Objavljeno: 26.1.2022.
Agencija za zaštitu osobnih podataka (u daljnjem tekstu: Agencija) zaprimila je Vaš općenit upit vezan za skeniranje/fotokopiranje osobne iskaznice. Nastavno na navedeno, s aspekta propisa o zaštiti osobnih podataka, dajemo sljedeći načelan odgovor:
Od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj na području zaštite osobnih podataka, izravno i obvezujuće se primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 koja u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Člankom 5. Opće uredbe o zaštiti podataka propisana su načela obrade osobnih podataka. Osobni podaci moraju biti: (a) zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenosti transparentnost”); (b) prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”); (c) primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”); (d) točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”); (e) čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih Općom uredbom o zaštiti podataka radi zaštite prava i sloboda ispitanika („ograničenje pohrane”); (f) obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”).
Sukladno članku 6. Opće uredbe o zaštiti podataka obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Dakle, člankom 6. Opće uredbe o zaštiti podataka utvrđeni su uvjeti zakonite i poštene obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu.
Uvažavajući načela poštene i transparentne obrade, voditelj obrade je sukladno članku 13. Opće uredbe o zaštiti podataka, ukoliko se osobni podaci prikupljaju od ispitanika, dužan pružati svojim ispitanicima sve informacije o obradi njihovih osobnih podataka (primjerice: o svom identitetu, o službeniku za zaštitu podataka, upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, o primateljima ili kategorijama primatelja osobnih podataka) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ih upoznati sa njihovim pravima koja im pripadaju sukladno Općoj uredbi o zaštiti podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Također, ističemo kako je voditelj obrade sukladno članku 25. i 32. Opće uredbe o zaštiti podataka dužan poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima.
Nadalje navodimo kako je Zakonom o osobnoj iskaznici („Narodne novine“, broj 62/15 i 42/20) kao posebnim zakonom propisano da je osobna iskaznica elektronička javna isprava kojom državljanin Republike Hrvatske dokazuje identitet, hrvatsko državljanstvo, spol, datum rođenja i prebivalište u Republici Hrvatskoj (članak 1. predmetnog Zakona).
Slijedom navedenog, a s obzirom na općenitost Vašeg upita, ističemo kako za svaku obradu osobnih podataka mora postojati zakonita svrha i pravna osnova iz članka 5. i 6. Opće uredbe o zaštiti podataka. Stoga u konkretnom slučaju voditelj obrade koji traži presliku osobne iskaznice/ostalih dokumenata mora navesti odnosno dokazati postojanje zakonite svrhe i pravne osnove iz članka 5. i 6. Opće uredbe o zaštiti podataka za njihovo dobivanje. Isto tako, voditelj obrade dužan je sukladno člancima 25. i 32. Opće uredbe o zaštiti podataka provoditi odgovarajuće tehničke i organizacijske mjere kako bi se osigurala odgovarajuća razina sigurnosti osobnih podataka.