Prikupljanje i obrada osobnih podataka u svrhu izrade pametne kartice HŽ-a


Prikupljanje i obrada osobnih podataka u svrhu izrade pametne kartice HŽ-a


Vezano uz brojne upite građana Agencija je zatražila Vaše očitovanje te ste se o istome očitovali ovoj Agenciji 29. rujna 2017. godine i 20. listopada 2017. godine, a vezano uz prikupljanje i obradu osobnih podataka u svrhu izrade pametne kartice HŽ-a  sukladno čl.33.  st. 1. podst. 7. Zakona o zaštiti osobnih podataka („Narodne novine“, broj:106/12, pročišćeni tekst, dalje u tekstu: ZZOP), dajemo preporuku za postupanje u svrhu prilagodbe obrasca “Zahtjev za izradu pametne kartice“ te unapređenja zaštite osobnih podataka na sljedeći način: 

Osobni podaci moraju se obrađivati pošteno i zakonito odnosno za obradu osobnih podataka mora postojati zakonita svrha i odgovarajući pravni temelj. Osobni podaci mogu se prikupljati i dalje obrađivati u svrhu s kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja. Osim toga osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati  u većem opsegu  nego što je to nužno da bi se postigla utvrđena svrha (članak 6. ZZOP-a).

Člankom 7. st. 1. ZZOP-a  regulirani su pravni temelji za obradu osobnih podataka tj.   osobni podaci smiju se prikupljati i dalje obrađivati, između ostalog, isključivo uz privolu ispitanika, u slučajevima određenim zakonom te u drugim taksativno navedenim slučajevima u predmetnom članku Zakona.

Prije prikupljanja bilo kojih osobnih podataka, voditelj zbirke osobnih podataka ili izvršitelj obrade dužan je informirati ispitanika čiji se podaci prikupljaju o identitetu voditelja zbirke osobnih podataka, o svrsi obrade u koju su podaci namijenjeni, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, o primateljima ili kategorijama primatelja osobnih podataka te da li se radi o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama uskrate davanja podataka. U slučaju obveznog davanja osobnih podataka navodi se i zakonska osnova za obradu osobnih podataka (čl.9.Zakona o zaštiti osobnih podataka).

Voditelj zbirke osobnih podataka i primatelj dužni su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te utvrditi obvezu osoba koje su zaposlene u obradi podataka  na potpisivanje izjave o povjerljivosti (čl. l8.ZZOP-a ).

U vezi s prikupljanjem i daljnjom obradom osobnih podataka budućih korisnika pametne kartice HŽ-a, a čije osobne podatke prikupljate i dalje obrađujete putem obrasca  Zahtjev za izradu pametne kartice ova Agencija je kao nadzorno tijelo konstatirala određene nedostatke i nepravilnosti koje je potrebno uskladiti kako bi prikupljanje i daljnja obrada osobnih podataka bila u skladu sa Zakonom o zaštiti osobnih podataka. Naime, uvidom u navedeni obrazac koji je s danom pisanja ove preporuke dostupan na sljedećem linku: http://www.hzpp.hr/pametne-kartice?p=271 utvrđeno je da je naveden sljedeći opseg podataka  kao obvezan: ime i prezime, OIB, adresa, grad/mjesto, poštanski broj, država, datum rođenja, spol. Dakle, razvidno je kako je obvezan spol koji kako navodite u svojem očitovanju od 29. listopada 2017. godine služi za ostvarivanje pogodnosti temeljem skupljenih nagradnih bodova od strane poslovnih partnera HŽ Putničkog prijevoza, što nije u skladu s pravom ispitanika da dade pristanak/suglasnost za loyality program, da o obradi osobnih podataka u svrhu marketinga bude prethodno obaviješten, odnosno prethodno dade svoju privolu za obradu osobnih podataka u točno utvrđenu svrhe da u svakom trenutku može odustati od obrade osobnih podataka u svrhu marketinga. S obzirom da, iz sadržaja obrasca koji je dostupan na gore navedenom linku nije razvidno da se spol prikuplja u svrhu sakupljanja nagradnih bodova, a  također  ukoliko osoba dade svoju suglasnost da želi primati obavijesti i ponude HŽ-a putničkog prijevoza nije navedena opcija opoziva/uskrate dane privole za slanje obavijesti i ponuda HŽ-a. Stoga se prikupljanje navedenih podataka smatra prekomjernim u odnosu na svrhu obrade osobnih podataka.

Nadalje, osobe koje daju svoju podatke u svrhu izrade pametne kartice nisu u navedenom obrascu upoznate sa svojim pravom na pristup podacima i pravu na ispravak podataka kako to propisuje čl.9. ZZOP-a i Opća uredba o zaštiti podataka 2016/679. Isto tako,  u obrascu se ne navode eventualni drugi primatelji i korisnici osobnih podataka, što je također zakonska obveza voditelja zbirke osobnih podataka (u konkretnom slučaju: HŽ-a) da ispitanike prethodno upozna sa primateljima osobnih podataka.

Ujedno skrećemo pozornost da su informacije koje je voditelj zbirke osobnih podataka dužan pružiti ispitaniku propisane i novom regulativom u području zaštite osobnih podataka-Općom uredbom o zaštiti podataka koja će se izravno primjenjivati u svim državama članicama Unije, pa tako i Hrvatskoj od svibnja 2018 godine. Stoga je uputno navedeni obrazac kao i Opće uvjete  poslovanja i odredbe Tarife 101 uskladiti s Općom uredbom o zaštiti podataka. Budući da navedeni Uvjeti koji su dostupni na navedenom linku nisu prilagođeni novom sustavu pametnih kartica  potrebno je u internim aktima unijeti/propisati novi sustav te upoznati u  takvom pisanom dokumentu korisnike sa obradom njihovih osobnih podataka.

Također, naglašavamo da je potrebno internim aktima propisati način obrade te educirati službenike koji rade na šalterima/prodajnim mjestima HŽ-a te ih obvezati na savjesno i odgovorno postupanje sa prikupljenim osobnim podacima.

U vezi s time naglašavamo da česta edukacija djelatnika o postupanju s osobnim podacima te jačanje svijesti da s osobnim podacima treba postupati na zakonit način i uz dužnu pažnju kao i potreba informiranja ispitanika o obradi osobnih podataka pokazala se kroz rad ove Agencija kao jedna od vrlo bitnih mjera u zaštiti osobnih podataka jer je upravo ljudski faktor prva stepenica u podizanju svijesti o potrebi zaštite osobnih podataka, te ključan čimbenik povjerenja građana u  rad institucija koje obrađuju njihove osobne podatke. 

Slijedom svega navedenog, preporuka je ove Agencije, kao tijela koje nadzire provođenje zaštite osobnih podataka te rješava zahtjeve za utvrđivanje povrede prava zajamčenih Zakonom o zaštiti osobnih podataka, da  predmetni obrazac kao i interni akt u kojima se upoznaje buduće korisnike pametne kartice sa njihovim pravima i dužnostima uskladite sa odredbama Zakona o zaštiti osobnih podataka a sve sukladno navedenim uputama te molimo da nas o postupanju po ovoj preporuci izvijestite u najkraćem mogućem roku.

 
 
  Natrag