Prikupljanje i obrada osobnih podataka maloljetnika


Prikupljanje i obrada osobnih podataka maloljetnika


Agencija za zaštitu osobnih podataka zaprimila je predstavku podnositeljice vezano uz obradu osobnih podataka maloljetnika putem kviza koji je objavljen povodom Dana sigurnije interneta na Vašoj internetskoj stranici. 

Ova Agencija je dana 02. ožujka 2017. godine provela izravni nadzor u Centru o čemu je sastavljen zapisnik u kojemu je utvrđeno kako je predmetna udruga kao voditelj zbirke osobnih podataka organizirao dana 07. veljače 2017. godine Dan sigurnijeg interneta uz potporu Sveučilišta iz O., Grada O. i društva V.d.o.o. U sklopu navedenog programa organizirao se web kviz putem kojeg su učenici osnovnih škola imali mogućnost sudjelovati u istom. U tijeku nadzora predstavnici predmetnog voditelja zbirke osobnih podataka su priložili popis osnovnih škola (na području Republike Hrvatske, Bosne i Hercegovine i Srbije) koje su se prijavile za sudjelovanje u programu vezano uz obilježavanje Dana sigurnije interneta.

Predstavnici predmetnog voditelja zbirke osobnih podataka objasnili su kako su učenici tijekom dana 07.02.2017.godine u terminu od 07:00 do 19:00 sati imali omogućen pristup kvizu putem Internet stranice www.danisigurnijeginterneta.org, a prethodno je bilo potrebno ispuniti registracijski obrazac (odabir prema državi u kojoj je sjedište škole: Hrvatska, Bosna i Hercegovina i Srbija) sa sljedećim osobnim podacima učenika/sudionika u natjecanju putem kviza: ime, prezime, spol, razred, telefon, adresa, mjesto, ime škole. Također, predstavnici predmetnog voditelja zbirke osobnih podataka izjavili su kako su se prilikom popunjavanja registracijskog obrasca učenicima/učiteljima dodatno na ekranu (tzv. „pop-up“) bile dostupne upute/informacije vezano uz zaštitu osobnih podataka. Isti su izjavili kako Centar nije tražio privolu roditelja/skrbnika učenika za obradu osobnih podataka učenika/sudionika kviza (niti su bile kreirane službene upute/pravila za sudjelovanje u kvizu) jer smatraju da su roditelje/skrbnike o istom trebale informirati škole koje su se prijavile za sudjelovanje u predmetnom kvizu a iste škole su dobile u sklopu programa Dana sigurnijeg interneta Edukacijski paket vezan uz teme sigurnijeg interneta koji je bio podijeljen po školama koje su se prijavile (te objavljen na Internet stranici) u kojem su se nalazili materijali za učenike, učitelje i roditelje. Na web stranicama koje vodi Centar (u rubrici O Centru/Dokumenti/Pravila zaštite osobnih podataka djece i u rubrici O nama/ Pravila zaštite osobnih podataka djece) objavljen je dokument pod nazivom Zaštita osobnih podataka djece na web stranicama Centra.

Nadalje u tijeku nadzora je utvrđeno kako je popis učenika/dobitnika nagrada i pravila izvlačenja nagrada koji su bili javno objavljeni putem Internet stranice www.danisigurnijeginterneta.org predstavnici predmetnog voditelja zbirki osobnih podataka dostavili su na uvid a objava dobitnika između ostalog sadržavala je slijedeće osobne podatke učenika: ime, prezime, poštanski broj i/ili mjesto i  naziv škole. Također na stranici www…u rubrici O Projektu/Najnovije nalazili  se poveznica Rezultati i dobitnici nagrada, a otvaranjem iste dobije se sadržaj članka pod nazivom „Rezultati i dobitnici nagrada“ u čijem se sadržaju, između ostalog, nalazi poveznica Rezultati se nalaze OVDJE a otvaranjem iste (u tijeku obavljanja ovog nadzora) dobije se profil Centra sklopu Internet stranice Facebook društvene mreže koja sadrži članak od 07.02.2017. u čijem sadržaju su objavljeni osobni podaci učenika/dobitnika nagrada i to sljedeći opseg osobnih podataka: ime i prezime. Stoga je razvidno kako su u tijeku obavljanja nadzora osobni podaci učenika/dobitnika nagrada bili javno objavljeni/dostupni putem Facebook društvene mreže u sadržaju profila Centra.
Centar ima sklopljen Ugovor o održavanju informacijskog sustava sa društvom Otis d.o.o. iz Osijeka od dana 30.12.2016.g. (Prilog 12).
Predstavnik izvršitelja obrade osobnih podataka (društvo OTIS d.o.o.) je u tijeku nadzora objasnio je kako se poslužitelj/server (na kojem su bili pohranjeni osobni podaci učenika/sudionika kviza) nalazi u prostorima izvršitelja obrade osobnih podataka te je naknadno dostavio u Agenciju putem e-poruke od 03.03.2017.godine očitovanje o brisanju osobnih podataka učenika/sudionika kviza i objašnjenje o tehničkoj funkcionalnosti baze podataka.

