I prema trenutnom Zakonu o zaštiti osobnih podataka ponekad nije lako odrediti što se točno smatra osobnim podacima, a u GDPR-u je ta definicija dodatno proširena i dopunjena. Pogledajmo što to znači za vas.
Zakonska definicija
U čl. 4. st. 1. Opće uredbe osobni se podaci definiraju kao „svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca“.
Iz gore navedenog vidimo da se osobnim podacima smatraju svi podaci iz kojih se s priličnom vjerojatnošću može iščitati identitet osobe o čijim se podacima radi. Čak i ako vi osobno ne možete iz tih podataka identificirati određenu osobu, podaci se smatraju osobnima ako bi netko drugi mogao. Na primjer, vi iz nečije slike možda niste u stanju odrediti ime i prezime osobe, ali netko drugi, recimo njihov susjed, itekako jest. Kad god sumnjate u kategorizaciju podataka, ispitajte se na taj način.
GDPR iz postojećih zakona preuzima koncept osjetljivih podataka, tj. „posebnih kategorija osobnih podataka“. Na te se podatke primjenjuju strože odredbe kojima se dodatno ograničava njihovo prikupljanje, obrada i pohrana. Posebnim kategorijama podataka pripadaju:
- rasno ili etničko porijeklo
- politička, vjerska i filozofska uvjerenja
- članstvo u sindikatu
- genetski i biometrijski podaci
- podaci o zdravlju, spolnom životu i seksualnoj orijentaciji
Anonimizirani podaci i pseudonimizacija
Pravilno anonimizirani se podaci ne smatraju osobnima te se na njih GDPR ne primjenjuje. Ipak, to je teško postići da i dalje treba biti pažljiv; u većini ćete slučajeva primjenjivati pseudonimizaciju. Radi se o postupcima u kojima se osobni podaci „čiste“ od identifikatora. Iz takvih se podataka identitet osobe ne može iščitati. Primjer takvih podataka su baze podataka iz popisa stanovništva.
Dodatni primjer je i praćenje lokacije. Podaci o vašem kretanju prikupljaju se od strane operatera (preko baznih stanica), i preko njih je moguće s priličnom vjerojatnošću odrediti vašu lokaciju. No kad se njima dodaju stotine ostalih korisnika te kad se podaci upakiraju na način da nije moguće izdvojiti pojedinačne osobe, takvi se podaci slobodno mogu koristiti. Operateri ih i koriste te nude razne usluge ostalim tvrtkama (heat maps Hrvatskog Telekoma i sl.).
Povezivanje podataka
Što više podataka o nekoj osobi imate, to oni predstavljaju veći rizik. Ako povežete sliku s imenom neke osobe, onda ste dodatno proširili broj načina na koji se osoba može identificirati. Čak i ako iz jednog dijela podatka nije moguće odrediti identitet osobe, ako se poveže s još podataka, i on se počinje smatrati osobnim podatkom. Na primjer, ime i prezime „Ivan Horvat“ ne smatra se nužno osobnim podatkom (na popisu iz 2011. Ivana Horvata bilo je 750), ali uz datum rođenja ili neki drugi podatak postaje jasno o komu se radi. U tom ste slučaju dužni zaštiti te podatke.
Pseudonimizacijom nećete u potpunosti ukloniti rizik od identifikacije, ali se preporuča i vrlo je efikasan način zaštite podataka. Takvi se podaci smatraju manje rizičnima, što vas oslobađa dijela odgovornosti čak i ako dođe do povrede podataka.
Budući da definicija iz GDPR-a koju smo vam dali iznad postavlja više pitanja nego što daje odgovora, sada ćemo se pozabaviti njenom detaljnom analizom.
Opseg – „svi podaci“
Ovdje GPDR ide vrlo široko i obuhvaća doslovce sve podatke, bilo objektivne bilo subjektivne. Objektivni podaci obuhvaćaju konkretne informacije poput datuma rođenja, zdravstvenog stanja, plaće ili biometrijskih podataka. Međutim, i subjektivni podaci poput mišljenja, pa čak i tračeva, zaštićeni su GDPR-om.
Podaci ne moraju biti točni ni dokazani da bi se smatrali osobnima! Istinitost podataka uopće ne spada u domenu GDPR-a (ovdje prvenstveno mislimo na razne novinske tračeve i slično).
