U javnom prostoru često se pogrešno poistovjećuju pojmovi zaštite osobnih podataka i zaštite privatnosti, iako se radi o dva različita koncepta. GDPR ne služi „skrivanju“ osobnih podataka, već prvenstveno uređuje način na koji se ti podaci smiju prikupljati, koristiti i dalje obrađivati u poslovne svrhe.
U tom je kontekstu transparentnost jedno od temeljnih načela obrade i predstavlja element zakonite obrade.
Stoga je nužno krenuti od osnovnog pitanja: što je osobni podatak?
Općenito se može reći da gotovo svaka informacija može biti osobni podatak.
No, u kontekstu GDPR-a podatak postaje osobni podatak tek kada se njime, samostalno ili u kombinaciji s drugim podacima kojima voditelj obrade raspolaže (ili može raspolagati putem redovnog rada ili primjene dostupnih mu alata), može nedvojbeno identificirati određenu fizičku osobu.
Primjerice, lista OIB-ova građana za neku tvrtku čiji to nisu zaposlenici i koja nema mogućnost pristupa dodatnim bazama podataka neće predstavljati osobne podatke, jer se iz samog OIB-a ne može utvrditi identitet osobe. OIB je nekazujuća oznaka.
Međutim, za tvrtku koja ima ovlasti pristupa državnim registrima kao što je npr. tvrtka koja osigurava javni gradski prijevoz I koja putem OIB-a provjerava identitet korisnika u bazi MUP-a - ista lista predstavlja osobne podatke, jer omogućuje identifikaciju pojedinca.
Kada utvrdimo da određena informacija predstavlja osobne podatke, sljedeći korak je osigurati zakonitu osnovu za njihovu obradu. To znači da voditelj obrade mora moći dokazati:
✔️ na koji je način podatak pribavljen (da li ima zakonitu osnovu za prikupljanje),
✔️ na temelju koje pravne osnove iz članka 6. GDPR-a se provodi obrada.
Ako, primjerice, neka tvrtka „pronađe“ e-mail listu na ulici, neće imati valjanu pravnu osnovu za njihovo prikupljanje i daljnju obradu npr. slanje newlsettera. S druge strane, ako su podaci zakonito prikupljeni, primjerice iz javno dostupnih izvora, daljnja obrada i dalje zahtijeva postojanje valjane pravne osnove iz GDPR-a, u protivnom je obrada nedopuštena.
Drugim riječima: činjenica da je neki podatak lako dostupan ili je tehnički moguće pristupiti sustavu ne znači da je njegova obrada zakonita.
To vrijedi i za javno dostupne osobne podatke - pristup jest moguć, ali korištenje bez pravne osnove nije dopušteno.
U tom smislu vrijedi i usporedba: iako je „moguće provaliti lozinku Louvre“, ako to činimo bez zakonite osnove, riječ je o protuzakonitom postupanju za koje se snose posljedice.
Isto vrijedi i za obradu podataka: dostupnost ne znači dopuštenost.
Odnosno, činjenica da nešto možemo - ne znači da to i smijemo.
Stoga je važno razumjeti da je zaštita osobnih podataka prije svega pitanje pravne dopuštenosti i odgovornosti voditelja obrade a tek potom postavlja pitanje tehničke mogućnosti.
INES KREČAK | Data Protection Professional | Croatian Representative in the European Federation of Data Protection Officers
Istaknuto:
Istaknute usluge:
