Naše pravo na pristup vlastitim osobnim podacima treba početi koristiti Izdvojit ćemo neke od životno mogućih primjera prava na pristup osobnim podacima: Primjer 1. Zaposlenik dobije otkaz. Tjedan dana kasnije podnese zahtjev bivšem poslodavcu da želi pristup svim svojim osobnim podacima u dosjeu. Bivši poslodavac ne smije ga tražiti pojašnjenje svrhe, bez obzira mogle bi li ga neke informacije koštati gubitka potencijalnog sudskog spora u budućnosti. Primjer 2. Pojedinac traži od svoje jedinice lokalne uprave pristup podacima. JLS ima o pojedincu ogromne količine podataka i argumentirano sumnja da je pojedinac svjestan o kojoj se količini podataka radi. U tom slučaju JLS može tražiti pojedinca da specificira svoj zahtjev na konkretne evidencije, obrade ili dokumentaciju. Pri tom ne smije doći do skrivanja podataka od pojedinca. Primjer 3. Bivši kandidat za radno mjesto traži pristup svojim podacima. Nesuđeni poslodavac želi izbjeći davanje pristupa bivšem kandidatu i briše njegove osobne podatke, životopis i priloženu dokumentaciju iako rokovi zadržavanja takve dokumentacije nisu protekli. U tom slučaju poslodavac je u kršenju GDPR-a. Primjer 4. Ako organizacija ima osjetljive osobne podatke pojedinca, mora osigurati sigurnost tih podataka. Npr. ne možemo slati emailom zdravstvene podatke ili isplatne liste bez prethodne enkripcije ili postavljanja lozinke na dokumente. U takvim slučajevima se može iskoristiti i USB stik poslan preporučenom pošiljkom. Primjer 5. Jedan od managera u kompaniji ima rezervirano parkirno mjesto za njegovo službeno vozilo. Međutim, vrlo često nailazi da se na njegovom rezerviranom mjestu parkira nečiji tuđi auto. Želi saznati tko je taj vozač i traži od svoje kompanije uvid u snimke video nadzora u garaži kako bi otkrio tko je "besramnik". To nije zahtjev za pristup podacima, jer manager traži uvid u tuđe osobne podatke, a za to mora imati valjani pravni temelj iz članka 6. GDPR-a. Zahtjev se odbija. Primjer 6. Pojedinac kao podnositelj zahtjeva ne mora se pozvati na članak 15. GDPR-a ili koristiti pravne termine iz GDPR-a da bi njegov zahtjev bio valjan. Dovoljno je i da napiše da želi pristup osobnim podacima koji se odnose na njega ili informacijama koje voditelj obrade ima o njemu. Primjer 7. Tvrtka X na svojim web stranicama i u Obavijesti o privatnosti objavila je dvije email adrese: jednu za opća pitanja i drugu za GDPR zahtjeve. Fizička osoba podnese svoj zahtjev za pristup podacima na prvu email adresu namijenjenu općim pitanjima. Tvrtka X mora prihvatiti zahtjev za pristup podacima kao valjan. Međutim, ako pojedinac pošalje zahtjev na email adresu koju je našao na listi provjere ispravnosti sanitarija Tvrtke X, tada se takav zahtjev ne treba smatrati valjanim. Primjer 8. Pojedinac traži uvid u snimku video nadzora Tvrtke na kojoj se on nalazi. Tvrtka ne treba vršiti identifikaciju svih snimljenih osoba, već traži dodatne informacije od pojedinca, npr. točno vrijeme i datum i dodatne informacije, kako bi identificirao pojedinca (dodat ćemo zgodno pitanje: "Kako ste bili odjeveni?"). Primjer 9. Pojedinac je sklopio ugovor s Pružateljem usluge i sad telefonskim pozivom korisničkoj službi traži pristup svojim podacima. Agent ne može znati radi li se o istoj osobi, ali Tvrtka može slanjem posebnog koda putem SMS poruke provjeriti s pojedincem njegovu autentičnost. Primjer 10. Uzimanje kopije osobne iskaznice u svrhu identifikacije pojedinca koji želi pristup svojim osobnim podacima može dovesti do rizika za tog pojedinca, krađe identiteta i