U članku analiziramo reguliranje obrade osobnih podataka djece u svjetlu Opće uredbe o zaštiti podataka, i to od strane dječjih vrtića, koji kao javne ustanove djelatnost ranog i predškolskog odgoja obavljaju kao javnu službu, obrađuju osobne podatke djece, njihovih roditelja, odnosno skrbnika (kao nositelja roditeljske odgovornosti nad djetetom), ali i ostalih članova njihova zajedničkog domaćinstva te drugih osoba. Naglasak je posebno na obradi podataka djece, koja zaslužuju posebnu zaštitu glede svojih osobnih podataka jer ulaze u ranjivu kategoriju ispitanika manje svjesnih, odnosno nesvjesnih rizika ili posljedica povreda osobnih podataka, a isto tako i zaštitnih mjera od povreda.
1. UVOD
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka, engl. General Data Protection Act, skr. GDPR - u nastavku teksta: Opća uredba) u Republici Hrvatskoj ušla je u punu primjenu 25. svibnja 2018. i tako stavila izvan snage Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (u nastavku teksta: Direktiva). Opća uredba donosi novosti glede zaštite privatnosti djece, kao kategorije građana koja zaslužuje posebnu zaštitu svojih osobnih podataka jer mogu biti manje svjesni rizika, posljedica, zaštitnih mjera te svojih prava.
Razlozi obrade osobnih podataka u dječjim vrtićima su brojni. Dječji vrtići obrađuju osobne podatke djece radi provedbe postupka upisa u programe predškolskog odgoja i obrazovanja, zatim za potrebe ostvarivanja prava i obveza korisnika usluga programa predškolskog odgoja i obrazovanja u dječjem vrtiću, kao i za potrebe vođenja propisane pedagoške i zdravstvene dokumentacije same djece. Svrha obrade osobnih podataka djece je ostvarivanje i očuvanje interesa djece, ponajprije njihova života i zdravlja, zatim ostvarivanje zdravstvene i socijalne zaštite, zaštite javnog zdravlja, omogućavanje ostvarivanja prava na olakšice u cijeni redovitog programa predškolskog odgoja i obrazovanja, kao i ostvarivanja prednosti pri upisu u neki od programa koje dječji vrtići provode.
2. NAČELA I DEFINICIJE
Opća uredba u samim Uvodnim izjavama svoje Preambule definira osobne podatke kao sve one »koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podatci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca«1
Sukladno načelima obrade osobnih podataka propisanih člankom 5. Opće uredbe, i to načelima »zakonitosti, poštenosti i transparentnosti« te načelima »cjelovitosti i povjerljivosti«, osobni podatci moraju se zakonito, pošteno i transparentno obrađivati, uzimajući u obzir kategoriju i svojstvo ispitanika te način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Nadalje, prema načelima »ograničavanja svrhe«, »smanjenja količine podataka« i »točnosti«, osobni podatci moraju se prikupljati isključivo u posebne, izričite i zakonite svrhe, moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju, točni i prema potrebi ažurni.
U samim uvodnim izjavama Preambule Opće uredbe nalazimo obrazloženje konteksta posebne zaštite osobnih podatka djece, kao kategorije osjetljivih ispitanika pa se pravo na posebnu zaštitu posebno odnosi na korištenje osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom korištenja usluga koje se izravno nude djetetu. Uz to se također ističe da bi svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebala biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.
3. POJAM DJETETA
Što se tiče same definicije djeteta, treba naglasiti da Opća uredba takvu definiciju izričito ne propisuje. Prema Konvenciji Ujedinjenih naroda o pravima djeteta 2 , pojam djeteta označava svaku osobu mlađu od 18 godina, osim ako se zakonom koji se primjenjuje na dijete granica punoljetnosti ne odredi prije 3 . Zakon o privremenom uzdržavanju (Nar.nov., br. 92/14) također definira dijete kao osobu do navršenih 18 godina života, koju je roditelj dužan uzdržavati na temelju ovršne isprave.
Međutim, iz članka 8. u svezi s člankom 6. st. 1., toč. (a) Opće uredbe proizlazi da je, glede nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina, takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom. Iz navedenog možemo zaključiti da bi u svjetlu i kontekstu Opće uredbe ispravno bilo dijete smatrati osobom do navršenih 16 godina života, s tim da je Opća uredba, iako se izravno primjenjuje u državama članicama Europske unije, u svrhu regulacije privole djeteta u odnosu na usluge informacijskog društva, dala članicama mogućnost predvidjeti nižu dobnu granicu, pod uvjetom da takva niža dobna granica nije niža od 13 godina. Treba napomenuti da je Republika Hrvatska ostala pri spomenutoj dobnoj granici iz Opće uredbe, a što proizlazi iz članka 19. Zakona o provedbi Opće uredbe o zaštiti podataka (Nar. nov., br. 42/18 - u nastavku teksta: Zakon), koji propisuje da se u svezi s nuđenjem usluga informacijskog društva izravno djetetu zakonitom smatra ona obrada osobnih podataka djeteta čije je prebivalište na području Republike Hrvatske i pod uvjetom da ima najmanje 16 godina.