Podaci mogu biti izravne ili neizravne prirode. Izravnima se smatraju npr. nečije ime i prezime, dok bi neizravan bio opis te osobe. Oblik u ovome kontekstu nije bitan. Podatak može biti pisan na papiru, digitalno pohranjen, izgovoren, biometrijski, itd. Dok god je medij takav da se podaci s njega mogu očitati, osobni podaci s njega podliježu GDPR-u.
U usporedbi s postojećim zakonima u većini država članica, pa tako i u Hrvatskoj, osobnim se podacima dodatno smatraju identifikacijski brojevi, lokacijski podaci i mrežni identifikator. Sad je jasnije: kolačići, IP adrese, identifikatori oglašavanja, RFID transponderi, identifikatori uređaja, aplikacija i slično smatraju se osobnim podacima.
Mogućnost identifikacije
Da bi se neki podatak smatrao osobnim, temeljem njega treba biti moguće identificirati neku osobu. Kako smo naveli u primjeru iznad, neka česta imena i prezimena ne zadovoljavaju ovaj kriterij sama po sebi. Tako „Ivan Horvat“ nije samo po sebi osobni podatak, ali mogao bi postati u slučaju da se radi o „Ivanu Horvatu, komercijalisti iz Zagreba, tridesetogodišnjaku koji stanuje u Prečkom“.
Svi ovi dijelovi podataka („komercijalist iz Zagreba“, „tridesetogodišnjak“, „stanuje u Prečkom“) nisu sami po sebi osobni podaci jer nisu dovoljno specifični. Svijet je pun tridesetogodišnjaka i komercijalista te iz toga nije moguće identificirati vaš određenog pojedinca. Međutim, spajanjem tih podataka popis kandidata drastično se smanjuje i postaje itekako moguće da bi netko prepoznao predmetnu osobu.
Pažnja! Osobu je moguće često identificirati i bez da znate njezino ime. Britansko nadzorno tijelo ICO navodi primjer računa za vodu naslovljenog ‘stanaru’, bez navođenja njegovog imena. Jesu li ti podaci o potrošnji vode osobni? Naravno da jesu, jer je taj stanar jasno identificiran, tj. može ga se razlikovati od ostalih osoba, a tko želi, lako može saznati njegovo ime.
Dakle, ključno je pripaziti na povezanost podataka. Možda se vama neki podaci ne budu činili rizičnima, ali prema uvodnoj izjavi br. 26., „[…] trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca“.
Čak i ako ne znate identitet osobe, podaci se smatraju osobnima ako se taj identitet može otkriti.
Nadalje, u obzir treba uzeti i tehnologiju koja se može koristiti u svrhu identifikacije. Kako se nastavlja u istoj uvodnoj izjavi, prilikom određivanja mogućnosti identifikacije, dužni ste „uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj.“
Uzmite u obzir razdoblje zadržavanja podataka. Što duže pohranjujete podatke, veći je rizik da će se u budućnosti pojaviti tehnologija kojom bi se osobe mogle identificirati iz naoko bezazlenih podataka.
GDPR ovdje ipak nije toliko strog. Samo zato što postoji teoretska šansa da netko iz podataka na jedvite jade otkrije o komu se radi ne znači da su podaci sami po sebi nužno osobni. Ipak, podatke treba zaštititi i od raznih upornih pojedinaca poput privatnih istražitelja i novinara, a ne samo običnih ljudi koje ti podaci i ne zanimaju.
Relevantnost – „koji se odnose na pojedinca“
Ako se podaci odnose da određenog pojedinca, smatraju se osobnima. Postoji nekoliko načina na koji se podaci mogu „odnositi na pojedinca“. Većina ih je prilično očita.
Na primjer, radno iskustvo osobe, zdravstveni karton ili dosjei očito se tiču te osobe. No u tu kategoriju spadaju i izvadci iz banke i računi za telefon (posebno ako se na njima nalazi detaljan ispis poziva).
Kako smo već naveli u prethodnim odjeljcima, neki podaci sami po sebi ne moraju biti osobni, ali postaju takvima ako ih se poveže s ostalim podacima. Vrijednost stana, na primjer, sama po sebi nije osobni podatak jer se radi o tržišno određenom i javno dostupnom podatku. Međutim, kad se koristi za oporezivanje vlasnika, onda postaje osobnim podatkom.
