isprava kojom hrvatski državljanin dokazuje identitet, hrvatsko državljanstvo, spol, datum rođenja i prebivalište u Republici Hrvatskoj. Dakle, osobna iskaznica javna je isprava  koja služi u svrhu nedvojbenog utvrđivanja identiteta ispitanika, te se na taj način sprječava moguća zamjena identiteta i zlouporaba osobnih  podataka.

Osim navedenog bitno je navesti i načelo razmjernosti temeljem kojeg je dozvoljeno prikupljati osobne podatke u opsegu koji je nužan za ispunjenje točno određene svrhe te se osobni podaci ne smiju prikupljati u većem opsegu nego što je nužno da bi se postigla zakonom utvrđena svrha.

Posebice bitnim ukazujemo na važnost poduzimanja tehničkih, kadrovskih i organizacijskih mjera zaštite osobnih podataka od strane voditelja zbirke osobnih podataka, a koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe. Stoga upućujemo na obvezu poduzimanja organizacijskih, tehničkih i kadrovskih mjera zaštite osobnih podataka korisnika svojih usluga.

U svrhu poduzimanja gore navedenih mjera zaštite osobnih podataka navodimo kako je potrebno osigurati da pristup podacima pohranjenim u zbirkama osobnih podataka bude dozvoljen samo ovlaštenim osobama, točnije zaposlenicima voditelja zbirke osobnih podataka i to u točno određenu svrhu što podrazumijeva prvenstveno poduzimanje tehničkih mjera zaštite (putem odgovarajućih korisničkih imena i lozinki) dok je za takvo postupanje nužno i poduzimanje organizacijskih mjera zaštite u konkretnom slučaju donošenja pisane procedure/upute za postupanje svih zaposlenika koji obrađuju osobne podatke korisnika usluga Društva (primjerice: regulirati isto internim aktom).

Nadalje, kadrovske mjere zaštite prvenstveno se odnose na razinu pristupa podacima koja je isključivo dozvoljena ovlaštenim osobama koje imenuje voditelj zbirke osobnih podataka, a razina pristupa podacima ovisi o vrsti posla koju obavljaju. Također, sukladno pravnom okviru zaštite osobnih podataka  postoji obveza osoba koje su zaposlene u obradi osobnih podataka kod voditelja zbirke osobnih podataka na potpisivanje izjave o povjerljivosti, temeljem koje će se iste obvezati na čuvanje povjerljivosti svih osobnih podataka kojima imaju pravo pristupa za vrijeme obavljanja službe i nakon prestanka službe na način da se podaci mogu koristiti isključivo u svrhu i za potrebe obavljanja djelatnosti poslodavca. Isto tako, potrebno je zaposlenicima u obradi osobnih podataka ukazati na činjenicu da svako neovlašteno korištenje i raspolaganje osobnim podacima predstavlja povredu radne dužnosti. Također, u svrhu pravilnog i zakonitog postupanja, tj. poštene i zakonite obrade osobnih podataka potrebno je kontinuirano i sustavno provoditi edukacije osoba zaposlenih u obradi osobnih podataka, kao i službenika za zaštitu osobnih podataka, prvenstveno u pogledu praćenja propisa iz područja zaštite osobnih podataka te primjerne odgovarajućih mjera zaštite osobnih podataka iz članka 18. citiranog Zakona.

Organizacijske mjere zaštite osobnih podataka u smislu članka 18. Zakona o zaštiti osobnih podataka odnose se na obvezu donošenja propisa/internih akata od strane voditelja zbirke osobnih podataka. Pa je tako primjerice internim aktom voditelja zbirke osobnih podataka moguće regulirati/definirati načine obavljanja identifikacije korisnika usluga ili način pristupa zbirkama osobnih podataka.

