S Franjom Lackom, ravnateljem Agencije za zaštitu osobnih podataka razgovarali smo sredinom ožujka u njegovu uredu, na Pantovčaku 256. Agencija za zaštitu osobnih podataka osnovana je u svibnju prošle godine, a njena je zadaća zaštita osobnih podataka i privatnosti.

Čime će se Agencija točno baviti?

Naša je zadaća utvrditi tko o bilo kojem pojedincu vodi zbirku osobnih podataka i temeljem kojih zakona. Agencija u tom smislu neće prikupljati pojedinačne podatke o građanima, nego će samo evidentirati vrste i vlasnike zbirki podataka.

Sve pravne osobe u Hrvatskoj, dakle državna tijela, poduzeća, organizacije... Agenciji moraju dostaviti svoje baze osobnih podataka (evidencije matičnih knjiga, zaposlenih, članova...). Te obveze oslobođeni su jedino USKOK i ministarstva čije su baze podataka obrambenoga karaktera, sigurnosne i najviše državne tajne.

Kakve sve podatke mogu prikupljati pravne osobe?

Ako je netko zaposlen u tvrtki prirodno je da ta tvrtka ima podatke na temelju kojih može isplaćivati plaće. No, zakonom je izričito zabranjeno prikupljanje i obrada podataka poput rasnog ili etičkog podrijetla, političkih stajališta, vjerskih uvjerenja, zdravlja, spolnog života, sudleovanja u kaznenom ili prekršajnom postupku.

Koliko trenutno u Agenciji ima zbirki osobnih podataka?

S obzirom da je Agencija kasnila s osnivanjem, kasnilo je i osnivanje Središnjeg registra u kojemu će se objediniti evidencije s temeljnim informacijama o zbirkama osobnih podataka. U manje od godinu dana rada u registru smo zabilježili stotinjak zbirki osobnih podataka različitih državnih tijela, tvrtki, organizacija, športskih društava i dr. Popunjavanje i stvaranje baze podataka upravo počinje i vjerujem da će do kraja ove godine registar prijeći brojku od 50 tisuća zbirki. Do sredine sljedeće godine imat ćemo i potpunu evidenciju svih zbirki osobnih podataka. U ovome trenutku još nemamo podatak koliki je taj broj. Procjenjujem da bi to mogla biti brojka od oko sto tisuća, koliko otprilike imaju npr. Španjolska ili Češka.

Što je, zapravo, Središnji registar?

Središnji registar je baza podataka o svima koji o građanima vode neke podatke, od naših poslodavaca, policije, sudova, banaka....

Što sve može biti pravni temelj za prikupljanje osobnih podataka?

Temeljem različitih posebnih zakona određeno je koji se sve podaci mogu prikupljati. Primjerice, Zakonom o bankama tim je institucijama omogućeno da prikupljaju potrebne podatke o svojim klijentima i zaposlenicima, neophodne za poslovanje.

Jeste li već do sada uočili da bi se pojedine zbirke osobnih podataka vodile i bez pravnog utemeljenja?

O tome još nemamo pravih spoznaja.

Što se događa ako pojedinac utvrdi da su podaci koje o njemu vodi njegova tvrtka ili neka organizacija netočni ili zastarjeli?

Voditelj zbirke, a to je u ovom slučaju njegova tvrtka, mora ih ispraviti. Pojedinac se može obratiti Agenciji i mi ćemo izdati rješenje pravnoj osobi koje nalaže da podatke dopuni, izmijeni ili obriše. Kad prestane potreba i svrha za prikupljanjem pojedinih podataka, oni se moraju uništiti, izbrisati. Samoj Agenciji zakon ne daje slobodu da oštećenog pojedinca materijalno obešteti, ali mi izdajemo rješenje o zabrani daljnjeg prikupljanja podataka s kojim ošetećena stranka pravdu traži na sudu opće nadležnosti u parničkom postupku.

Na koji sve način Agencija obavlja nadzor nad pravnim osobama koje imaju zbirke osobnih podataka?

Vlasnike zbirki osobnih podataka nadziremo na dva načina. Jedan je da nam se za pomoć obrate osobe koje sumnjaju da poslodavci o njima prikupljaju podatke koje ne bi smjeli. Na njihov zahtjev dolazit ćemo u tvrtke i provjeriti o čemu je riječ. Drugi je način da Agencija nasumce izabrire nekoliko tvrtki ili ustanova za koje naslućuje da vode zbirke osobnih podataka bez pravnog temelja, te se bez najave pojavljuje i traži uvid u sve njihove zbirke.

Mislite li da bi se zloporabe mogle dogoditi i u domeni sistem administratora koji imaju pristup bazama podataka?

Moramo znati tko će sve imati pristup bazama podataka, odnosno tko su ovlašteni i odgovorni ljudi. Jednako tako, moramo prihvatititi izazove informacijskih i internetskih tehnologija, kao i činjenicu da će mogućnost zloporabe biti sve veća. U tom smislu velik dio posla odradit će poseban odjel MUP-a, nadležan za to područje. Mi nemamo tehniku, a nismo ni ovlašteni da protiv nepoznatog počinitelja podižemo tužbe, ali to može učiniti policija. Danas je opasnost zloporaba na tom području postala velika unatoč svim zabranama i vrlo sofisticiranim sustavima zaštite.

Jeste li do sada već uočili neke nepravilnosti u korištenju i stvaranju baza osobnih podataka u Hrvatskoj na području informacijskih tehnologija?

Potreba zaštite privatnosti pojavila se upravo s razvojem IT-a, a tu je mogućnost zloporaba vrlo velika. Informatička tehnologija toliko brzo napreduje da pravno uređenje toga područja za napretkom stalno zaostaje. Mi smatramo da ima pojava nepravilnosti u neovlašenom prikupljanju osobnih podataka na internetu, ali to su samo nagađanja i prepostavke, jer nam se još nitko nije obratio. Najveće zloporabe osobnih podataka i u drugim zemljama otkrivene su upravo na internetu.

Zakon propisuje da će svi podaci iz Središnjeg registra biti dostupni javnosti. Što to znači?

To znači da će svaka osoba moći dobiti uvid u zbirku osobnih podataka koje o njoj vodi tvrtka za koju radi, MUP ili bilo koja druga ustanova ili organizacija čiji je član. Ona neće moći vidjeti tuđe podatke, ali može vidjeti koje sve informacije o njoj postoje u različitim bazama podataka.

Zakon ne propisuje rok u kojemu pojedincu Agencija mora omogućiti uvid u zbirku. Može li se sve to saznati na jednom mjestu?

Agencija će mu omogućiti uvid u evidenciju zbirki osobnih podataka, koja će biti dostupna u elektroničkom obliku. No, uvid u stvarne podatke svaka će osoba moći potražiti tamo gdje se podaci vode, na primjer u tvrtki gdje rade.

U Slovačkoj je pružen velik otpor u stavljanju pod kontrolu policijskih zbirki podataka. Koliko je, od osnivanja Agencije, MUP učinio svoje zbirke dostupnijima javnosti?

Najveće zbirke osobnih podataka o svima nama nalaze se u MUP-u. Mi imamo slobodu ući u MUP i ustanoviti kakve sve oni zbirke podataka vode i vjerujem da ćemo i tamo imati dosta kontrole.

Kako će Agencija postupati ako netko svoje podatke tretira kao službenu, bankarsku ili poslovnu tajnu?

Činjenica je da smo imali nekoliko slučajeva u kojima su se klijenti određenih banaka požalili da one o njima prikupljaju podatke za koje sumnjaju da su u djelokrugu bankarskog sustava. U takvom slučaju prvo provjeravamo omogućuje li bankama takav postupak Zakon o bankama njima to omogućuje, a budući da još nismo bili u nadzoru banaka tek nam predstoji vidjeti pridržavaju li se one svih zakonskih odredbi.

Koje države imaju dobra iskustva i zašto?

Mi konstantno moramo pratiti zaštitu podataka u drugim zemljama i sastavljati popis zemalja koje imaju uređenu zaštitu osobnih podataka. Dobra iskustva imaju zemlje Europske unije, posebno Češka, Slovačka i Austrija, jer su nam bliže po još nekim obilježjima. Jednako tako, odlična iskustva imaju i Kanada i Australija i njih ćemo također nastojati primijeniti.