smatra se neprimjerenim osim slučajeva kada je to neophodno ili u skladu s nekim propisom. To vrijedi posebno za banke, hotele, rent-a-car i sl. Također, nisu svi podaci s osobne iskaznice neophodni. Oni koji to nisu (npr. fotografija, nacionalnost, broj OI, posebni kodovi), trebaju se zacrniti. Primjer 11. Kandidat za radno mjesto predao je životopis i zamolbu. Tijekom intervjua, predstavnik potencijalnog poslodavca pisao je bilješke o kandidatu. Kandidat nakon toga traži pristup svojim osobnim podacima prikupljenim tijekom postupka selekcije. Potencijalni poslodavac dužan je dati pristup osobnim podacima koje je kandidat dao putem životopisa i zamolbe, kao i sažetak bilješki uključujući i osobne dojmove o kandidatu. I još puno primjera je navedeno u odličnom dokumentu prijedlog Smjernica EDPB (European Data Protection Board) o pravu na pristup osobnim podacima, koje su na javnoj raspravi. Svatko tko želi, može sudjelovati na javnoj raspravi, kao i pročitati prijedlog EDPB Smjernica: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en Photo by Yan Krukov from Pexels #gdprcroatia

Pripazimo gdje kupujemo naljepnice za videonadzor Agencija za zaštitu osobnih podataka je po službenoj dužnosti došla do saznanja kako prodavaonice Narodnih novina prodaju obavijesti/naljepnice o uspostavi videonadzornog sustava, a koje se sastoje od grafičkog prikaza kamere te slovne oznake “ovaj prostor je pod videonadzorom”, a što je sadržano na bijeloj podlozi te je ispisano plavim slovima. Naime, Agencija je opazila kako više voditelja obrade koristi upravo obavijesti/naljepnice kakve se mogu kupiti u prodavaonicama društva koje izdaje, tiska i prodaje službene i druge tiskanice te je odlučila proaktivno postupati s ciljem smanjenja povreda u pogledu transparentnosti ispitanika. Budući da članak 27. Zakona o provedbi Opće uredbe o zaštiti podataka jasno propisuje kako su voditelji/izvršitelji obrade prije ulaska u perimetar snimanja dužni postaviti obavijest/naljepnicu o videonadzornom sustavu, a koja mora sadržavati uz grafički prikaz kamere i naznaku da je prostor pod videonadzorom, još i podatke o voditelju obrade te podatke za kontakt gdje ispitanici mogu doznati više informacija o obradi njihovih osobnih podataka, Agencija je skrenula pozornost na potrebu usklađenja “starih” naljepnica s novim zakonodavnim uređenjem te prilagodbu naljepnica koje nude u prodaji, na način da iste sadrže i tzv. bjanko dio podataka o voditelju obrade te kontakt podacima voditelja obrade, a sve kako bi iste bile usklađene s člankom 27. Zakona o provedbi Opće uredbe o zaštiti podataka. Dodat ćemo, ona organizacija koja je postavila videonadzor ima obvezu postaviti ispravne oznake videonadzora, ne može za to biti kriva trgovina koja prodaje pogrešne naljepnice. Više u Godišnjem izvješću o radu AZOP-a za 2023. godinu: https://azop.hr/wp-content/uploads/2024/11/Godisnje-izvjesce-AZOP-2023.-AZOP.pdf #gdprcroatia

Agencija za zaštitu osobnih podataka je zaprimila upit je li dozvoljeno snimanje policajaca na javnom mjestu. U odgovoru je Agencija navela da je člankom 2. Zakona o policiji (Narodne novine br. 34/11, 130/12, 89/14, 151/14, 33/15, 121/16 i 66/19) propisano kako je policija središnja služba Ministarstva unutarnjih poslova koja obavlja poslove određene zakonom i drugim propisima. Policija građanima pruža zaštitu njihovih temeljnih ustavnih prava i sloboda i zaštitu drugih Ustavom Republike Hrvatske zaštićenih vrijednosti. Isto tako, istaknuta je i presuda Suda Europske unije koji je u predmetu C-345/17 