Vezano za nedvojbeno utvrđivanje identiteta korisnika Vaših usluga navodimo kako je sukladno odredbama Zakona o zaštiti osobnih podataka potrebno postojanje zakonite svrhe i pravnog temelja. U vezi s time napominjemo da ste dužni voditi računa o opsegu prikupljanja tj. da se prikupljaju samo podaci koji su nužni za ostvarivanje svrhe te se ti podaci smiju obrađivati samo u svrhu zbog koje se prikupljaju. Slijedom navedenog, preporuka ove Agencije je da primjenom načela zakonitosti i razmjernosti  u obradi osobnih podataka svojim internim aktom odredite svrhu i opseg prikupljanja osobnih podataka korisnika Vaših usluga.

Isto tako, vezano za prikupljanje preslike osobnih dokumenata (osobne iskaznice) stajalište je ove Agencije da ste dužni poduzeti sve mjere zaštite koje su primjerene naravi takvih dokumenata odnosno osobnih podataka koji se na njima nalaze. Stoga, dajemo preporuku o potrebi vođenja posebne evidencije o prikupljanju takvih preslika i obvezivanje osobe koje su zaposlene u obradi osobnih podataka na potpisivanje izjave o povjerljivosti čuvanja podataka i upoznavanje sa posljedicama koje mogu proizaći ukoliko se ne poštuju navedene upute. Vođenjem takvih evidencija spriječilo bi se nepotrebno prikupljanje preslika osobnih dokumenata koje već posjedujete u svojim zbirkama osobnih podataka (primjerice: prilikom prvog sklapanja ugovora sa korisnikom Vaših usluga dovoljno je prikupiti presliku njegove osobne iskaznice).

Također, kod pružanja Vaših usluga već potojećem korisniku čiji podatke (određenu dokumetaciju) već posjedujete u svojim bazama/zbirkama ukazujemo da se svrha identificiranja odnosno provjere identiteta korisnika usluga može postići na manje invazivan način u smislu da se vrši uvid u identifikacijski dokument korisnika usluga (osobnu iskaznicu).

Ukazujemo i na primjenu članka 20. Zakona o zaštiti osobnih podataka kojim je propisano kako je voditelj zbirke osobnih podataka u slučaju ako utvrdi da su osobni podaci nepotpuni, netočni ili neažurni dužan ih je sam dopuniti i izmijeniti. Iz navedenog proizlazi kako postoji zakonska obveza voditelja zbirke osobnih podataka da u zbirkama osobnih podataka vodi točne i  potpune podatke.

Shodno iznesenom, ukazujemo na obveznu primjenu članka 6, 7., 9., 18 i 20. Zakona o zaštiti osobnih podataka, a sve kako bi prikupljanje i daljnja obrada osobnih podataka korisnika usluga bila zakonita i opravdana/svrhovita. Osobito naglašavamo nužnost primjene načela povjerljivosti  i zaštite osobnih podataka od strane voditelja zbirke osobnih podataka, a tako i ostalih osoba koje rade u obradi osobnih podataka u cilju sprječavanja mogućih zlouporaba osobnih podataka.
Naposljetku, ukazujemo kako je vrlo važno uspostaviti odgovarajući (pouzdan) komunikacijski kanal, te odnos međusobnog povjerenja između voditelja zbirke osobnih podataka, i ispitanika/korisnika usluga kako bi ispitanik/korisnik usluge u svakom trenutku bio adekvatno informiran o svim okolnostima obrade njegovih osobnih podataka iz članka 9. citiranog Zakona, prvenstveno o tome tko obrađuje njegove osobne podatke, o svrsi obrade njegovih osobnih podataka te opsegu (vrsti) osobnih podataka koji se obrađuju te tko su eventualni primatelji osobnih podataka. Ujedno, napominjemo da se predmetna preporuka daje u svrhu unapređenja zaštite osobnih podataka osobito s ciljem kako bi u budućnosti obrada osobnih podataka Vaših korisnika usluga bila usklađena sa Zakonom o zaštiti osobnih podataka i posebnim propisima

 
 
  Natrag