4. OBRADA OSOBNIH PODATAKA
Obrada osobnih podataka, prema članku 4. Opće uredbe, označava:»svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje«. Da bi, sukladno članku 6. Opće uredbe, obrada osobnih podataka bila zakonita, potrebno je da je ispunjen najmanje jedan od sljedećih uvjeta: da je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha, da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili da bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; da je obrada nužna radi poštovanja pravnih obveza voditelja obrade; da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; da je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; da je obrada nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Privola, kao osnova zakonite obrade osobnih podataka, nužna je, primjerice, za prikupljanje i obradu fotografija djece te njihovih audio i/ili video zapisa nastalih u sklopu odvijanja odgojno-obrazovnog programa, zatim za objavu predmetnih fotografija na mrežnim stranicama dječjeg vrtića, vrtićkim publikacijama te na stručnim skupovima. Isto tako, institut privole treba koristiti u svrhu pribavljanja suglasnosti zakonskih zastupnika djece za označavanje garderobnih ormarića djece njihovim punim imenima i prezimenima, odnosno njihovim fotografijama. U svrhu utvrđivanja cijene dječjeg vrtića i ostvarivanja prava na olakšicu u odnosu na ekonomsku cijenu dječjeg vrtića, dječji vrtići prikupljaju i obrađuju osobne podatke zakonskih zastupnika djece i članova njihovih obitelji koji se odnose, primjerice, na podatke o prihodima članova zajedničkog kućanstva (podatci koji proizlaze iz potvrda poslodavca o isplaćenoj plaći i naknadi plaće, potvrda o isplaćenim porodiljnim/rodiljnim naknadama, potvrda o isplaćenim naknadama za vrijeme nezaposlenosti, potvrda o isplaćenoj mirovini, potvrda isplatitelja o isplaćenom drugom dohotku, autorskom honoraru i drugih) te na podatke o stambenom kreditu ili ugovorenom najmoprimstvu. Obrada takvih podataka smatra se zakonitom jer je nužna radi izvršavanja ugovora u kojem je ispitanik stranka.
Osim toga, dječji vrtići podliježu primjeni različitih zakonskih i podzakonskih propisa na temelju kojih obrađuju osobne podatke djece, ali i njihovih roditelja, odnosno skrbnika (kao nositelja roditeljske odgovornosti nad djetetom), kao i ostalih članova njihova zajedničkog domaćinstva te osoba koje nositelji roditeljske odgovornosti nad djetetom ovlaste za dovođenje djeteta u vrtić i/ili za odvođenje djeteta iz vrtića. Podatci navedenih osoba obrađuju se za potrebe provedbe postupka upisa djece rane i predškolske dobi u programe predškolskog odgoja i obrazovanja (objavljuju rezultate, primjerice, na ulaznim vratima dječjeg vrtića, oglasnu ploču unutar samog dječjeg vrtića i/ili na odgovarajućim mrežnim stranicama dječjeg vrtića), zatim za potrebe ostvarivanja prava i obveza korisnika usluga programa predškolskog odgoja i obrazovanja u dječjem vrtiću te naposljetku za potrebe vođenja propisane pedagoške i zdravstvene dokumentacije djece u dječjem vrtiću.
Zakonski i podzakonski propisi relevantni za obavljanje djelatnosti ranog i predškolskog odgoja i obrazovanja koji se pojavljuju kao pravni temelj za obradu različitih osobnih podataka, sljedeći su: zakonski propisi:
- Zakon o predškolskom odgoju i obrazovanju (Nar. nov., br. 10/97, 107/07 i 94/13)
- Zakon o odgoju i obrazovanju na jeziku i pismu nacionalnih manjina (Nar. nov., br. 51/00 i 56/00)
- Zakon o zaštiti pučanstva od zaraznih bolesti (Nar. nov., br. 79/07, 113/08, 43/09 i 130/17)
- Zakon o pravnom položaju vjerskih zajednica (Nar. nov., br. 83/02 i 73/13)
- Zakon o prosvjetnoj inspekciji (Nar. nov., br. 61/11 i 16/12)
- Zakon o stručno-pedagoškom nadzoru (Nar. nov., br. 73/97) podzakonski propisi:
- Državni pedagoški standard predškolskog odgoja i naobrazbe (Nar. nov., br. 63/08 i 90/10)
- Pravilnik o sadržaju i trajanju programa predškole (Nar. nov., br. 107/14)
- Pravilnik o posebnim uvjetima i mjerilima ostvarivanja programa predškolskog odgoja (Nar. nov., br. 133/97)
- Pravilnik o načinu raspolaganja sredstvima državnog proračuna i mjerilima sufinanciranja programa predškolskog odgoja (Nar. nov., br. 134/97)
- Pravilnik o obrascima i sadržaju pedagoške dokumentacije i evidencije o djeci u
dječjem vrtiću (Nar. nov., br. 83/01)
- Pravilnik o obrascima zdravstvene dokumentacije djece predškolske dobi i evidencije u
dječjem vrtiću (Nar. nov., br. 114/02)
- Pravilnik o vježbaonicama i pokusnim programima u dječjim vrtićima te o dječjim vrtićima kao stručno - razvojnim centrima (Nar. nov., br. 46/04).
Primjer za obradu osobnih podataka, koja je nužna radi poštovanja pravnih obveza voditelja obrade osobnih podataka, obveza je dječjih vrtića da na propisanim obrascima, na temeljučlanka 52. Zakona o predškolskom odgoju i obrazovanju, ispravno vode pedagošku i zdravstvenu dokumentaciju i evidenciju o djeci, a što u biti predstavlja osnovu zakonite obrade osobnih podataka. S tim u svezi valja spomenuti Pravilnik o obrascima i sadržaju pedagoške dokumentacije i evidencije o djeci, kojim su propisani obrasci pedagoške dokumentacije i evidencije o djeci predškolske dobi u dječjim vrtićima i drugim pravnim osobama koje ostvaruju djelatnost predškolskog odgoja. U tom smislu, pedagoška dokumentacija i evidencija o djeci koju svaki dječji vrtić i druge pravne osobe koje ostvaruju djelatnost predškolskog odgoja moraju voditi, jest:Matična knjiga djece, Knjiga pedagoške dokumentacije odgojne skupine, Imenik djece, Ljetopis dječjeg vrtića, Godišnji plan i program odgojno-obrazovnog rada, Godišnje izvješće o ostvarivanju plana i programa rada, Program stručnog usavršavanja, Dosje djeteta s posebnim potrebama, Knjiga zapisnika.
Obrada osobnih podataka u dječjim vrtićima može biti nužna da bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe, a primjer za navedeno je prikupljanje i obrada osobnih podataka osoba koje zakonski zastupnik djeteta navodi za osobe ovlaštene za dovođenje i odvođenje djeteta u/iz dječjeg vrtića (njihovo ime, prezime i broj osobne iskaznice). U tom slučaju, kao pravni temelj obrade osobnih podataka prepoznajemo zaštitu sigurnosti djeteta kao njegova ključnog interesa.
Obrada osobnih podataka u dječjim vrtićima može biti nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, a primjer za navedeno je prikupljanje i obrada osobnih podataka koji se odnose na, primjerice, primljena cjepiva te zdravstveni status djeteta.
Prevencija bolesti i zaštita zdravlja svakako je zadaća od javnog interesa koju ostvaruje i dječji vrtić, a s tim u svezi Program zdravstvene zaštite djece, higijene i pravilne prehrane djece u dječjim vrtićima kao zadaću dječjeg vrtića propisuje provjeru dokumentacije o cijepljenju djeteta. Legitiman interes voditelja obrade ili treće osobe, kao pravni temelj obrade osobnih podataka, još je uvijek rizična i ne do kraja definirana kategorija, a primjer za navedeno možemo pronaći, recimo, u situaciji prikupljanja i obrade osobnih podataka koji se odnose na ime, prezime i broj telefona fizičke osobe unutar pravne osobe poslodavca zakonskog zastupnika djeteta. Kao legitiman interes obrade spomenutih osobnih podataka prepoznajemo interes dječjeg vrtića za što brže stupanje u kontakt sa zakonskim zastupnikom djeteta preko njegova poslodavca, u slučaju da se, primjerice, dijete tijekom boravka u vrtiću razboli, a zakonski zastupnik djeteta nije dostupan na brojevima telefona, mobitela ili na e-mail adresi koje je naveo dječjem vrtiću kao vlastite kontakt podatke.
