Prije nekoliko mjeseci razgovarali smo s Franjom Lackom, ravnateljem Agencije za zaštitu osobnih podataka o tome što su to osobni podaci, tko sve ima obvezu prijavljivati zbirke osobnih podataka Agenciji, što se događa s onima koji prikupljaju podatke koje ne bi smjeli i sl. Od tada je prošlo deset mjeseci. U ponovnom razgovoru s gospodinom Lackom provjerili smo što je u međuvremenu urađeno.

Koliko je zbirki osobnih podataka dostavljeno Središnjem registru?

Do sada nam je dostavljeno 1500 zbirki, ali procjenjujemo da je ukupan broj takvih zbirki u Hrvatskoj oko 90 000. Do kraja ove godine mogli bi u Središnjem registru imati oko 60 000 zbirki, dakle dvije trećine od ukupnog broja. Zbirke podataka koje imaju o svojim korisnicima ili zaposlenicima moraju nam dostaviti sve tvrtke i institucije u Hrvatskoj. Važno je napomenuti da nam oni ne dostavljaju osobne podatke zaposlenika, korisnika i članova poput imena i prezimena, matičnog broja, adrese i dr., već samo prijavljuju posjedovanje zbirki i navode koje osobne podatke zbirke sadrže.

Zbog čega je broj dostavljenih zbirki tako mali?

Očito zakonski obveznici nisu dovoljno informirani. Zakon o zaštiti osobnih podataka veoma je precizan kad je riječ o tome koje su njihove obveze. Nažalost, tvrtke i institucije nisu to shvatile ozbiljno i o zaštiti osobnih podataka ne vode brigu. Estradne zvijezde u Hrvatskoj dobiju više pozornosti javnosti nego zaštita osobnih podataka pojedinaca.

Što ste napravili da se broj poveća?

Bili smo u nadzoru u 350 tvrtki, od kojih smo protiv 100 podigli kaznene prijave, jer nam ni nakon roka od 15 dana koji smo im odobrili, nisu dostavili podatke o svojim zbirkama. Iako je ova mjera prilično nepopularna, mi je moramo koristiti u provedbi zakona. Zakon o zaštiti osobnih podataka nije nikoga izuzeo od obveze prijave zbirki osobnih podataka, ali neki očito imaju premalo interesa u ispunjavanju svoje obveze.

Da li ste i na koji način educirali zakonske obveznike?

U najvećim hrvatskim gradovima održali smo seminare za velike tvrtke i nekoliko konferencija o privatnosti osobnih podataka i taj vid edukacije ćemo pojačati.

Kako su fakulteti agilni u dostavljanju podataka?

Fakulteti jako kasne u ispunjavanju svoje obveze. Nekoliko fakulteta dostavilo nam je zbirke, ali najveći broj još nije.

Koja je procedura da netko prijavi zbirku osobnih podataka?

Tvrtka ili institucija najprije treba odrediti voditelja zbirke podataka, jer zakon ne određuje tko će to biti na bilo kojoj instituciji. Podaci koji se vode o zaposlenicima ili članovima trebaju se potom sistematizirati i dostaviti Agenciji. To se može napraviti elektronskim putem ili poštom. Najveći broj zbirki podataka, čak 99 posto dobili smo elektroničkim putem, a tek jedan posto poštom.

Da li tvrtke i institucije u kojima se na porti morate identificirati da bi uopće ušli u zgradu moraju tu zbirku podataka dostaviti Agenciji?

Osobe koje prolaze kroz takvu vrstu identifikcije sigurno se nalaze u bazama podataka o ulascima i izlascima. Navedene tvrtke i institucije trebale bi prijaviti te zbirke Agenciji. Iako one uzimaju takve podatke radi svoje sigurnosti, moraju znati da te podatke ne smiju ustupati trećim korisnicima. Iznimka je policija, ali isključivo ako je u pitanju provala ili neki sličan povod.

CARNet za tečajeve koje vodi uzima određene osobne podatke od korisnika, pa da li i oni trebaju imati na web stranici upozorenje u koje se svrhe uzimaju čiji podaci i do kada se čuvaju?

Na web stranici treba pisati upozorenje da se podaci koje daju korisnici uzimaju za određenu svrhu. Kad im istekne svrha i primjeren vremenski rok ti se podaci moraju brisati ili depersonalizirati.

Ako u nekoj trgovini kupimo proizvod karticom da li ta trgovina tretira to kao poslovni ili osobni podatak?

To je poslovni podatak do trenutka kad trgovina ne počne raditi zbirku podataka od toga. Trgovine ne bi smjele voditi podatke o meni na temelju moje kupovine, jer na taj način mogu vidjeti što sam kupio, koje su moje potrošačke navike, kakva mi je platežna moć i dr. Da bi to spriječili počeli smo ići u nadzor takvih pravnih osoba.

Što ste pritom otkrili?

Do sada smo bili na samo jednom mjestu (kad su u pitanju velike robne kuće), a ubuduće ćemo u nadzor odlaziti s informatičarem i pravnicima, kako bi utvrdili sve nepravilnosti. Imamo anonimnih dojava da trgovine te podatke dalje prosljeđuju i to moramo spriječiti, odnosno sankcionirati.

Imate li uopće bilo kakvih procjena koliko je takvih nepravilnosti?

To je teško procjeniti. Tek smo započeli s radom, ali kad dobijemo anonimnu dojavu odlazimo na teren. Do sada smo imali iskustvo da pravne osobe odmah ispravljaju sve utvrđene nepravilnosti. Bilo je slučaja da su neki poslodavci vodili evidencije o seksualnim sklonostima i vjeroispovjesti svojih zaposlenika, ali su to izbrisali kad smo došli u nadzor.

Kako komentirate incijativu banaka da tri godine na crnoj listi čuvaju podatke o nekome tko je imao minus na tekućem računu?

S takvom praksom mi se ne slažemo i kad provjerimo sve činjenice Agencija će dati svoje mišljenje. Postoji mogućnost da zatražimo provjeru ustavnosti nekih zakona koji reguliraju bankarsko poslovanje, jer su u koliziji sa zaštitom osobnih podataka pojedinaca. Više se ne bi smjelo događati da fakultet na Internetu objavi osobne podatke studenata koji su varali na ispitu, jer se obznanjivanjem unutar fakulteta postiže svrha kažnjavanja i štiti privatnost u mjeri koja je u ovom slučaju primjerena. Iz istog se razloga i podaci na pr. o prekršajnim kaznama brišu nakon određenog vremena, kako ljudi koji su u jednom trenutku počinili prekršaj ne bi time bili trajno obilježeni.