6.6.2019.

Agencija za zaštitu osobnih podataka zaprimila je mnogobrojne upite građana vezane za zaprimanje računa za potrošnju koji nisu kuvertirani. 

Slijedom navedenog, Agencija za zaštitu osobnih podataka kao mjerodavno tijelo u području nadzora nad zaštitom osobnih podataka sukladno članku 57 st. 1. podstavku 4. Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 dala je preporuku za unapređenje zaštite u obradi osobnih podataka:

Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju. Također istim člankom propisano je kakao osobni podaci moraju biti točni i prema potrebi ažurni, odnosno moraju se poduzeti svaka razumna mjera radi osiguranja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo točnosti osobnih podataka).

Pravni temelji za obradu osobnih podataka propisani su člankom 6. Opće uredbe u kojem je, između ostalog, propisano kako je obrada zakonita samo ako i u onoj mjeri u kojoj je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora ili je obrada nužna radi poštivanja pravnih obveza voditelja obrade te u drugim taksativno navedenim slučajevima u predmetnom članku.

Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Osobito bitnim ukazujemo kako je voditelj obrade osobnih podataka, dužan obrađivati osobne podatke na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).

Dakle, iz navedenog proizlazi kako je obveza voditelj zbirke osobnih podataka da poduzima i provodi sve odgovarajuće mjere zaštite osobnih podataka.

Stoga, napominjemo kako je sukladno propisima iz područja zaštite osobnih podataka voditelji obrade dužan poduzimati  i provoditi odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka koje prije svega imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima. Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu. Također, u vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).

Slijedom svega navedenog, imajući pri tome u vidu odredbe Opće uredbe o zaštiti podataka smatramo da bi se u konkretnom slučaju pismena (računi) trebali na prikladan način pakirati i to tako da sadržaj pismena bude na odgovarajući način zaštićen od neovlaštenog uvida i dr. Naime, prijenosom uključivo i stavljanjem pismena u poštanski sandučić bez odgovarajuće zaštite (račun bez omotnice/kuverte, a koji ponekad sadrži velik opseg osobnih podataka) dolazi do opasnosti od zloupotrebe osobnih podataka korisnika usluga, budući da dostavljanjem na neadekvatan način osobni podaci postaju dostupni za to neovlaštenim osobama, odnosno svim osobama koje imaju fizički pristup takvoj pošiljci, od njezinog slanja do preuzimanja od strane primatelja.

Dakle, obavještavanje korisnika (slanje računa) u konkretnom slučaju moguće je postići, po privatnost i osobne podatke manje rizičnom metodom, kojom bi društva ispunila svoje zakonske obveze, a s druge strane bi se na taj način poduzele mjere u svrhu zaštite osobnih podataka i privatnosti fizičkih osoba/korisnika usluga.

Zaključno, zaštita od neovlaštenog pristupa podrazumijeva dostavljane računa u zatvorenim kuvertama putem poštanskih sandučića. Stoga, preporuka Agencije za zaštitu osobnih podataka da se isti kuvertiraju, a sve radi zaštite osobnih podataka korisnika usluga.