I svrha je bitna. Čim se neki neosobni podatak koristi kako biste saznali nešto o pojedincu ili donijeli odluku koja ih se tiče, on postaje osobnim. Amaterska fotografija gomile na trgu ne sadrži osobne podatke, no ako istu fotografiju napravi policajac ili detektiv u svrhu identifikacije pojedinca, ona bi se mogla smatrati osobnim podatkom.
U nekim slučajevima i podaci o predmetima mogu biti osobni. Na primjer, ako se broj predmeta koje je radnik na traci napravio ili spakirao koristi u svrhe analize učinka na poslu, takvi podaci su osobni.
Dobar način da provjerite je li neki podatak osobni jest da se upitate sljedeće:
Je li moguće da nakon obrade podataka nenamjerno o nekoj osobi nešto saznam, donesem odluku ili stvorim zapis koji ih se tiče?
Bi li ova obrada mogla utjecati na osobu koja se može identificirati?
Ako je odgovor potvrdan, podaci se smatraju osobnima.
S tuđim podacima postupajte kao da su vaši.
‘Osobe’ i osobni podaci
Zaštite koje GDPR propisuje vrijede samo za osobne podatke fizičkih osoba.
Pravnim osobama ne pripadaju prava iz GDPR-a koja se tiču zaštite osobnih podataka, no državama članicama dozvoljeno je proširiti neke aspekte zaštite i na pravne osobe (kod nas to nije slučaj).
Preminule osobe uglavnom se u očima zakona ne smatraju fizičkim osobama, pa GDPR zapravo ne štiti njihove podatke. Ipak, budući da nije uvijek lako utvrditi je li osoba zaista preminula ili ne, preporučujemo da i njihove podatke smatrate osobnima. Dodatni razlog tomu jest da bi i ti podaci mogli biti osobni jer se odnose na živuću osobu. Tu se navodi primjer hemofilije – ako imate podatak da je preminuli muškarac hemofiličar, valja biti pažljiv jer bi se taj podatak lako mogao odnositi i na sina, što ga čini osobnim podatkom (i to osjetljivim podatkom).
Nadalje, medicinsko osoblje zakonom je dužno štititi liječničku tajnu čak i nakon smrti osobe (u Hrvatskoj je za otkrivanje tajne preminule osobe potrebno odobrenje uže obitelji), pa ionako ne smiju otkrivati te podatke. Kao i kod pravnih osoba, države članice mogu proširiti područje primjene i na podatke preminulih (ni ovo kod nas nije slučaj).
Šira slika?
Što se tiče utvrđivanja „osobnosti“ podataka, dolaskom GDPR-a zapravo nije došlo do značajnih promjena. U GDPR-u se od tvrtki u ovome slučaju ne traži znatno više nego u starom Zakonu o zaštiti osobnih podataka.
Ono što se mijenja su načini pristupa takvim podacima. Potrebno je biti oprezniji prilikom rukovanja osobnim podacima; ako na to ne pazite dovoljno, mogli biste se naći u problemu. Kazne su velike, a ovisno o prekršaju mogu ići i do 20 milijuna eura.
Velike vas promjene čekaju, s druge strane, ako se vaše primarne poslovne aktivnosti zasnivaju na obradi velikih količina podataka, a osobito ako ih obrađujete u svrhe marketinga. Digitalni marketing osobito će biti pogođen proširivanjem definicije osobnog podatka i na kolačiće i identifikatore.
To se donekle može izbjeći pseudonimizacijom, no tek treba vidjeti u kojoj će to mjeri utjecati na kvalitetu i vrijednost tih podataka. Ako vas išta tješi, i tvrtke izvan EU-a morat će svoje poslovanje prilagoditi GDPR-u ako posluju s klijentima unutar EU-a, pa ne biste trebali strepiti od nelojalne konkurencije.
Bilo kako bilo, preporučujemo da provjerite svoje procedure kojima određujete što jest, a što nije osobni podatak, te ih ažurirate prema novim pravilima koje donosi GDPR – za zlu ne trebalo.
Za više informacija o GDPR-u, pogledajte naš vodič za početnike i ostale GDPR vodiče.
