Obrada osobnih podataka studenata na web stranici fakulteta


Obrada osobnih podataka studenata na web stranici fakulteta


Uslijed mnogobrojnih pritužbi građana, posebice studenata o objavi njihovih osobnih podataka na rang listama za upis na pojedini fakultet Agencija je utvrdila kako fakulteti objavljuju rang liste budućih polaznika na način da ne vode brigu o opsegu podataka koji se objavljuju. Utvrđeno je da se rang liste budućih polaznika fakulteta objavljuju na način da objavljuju osobne podatke u prekomjernom opsegu koji nije nužan za postizanje zakonite svrhe (dobivanje informacija o testiranju) odnosno da su rang liste koje sadrže osobne podatke studenata objavljene na intemetu te da takve ostaju javno dostupne i prestankom svrhe. S obzirom da se opisanim načinom postupanja obrađuju osobni podaci s ciljem zaštite osobnih podataka sukladno članku 33. stavku 1. podstavku 7. Zakona o zaštiti osobnih podataka (,,Narodne novine", broj:106/ 12, pročišćeni tekst, dalje u tekstu: ZZOP) daje preporuku za obradu osobnih podataka budućih studenata tj budućih polaznika Sveučilišta u Republici Hrvatskoj te unapređenja zaštite osobnih podataka na sljedeći način:

Osobni podaci moraju se obrađivati pošteno i zakonito odnosno za obradu osobnih podataka mora postojati zakonita svrha i odgovarajući pravni temelj. Osobni podaci mogu se prikupljati i dalje obrađivati u svrhu s kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja. Osim toga osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati u vecćem opsegu nego što je to nužno da bi se postigla utvrdena svrha (članak 6. ZZOP-a).

Sukladno članku 7. stavku 1. Zakona o zaštiti osobnih podataka osobni podaci se, između ostalog, smiju prikupljati i dalje obradivati iskljuéivo uz privolu ispitanika, u sluéajevima odredenim zakonom, u svrhu sklapanja i izvréenja ugovora u kojem je ispitanik stranka te u drugim taksativno navedenim slučajevima u predmetnom članku.

Člankom 12. Zakona o zaštiti osobnih podataka propisano je da se osobni podaci mogu koristiti samo u vremenu koje je nužno za ostvarenje određene svrhe, osim ako posebnim zakonom nije određeno duže razdoblje. Protekom vremena iz stavka 1. ovoga članka osobni podaci moraju se brisati, ako se posebnim zakonom što drugo ne odredi.

Osobni podaci u zbirkama osobnih podataka moraju biti odgovarajuće zaštićeni od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena te drugih zlouporaba. Voditelj zbirke osobnih podataka i primatelj dužni su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te utvrditi obvezu osoba koje su zaposlene u obradi podataka na potpisivanje izjave o povjerljivosti (članak 18. citiranog Zakona).

Dakle, temeljem navedenih odredbi proizlazi da svaki voditelj zbirke osobnih podataka, pa tako u konkretnom slučaju i fakultet mora voditi brigu o opsegu obrade (objave) osobnih podataka. Svaki voditelj zbirke osobnih podataka mora primjenom načela razmjernosti obrađivati (objavljivati) podatke samo u opsegu koji je nužan za postizanje zakonite svrhe. Podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se podaci obrađuju.

Isto tako, bitno je istaknuti obvezu fakulteta kao voditelja zbirki osobnih podataka da su dužni voditi brigu o dostupnosti podataka na intemetu kao i o vremenskom razdoblju dostupnosti podataka/rang lista. Naime, Agencija je kao nadzorno tijelo u zaštiti osobnih podataka uočila da se rang liste pojavljuju upisom osobnih podataka u internetske tražilice tj. upisom ključnih riječi/osobnog podatka (ime i prezimena osobe) te da se rang liste polaznika nalaze dostupne putem Interneta, osobito tražilice Google-a, i dr. bez obzira što je protekla svrha njihove objave. U tom smislu skrećemo pozornost na poduzimanje odgovarajućih mjera zaštite koje su propisane postojećim zakonodavstvom i (31.5. Opće uredbe o zaštiti podataka 2016/679) koja će se izravno primjenjivati u Republici Hrvatskoj od svibnja 2018. godine koji propisuje da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obraduju te čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo  koliko je potrebno u svrhe radi koje se osobni podaci obrađuju.

Takoder skrećemo pozornost i na objavu rezultata ispita na web stranicama fakulteta tj. na slučajeve kada pojedine katedre fakulteta objavljuju na intemetu osobne podatke studenata vezano za rezultate ispitnih postupaka. Naime, vodeći brigu o dostupnosti podataka na internetu, a uzimajući u obzir svrhu objave rezultata ispita smatramo da je potrebno poduzimati odgovarajuće mjere zaštite (umjesto imena i prezimena studenata koristiti neku identifikacijsku oznaku primjerice jedinstveni matični broj studenta koju zna samo fakutlet i student na kojeg se odnosi), a sve s ciljem neovlaštenog raspolaganja s osobnim podacima studenata vezana uz njihov uspjeh na ispitu širem krugu osoba.

Bitno je istaknuti kako navedena preporuka služi kao smjernica za postupanje prilikom obrade osobnih podataka budućih polaznika fakulteta u Republici Hrvatskoj, a podizanje svijesti u zaštiti privatnosti, uzimajući u obzir brz razvoj suvremenih tehbnologija, a samim time i obradi osobnih podataka putem istih ključan je čimbenik i prvi korak u sprečavanju zlouporabe osobnih podataka. Naglašavamo da ne postupanje po preporuci u slučaju podnošenja zahtjeva za zaštitu prava sukladno čl. 24. Zakona o zaštiti osobnih podataka rezultira provođenjem upravnog i eventualno prekršajnog postupka.

Slijedom svega navedenog, preporuka je ove Agencije, kao tijela koje nadzire provođenje zaštite osobnih podataka te rješava zahtjeve za utvrđivanje povrede prava zajamčenih Zakonom o zaštiti osobnih podataka, da fakulteti prilikom svake obrade osobnih podataka studenata, točnije objave osobnih podataka na internetskim stranicama vode brigu o vremenskom razdoblju objave takvih podataka i obradi podataka u nužnom opsegu osobito uzimajući u obzir da je Internet medij koji pruža mogućnost da takvi podaci budu dostupni širokom krugu osoba te iz tog razloga predstavljaju potencijalnu opasnost za moguću zlouporabu osobnih podataka.

 
 
  Natrag