Prema Konvenciji za zaštitu osoba glede automatizirane obrade osobnih podataka, „osobni podatak“ znači svaku obavijest koja se odnosi na određenog ili odredivog pojedinca. Takav pojedinac naziva se „subjekt podatka“. Konkretno, osobni podatak je adresa e-pošte fizičke osobe, telefonski broj, broj bankovnog računa, ime roditelja, matični ili bilo koji drugi identifikacijski broj, ocjene studenata i učenika, fotografija ili bilo koji drugi digitalni ili slični zapis kao što je otisak prsta, sken rožnice i drugih dijelova tijela, tzv. biometrički zapis i drugi ...
Svaki strukturirani skup takvih osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to je li sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno, naziva se Zbirka osobnih podataka.
Voditelj zbirke osobnih podataka je fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Kada je svrha i način obrade propisan zakonom, njime se određuje i voditelj zbirke osobnih podataka.
Svrha prikupljanja i obrade osobnih podataka može biti vrlo različita. Od potpuno banalnih razloga kao što su istraživanje tržišta, potreba za upoznavanjem neke osobe, nagradne igre pa sve do vrlo ozbiljnih i formalnih razloga kao što su identifikacija počinitelja kaznenih djela, određivanje kreditne sposobnosti građana, odobravanje vize i drugih.
Bitno je napomenuti da je nedopušteno tzv. prekomjerno prikupljanje osobnih podataka. Podaci koji nisu nužni za obradu neke informacije, ishodovanje određenog prava, promet usluga ili roba i dr., ne mogu se prikupljati, obrađivati i dijeliti s drugim korisnicima.
Također je potrebno naglasiti da upotreba i arhiviranje osobnih podataka ima vremensko ograničenje. Voditelj zbirki podataka ne smije podatke koristiti dulje od vremena koje je potrebno za ispunjenje svrhe za koju je podatak prikupljen niti podatke smije čuvati nakon proteka tog vremena, osim ako zakonom ili drugim propisom nije određena obveza čuvanja određenih podataka.
O svakoj zbirci osobnih podataka voditelj zbirke mora uspostaviti i voditi evidenciju koja sadrži temeljne informacije o zbirci, a koje su navedene u članku 14. Zakona o zaštiti osobnih podataka. Voditelj zbirke dužan je evidencije o zbirkama osobnih podataka dostaviti Agenciji za zaštitu osobnih podataka u roku od 15 dana od dana uspostave zbirke osobnih podataka. Evidencije se objedinjavanju u Središnjem registru kojeg vodi Agencija.
Dva su načina dostave evidencija, poštom i elektronskim putem. Prilikom dostave podataka putem pošte, podatke o tim evidencijama unose u Registar djelatnici Agencije, međutim, ako voditelj zbirke dostavlja podatke elektronskim putem, može sam, korištenjem korisničkog imena i zaporke, mijenjati i dodavati podatke koji se nalaze u Registru. Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka te Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka podzakonski su propisi koji pobliže uređuju pitanja evidencija i pohrana posebnih vrsta podataka.
Dakle, obveznici dostave evidencija o zbirkama osobnih podataka su sve pravne i fizičke osobe koje vode zbirke osobnih podataka iz bilo kojih razloga.
Voditelji zbirki koji zapošljavaju do pet radnika i voditelji zbirki koji su imenovali službenika za zaštitu osobnih podataka i o tome izvijestili Agenciju za zaštitu osobnih podataka, nisu obvezni u Središnji registar Agencije dostaviti evidencije iz članka 14. Zakona, a vezano za zbirke osobnih podataka koje vode na temelju propisa iz područja radnog prava, ako se podaci iz zbirke osobnih podataka ne iznose iz Republike Hrvatske.
Jednostavnije rečeno, pravne i fizičke osobe koje vode zbirke podataka o svojim radnicima, a koriste ih isključivo u svrhu reguliranja i definiranja radnog odnosa između radnika i poslodavca te ispunjavaju gore navedene uvjete, nisu dužne dostaviti evidencije o zbirkama podataka Agenciji za zaštitu osobnih podataka.
Međutim, ako fizičke i pravne osobe vode zbirke podataka o svojim zaposlenicima koje premašuju nužnu potrebu za reguliranjem međusobnih odnosa, dužni su evidencije o takvim zbirkama podataka dostaviti Agenciji. Takvi podaci su: biometrički podaci (otisak prsta, sken rožnice...) koji se primjerice koriste prilikom ulaska i izlaska zaposlenika u radne prostorije, podaci o videozapisima radnih prostorija, podaci o psihofizičkim sposobnostima djelatnika prikupljeni putem testova i drugi.
Ako voditelj zbirki podataka, dakle pravna ili fizička osoba, zapošljava manje od 20 radnika može imenovati službenika za zaštitu osobnih podataka, a ako zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka.
U svakom slučaju, voditelj zbirki dužan je imenovanje službenika prijaviti Agenciji za zaštitu osobnih podataka koja o tome vodi pripadajući Registar.
Zakon o zaštiti osobnih podataka usklađen je s Direktivom 95/46/EZ Europskog Parlamenta i Vijeća, od 24. listopada 1995. godine, o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom prijenosu takvih podataka (CELEX 31995L0046).
Neven Brkić, mag. iur.