Danas su još uvijek vrlo česte zabune oko osnovne definicije "osobnih podataka" i njihove primjene u praksi.
„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
Što to u praksi znači?
To znači da svaki podatak nije automatizmom i osobni podatak već ono može postati osobni podatak kada mu pridružimo ostale identifikatore koje prikupljamo ili obrađujemo i kad možemo zaključiti o kojoj osobi je riječ.
Ne znači da moramo imati 100% potvrdu identiteta ali mora biti vjerojatno o kome se točno radi.
Primjer br.1:
Imamo aplikaciju koja prikuplja:
1. približnu lokaciju po kojoj npr. znamo da se osoba nalazi u Rijeci (ne i da li je to njeno prebivalište/boravište već samo da se osoba tamo trenutno nalazi)
2. odgovore i pitanja pomoću kojih app dobiva informaciju: da osobu boli glava, ima člana obitelji starijeg od 65 godina koji je kronični bolesnik, i da radi na blagajni (ogroman spektar mogućnosti)
3. broj mobitela (bez mogućnosti utvrđivanja identiteta vlasnika broja ili korisnika.
Da objasnimo, netko može odmah reći kako se može pogledati u javni telefonski imenik i potražiti vlasnik. Da bi takva obrada bila valjana trebalo bi isto u obavijesti o obradi navesti kao obradu i s time upoznati osobu čiji podaci se na taj način prikupljaju. Odnosno, u tom slučaju trebalo bi navesti da se vrši prikupljanje podataka iz javno dostupnih izvora, navesti o kojim izvorima je riječ kao i koja je svrha prikupljanja i obrade. No, upravo i da je to slučaj, u ovom primjeru isto se ne navodi i ne možemo znati da li vlasnik broja koristi aplikaciju ili netko treći i da li je na istom broju probalo pružiti odgovore 2, 5 ili 10 različitih osoba kao niti da li su pruženi odgovori točni ili se samo isprobavaju različite mogućnosti odgovora.
To što znamo da se osoba trenutno nalazi u Rijeci, da je boli glava, da ima člana obitelji starijeg od 65 godina koji je kronični bolesnik i da inače radi na blagajni (ne znamo gdje) te znamo broj mobitela s kojeg se javlja ali ne znamo kome pripada niti tko ga koristi - jesu informacije koje u ovom kontekstu ne možemo promatrati kao osobni podatak jer ne možemo doći do identifikacije ili približne identifikacije te osobe.
S druge strane, svaki od tih podataka u nekoj drugoj situaciji mogao bi postati "osobni podatak".
Primjer br.2.:
1. Uža lokacija: uža lokacija sama po sebi neće biti osobni podatak ali može postati kada uz to imamo druge identifikatore npr. prezime i informaciju da osoba radi na blagajni tamo gdje se trenutno nalazi. Tako primjerice samo da se osoba trenutno nalazi u Rijeci i da se preziva Bolkovac neće nam puno otkrivati o kome je riječ jer može biti veliki broj osoba koji s takvim prezimenom i trenutno se nalaziti bilo gdje pa i u Rijeci. No, ako tome pridružimo još neki identifikator npr. da radi na blagajni u Rijeci tada onda imamo set podataka iz kojih saznajemo da se radi o osobi koja se preziva Bolkovac, da se trenutno nalazi u Rijeci i da radi na blagajni u Rijeci i s time smo već bitno suzili mogućnost identifikacije osobe iako još uvijek ne možemo s sigurnošću utvrditi o kome je riječ ali možemo vršiti pretpostavke.
2. prednje navedene informacije: da osobu boli glava, ima člana obitelji starijeg od 65 godina koji je kronični bolesnik, i da radi na blagajni biti će osobni podatak kada ga primjerice pružamo u kombinaciji s prezimenom i približnom lokacijom boravišta/prebivališta. Ako bi samo rekli osoba koja se preziva Bolkovac ima člana obitelji starijeg od 65 godina koji je kronični bolesnik i radi na blagajni još uvijek teško da bi mogli identificirati osobu. Ne znamo koliko ima osoba s takvim prezimenom u svijetu i s takvom situacijom. Međutim, ako tome pridružimo i užu lokaciju prebivališta i trenutnog boravka npr. Rijeka tada već postoji određena mogućnost identifikacije.
3. broj mobitela: biti će osobni podatak kada ga npr. pružamo svom poslodavcu. Poslodavac prikuplja širi set podataka o zaposleniku te će u tom slučaju broj telefona u kombinaciji s ostalim podacima biti podatak putem kojeg se može identificirati osoba ili primjerice kada ga dajemo uz ime i prezime za neki program pogodnosti i slično.
Slijedom navedenog bitno je podatke promatrati u njihovom međusobnom odnosu, koji podaci se prikupljaju i obrađuju i da li na temelju prikupljenih podataka može se točno ili približno identificirati osobu o kojoj je riječ da bi mogli govoriti o "osobnim podacima".
Ines Bolkovac, dpo