S aspekta pravnog okvira zaštite osobnih podataka ova Agencija kao neovisno nadzorno tijelo u području zaštite osobnih podataka u Republici Hrvatskoj sukladno članku 33. stavku 1. podstavku 7. Zakona o zaštiti osobnih podataka daje preporuku za unapređenje zaštite osobnih podataka te upozorava na obveznu primjenu odredaba Zakona o zaštiti osobnih podataka prilikom obrade osobnih podataka fizičkih osoba, osobito maloljetnih osoba.

Osobni podaci moraju se obrađivati pošteno i zakonito, te se mogu prikupljati u svrhu s kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja. Nadalje, osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha (članak 6. Zakona o zaštiti osobnih podataka).

Sukladno članku 7. stavku 1. Zakona o zaštiti osobnih podataka osobni podaci se, između ostalog, smiju prikupljati i dalje obrađivati isključivo uz privolu ispitanika, u slučajevima određenim zakonom, u svrhu sklapanja i izvršenja ugovora u kojem je ispitanik stranka te u drugim taksativno navedenim slučajevima u predmetnom članku. Isto tako za obradu osobnih podataka mora postojati zakonita svrha od strane voditelja zbirke osobnih podataka, odnosno osobni podaci moraju se obrađivati pošteno i zakonito. U stavku 3. istog članka  propisano da se osobni podaci koji se odnose na maloljetne osobe smiju prikupljati i dalje obrađivati u skladu s Zakonom o zaštiti osobnih podataka i uz posebne mjere zaštite propisane posebnim zakonom.

Osobni podaci u zbirkama osobnih podataka moraju biti odgovarajuće zaštićeni od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena te drugih zlouporaba. Voditelj zbirke osobnih podataka i primatelj dužni su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te utvrditi obvezu osoba koje su zaposlene u obradi podataka, na potpisivanje izjave o povjerljivosti (članak l8. citiranog Zakona).

Poglavito upozoravamo na primjenu članka 18. Zakona o zaštiti osobnih podataka, odnosno ovim putem upućujemo na potrebu zaštite osobnih podataka u punom opsegu kadrovskih, organizacijskih i tehničkih mjera zaštite kako ne bi dolazilo do zlouporabe osobnih podataka. Stoga ukazujemo na obvezu poduzimanja organizacijskih i tehničkih mjera zaštite kako osobni podaci maloljetnih osoba ne bi bili dostupni neovlaštenim osobama, a što bi, između ostalog, prvenstveno značilo da svi sudionici (djeca, roditelji/zakonski zastupnici, škole i sl.) u predmetnom projektu koji se provodi putem Dana sigurnije interneta budu adekvatno informirani o voditelju zbirke osobnih podataka, pravnom temelju (privola), svrsi prikupljanja (sudjelovanje u kvizu), opsegu osobnih podataka koji se u točno utvrđenu svrhu prikuplja te vremenskom roku korištenja osobnih podataka. Nadalje, s obzirom kako je u tijeku nadzora utvrđeno da su osobni podaci djece koja se osvojila nagrade bila javno dostupna na internetskoj stranici te na Vašem profilu na društvenoj mreži Facebook u sljedećem opsegu: ime i prezime, ovim putem upućujemo da za navedenu javnu objavu osobnih podataka putem interneta, isti moraju biti obaviješteni prije nego popune obrazac za prijavu sukladno članku 9. Zakona o zaštiti osobnih podataka. Navedene informacije bi bilo uputno isto učiniti javno dostupnim na internetskoj stranici na kojoj se ispunjava predmetni kviz. Agencija za zaštitu osobnih podataka je stajališta da se osobni podaci maloljetne djece ne bi smjeli objavljivati na internetu, osobito ako isto nije uređeno posebnim zakonom ili nema izričite privole zakonskih zastupnika maloljetne djece. Kod obrade osobnih podataka u svrhu činjenja dostupnim istih, potrebno je obazrivo pristupiti objavi osobnih podataka na internetu kao globalnoj mreži, na kojoj podaci koji se jednom objave postanu javno dostupni širokom krugu osoba, a što može dovesti do mogućih zlouporaba i neovlaštenog korištenja osobnih podataka.

Zaključno naglašavamo, da je potrebno voditi brigu o načelu razmjernosti prilikom prikupljanja i obrade osobnih podataka osobito maloljetnih osoba, odnosno da se u konkretnom slučaju prikuplja samo nužan opseg osobnih podataka primjerice ime i prezime, razred, škola koju učenik pohađa te država, dok bi svi ostali osobni podaci koji prikupljaju i obrađuju izlazili van okvira nužnosti s obzirom na svrhu prikupljanja, kao i uzimajući u obzir činjenicu da se nagrade dobitnicima šalju i uručuju u njihovim školama.

 
 
  Natrag