istaknuo kako pojedina fizička osoba može snimati policijske službenike tijekom obavljanja njihovih dužnosti te takve snimke objaviti primjerice na društvenim mrežama pod uvjetom da takvo snimanje i objava videozapisa ima za isključivu svrhu otkrivanje informacija, mišljenja i ideja javnosti, odnosno da je takva obrada osobnih podataka isključivo u novinarske svrhe. U tom kontekstu u odgovoru je naglašeno da je policija osnovana kao redarstvena vlast koja obavlja poslove zaštite temeljnih ljudskih prava i sloboda kao javnu službu u interesu svih građana Republike Hrvatske. Postupanje policije prema građanima koji se nalaze na javnim površinama izaziva posebnu pozornost javnosti, a osobito kada građani osjećaju da su policijski službenici neprofesionalno obavljali svoju dužnost. U takvim situacijama bilo bi dopušteno u svrhu informiranja javnosti snimiti postupanje policijskih službenika te takve snimke objaviti (uz primjenu tehničkih mjera zaštite/zamućivanja lica policijskih službenika) kako bi u javnom interesu u smislu novinarskog izvještavanja informirali opću javnost o njihovom postupanju, ali samo onda kada postoje očigledne sumnje u nezakonito ili neprofesionalno obavljanje policijskog posla. U slučaju da su policijski službenici redovno obavljali svoje profesionalne zadaće bez da je bilo očite sumnje u nezakonito/neprofesionalno postupanje te da je takva njihova snimka objavljena u javnosti, tada bi se moglo govoriti o nezakonitoj obradi njihovih osobnih podataka, budući da policijski službenici također uživaju pravo na zaštitu svog integriteta te privatnosti dok obavljaju iznimno zahtjevne i opasne zadaće zaštite javne sigurnosti u korist svih građana. U slučaju da se takve snimke ne učine dostupnim javnosti ili trećim osobama putem objave, već da iste zadrži fizička osoba koja ih je snimila isključivo za svoje kućne aktivnosti, tada bi se radilo o izuzeću od primjene Opće uredbe o zaštiti podataka, sukladno članku 2. stavku 2. Opće uredbe o zaštiti podataka (kućna ili privatna iznimka, op.a.). Više u Godišnjem izvješću o radu AZOP-a za 2023. godinu: https://azop.hr/wp-content/uploads/2024/11/Godisnje-izvjesce-AZOP-2023.-AZOP.pdf Image from FreePik #gdprcroatia

Ako ne fotografiji nema lica, ne znači i da ne možemo identificirati osobu Na ovaj praktičan način smo prenijeli stajalište španjolskog nadzornog tijela za zaštitu osobnih podataka. Pri tom je naglašeno da prema članku 4. stavku 1. GDPR-a, fotografija osobe predstavlja osobni podatak jer odražava njena razlikovna obilježja, poput visine ili drugih fizičkih osobina, koja pomažu povezivanju s konkretnim pojedincem. Štoviše, fotografija može informirati o dobi, spolu ili etničkoj pripadnosti, što olakšava identifikaciju osobe. To što se na fotografiji ne vidi lice konkretne osobe, ne znači da se ta osoba ne može identificirati drugim detaljima s fotografije, barem konturom tijela ili nekom specifičnom karakteristikom fizičkog izgleda osobe. Naime, definicija osobnog podatka iz GDPR-a kaže da tu spadaju svi podaci koji se odnose na pojedinca koji se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Na primjer, na fotografiji djece svaki će roditelj prepoznati svoje dijete makar sva djeca bila fotografirana s leđa i s daljine. Kod snimki video nadzora, gdje su u pravilu snimke lica manje precizne, pojedinac se ponekad može identificirati po specifičnom hodu ili kretnjama, pogrbljenosti i sl. Više o slučaju: https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS-00360-2022&mtc=today Photo from Pexels #gdprcroatia