Zaštita osobnih podataka u akademskoj zajednici

Zaštita osobnih podataka sve je aktualnija uslijed niza krađa identiteta od kojih nisu pošteđeni ni oni najoprezniji. Svoje podatke (ime i prezime, adresu, brojeve telefona i kreditnih kartica) često ostavljamo na raznim mjestima ne misleći pritom na moguće posljedice. Kome se obratiti ako nam dogodi takva situacija te kakvo je stanje što se tiče zaštite osobnih podataka u akademskoj zajednici upitali smo ravnatelja Agencije za zaštitu osobnih podataka (AZOP) gospodina Dubravka Bilića.

Od njega smo saznali kako je do sada obavljen niz nadzora u akademskoj zajednici, a u kontrole će se ići i u budućnosti. Važno je napomenuti kako se na sveučilištima, fakultetima i razvojnim i istraživačkim centrima čuva enorman broj vrlo povjerljivih osobnih podataka o studentima i osoblju čija bi krađa ugrozila tisuće osoba. 

Imate li informaciju u kojoj su mjeri institucije akademske zajednice (sveučilišta, fakulteti, istraživački i razvojni instituti) u Republici Hrvatskoj prijavile osobne podatke/zbirke? Koja je vaša procjena  - do kada bi sve institucije trebale prijaviti svoje podatke?

Do ovog trenutka u Središnjem registru Agencije za zaštitu osobnih podataka (AZOP) registrirano je 140 voditelja zbirki osobnih podataka sa hrvatskih sveučilišta, fakulteta, istraživačkih i razvojnih instituta. Navedeni poslovni subjekti prijavili su 507 zbirki osobnih podataka. Nemamo znanstveno utemeljenu procjenu do kada bi sve institucije trebale prijaviti (sve) svoje zbirke osobnih podataka. No, očekujemo da će se postrožiti i pojačati nadzorna uloga Agencije (posebno nakon ulaska RH u EU), uz pooštrene sankcije za prekršitelje Zakona o zaštiti osobnih podataka.

Što to točno znači? Jeste li u navedenim institucijama u posljednjih nekoliko godina bili u nadzoru? Što je tim nadzorima utvrđeno?

U sektoru obrazovanja nadzori su provedeni u nekoliko školskih ustanova koje nisu postupile po nalogu Agencije i nisu dostavile evidencije o zbirkama osobnih podataka u Središnji registar. O kojim je institucijama riječ ne možemo govoriti.

Koji se sve podaci moraju štititi?

Osobni podaci koji se moraju štititi su primjerice: adresa fizičke osobe, broj telefona, e-mail adresa, osobna fotografija, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci. Posebne kategorije osobnih podataka, takozvani „osjetljivi podaci“ odnose se na: rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život, osobni podaci o kaznenom i prekršajnom postupku. Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda.

Tko je odgovoran za prijavu osobnih podataka te kako se podaci trebaju štititi?

Osobne podatke prikuplja i dalje obrađuje voditelj zbirke osobnih podataka, a to je fizička osoba, pravna osoba, državno tijelo ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Voditelj zbirke osobnih podataka može biti osoba ili tijelo u javnom ili privatnom sektoru koji obrađuje osobne podatke na temelju privole fizičke osobe ili drugih uvjeta propisanim zakonom. Voditelji zbirki osobnih podataka dužni su osigurati poštenu i zakonitu obradu osobnih podataka te Agenciju za zaštitu osobnih podataka obavještavati o obradi osobnih podataka. Drugim riječima, Agenciji moraju evidentirati (dostaviti podatke) zbirke osobnih podataka koje vode i to najkasnije u roku od 15 dana od dana uspostave zbirke. Evidencije o zbirkama osobnih podataka se objedinjavaju u Središnjem registru koji vodi Agencija.

Kako Agencija potiče zaštitu osobnih podataka na institucijama akademske zajednice?

Akademska zajednica važan je partner u podizanju svijesti o zaštiti osobnih podataka zbog njene zadaće ukazivanja na poželjna društvena ponašanja. Do sada je Agencija u sklopu svojih aktivnosti organizirala nekoliko predavanja i okruglih stolova u suradnji sa pojedinim obrazovnim ustanovama. S druge strane, i akademske ustanove dužne su, ne samo po zakonu već i po svom moralnom značenju, poštivati zakonske odredbe vezane za zaštitu osobnih podataka te biti ogledni primjer obzirnog i zakonitog prikupljanja, obrade i korištenja osobnih podataka. Primjerice, objavljivanje ocjena studenata koje neosnovano postaju poznate širem neodređenom krugu studenata i profesora nije u skladu sa svrhom Zakona o zaštiti osobnih podataka. Nadalje, objavljivanje podataka o materijalnom i socijalnom statusu studenata i njihovim obiteljskim prilikama koje se često koriste radi davanja stipendija ili priznanja različitih prava mora biti prikupljano i korišteno u skladu s višim pravnim i moralnim standardima.

Koje su kazne za kršitelje Zakona? Koliko je institucija akademske zajednice do sada kažnjeno?

Novčane kazne prema Zakonu o zaštiti osobnih podataka iznose od 20.000,00 do 40.000,00 kuna za voditelja zbirke koji primjerice Agenciji u roku od 15 dana ne dostavi evidenciju o zbirci osobnih podataka i dr.

Koje biste nam savjete za kraj dali o važnosti zaštite osobnih podataka?

Neophodan je svjestan i odgovoran odnos prema svojim osobnim podacima na način da ih dajemo samo u mjeri u kojoj je to potrebno i onome kome je to potrebno. Drugim riječima da ih ne dajemo olako i bez provjere te svakako ne ako ih nije potrebno dati sukladno određenoj zakonskoj obvezi. Obrada tj. korištenje takvih podataka moglo bi lako narušiti našu privatnost (primjerice fotografije, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o zdravlju i spolnom životu i sl.)
Važno je naglasiti da se svi građani čiji su osobni podaci korišteni na nedozvoljen način mogu javiti Agenciji i dobiti primjerenu pravnu pomoć od AZOP-a i nadležnih institucija.