5. VRSTE OSOBNIH PODATAKA KOJE DJEČJI VRTIĆI OBRAĐUJU I SUBJEKTI KOJIMA TAKVE PODATKE DJEČJI VRTIĆI OTKRIVAJU
Različite su kategorije i vrste osobnih podataka odnosno identifikatora djece, njihovih roditelja, odnosno skrbnika, kao i ostalih članova njihova zajedničkog domaćinstva te osoba koje su nositelji roditeljske odgovornosti nad djecom ovlastili za dovođenje djeteta u vrtić i/ili za odvođenje djeteta iz vrtića, koje dječji vrtići obrađuju, i to:
- ime i prezime
- datum i mjesto rođenja
- osobni identifikacijski broj
- adresa stanovanja i prijavljeno prebivalište/boravište
- podatci o poslodavcu (naziv, broj telefona, adresa)
- broj telefona, mobitela, e-mail adresa
- zanimanje, stručna sprema
- rješenja o statusu invalida Domovinskog rata
- podatak o prijavi na Hrvatski zavod za mirovinsko osiguranje
- presuda o razvodu braka ili drugi dokaz da drugi roditelj ne živi u zajedničkom kućanstvu
- samohranost roditelja
- udomiteljstvo/neodgovarajuća roditeljska skrb
- pravo na doplatak za djecu
- specifične razvojne i/ili zdravstvene potrebe
- teškoće u razvoju djeteta
- socijalne i zdravstvene prilike u obitelji
- primljena cjepiva
- zdravstveni status djeteta
- podatci o prihodima članova zajedničkog kućanstva
- podatci o stambenom kreditu ili ugovorenom najmu.
Dječji vrtići, kao ustanove ranog i predškolskog odgoja i obrazovanja, provodeći programe odgoja, obrazovanja, zdravstvene zaštite, prehrane i socijalne skrbi koji čine rani i predškolski odgoj i obrazovanje djece u širem smislu, otkrivaju osobne podatke svojih korisnika i s njima povezanih osoba različitim subjektima, kako slijedi:
- nadležnom gradskom/županijskom uredu za obrazovanje (isključivo u svrhu unosa u
sustav e-matice radi ostvarivanja prava na subvenciju)
- nadležnom centru za socijalnu skrb u slučaju potrebe za socijalnom zaštitom djeteta
- nadležnom tijelu javnog zdravstva u slučaju potrebe zaštite života i zdravlja djeteta
- vanjskim suradnicima (stomatolog, stručni radnik/suradnik u vrtiću)
- organizatorima izleta/sportskih/ kulturnih/edukativnih/zdravstvenih programa (radi sklapanja ugovora o osiguranju djece, i to isključivo temeljne identifikacijske podatke djeteta - ime i prezime, adresa prebivališta i OIB djeteta)
- organizatorima/provoditeljima sportskih/kulturnih/edukativnih/jezičnih/zdravstvenih programa
- Ministarstvu znanosti i obrazovanja Republike Hrvatske (isključivo za sufinanciranje javnih potreba, i to inicijale djece)
- Agenciji za odgoj i obrazovanje (isključivo u svrhu stručno-pedagoškog nadzora)
- osnovnoj školi (isključivo u svrhu upisa u školu i odgode polaska u školu)
- drugim dječjim vrtićima (kod prijelaza djeteta)
- osiguravajućem društvu (u slučaju nastanka štetnog događaja radi njegove prijave i ostvarenja prava na naknadu štete).
Slijedom navedenog, dječji vrtići trebaju postupati u skladu s načelima »smanjenja količine podataka« i »ograničavanja svrhe«voditi se tim da prikupljaju i obrađuju samo i isključivo primjerene i relevantne podatke u odnosu na svrhu obrade.
6. SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA
Dječji vrtić, kao ustanova koja svoju zakonom propisanu djelatnost obavlja kao javnu službu, obvezan je imenovati službenika za zaštitu osobnih podataka. Stoga, dječji vrtić, sukladno članku 39. Opće uredbe, u pravilu, iz redova svojih zaposlenika imenuje službenika za zaštitu osobnih podataka. Treba naglasiti da službenik za obradu osobnih podataka može biti i osoba koja nije zaposlenik voditelja obrade osobnih podataka, no u svakom slučaju bitno je da ga zadaće i dužnosti koje obavlja u okviru djelokruga poslova službenika za zaštitu osobnih podataka ne dovedu do sukoba interesa.
Članak 39. Opće uredbe propisuje minimalni djelokrug poslova i zadaća koje imenovani službenik za zaštitu osobnih podataka, sukladno odluci voditelja obrade zaštite osobnih podataka (ili izvršitelja obrade ako ga je voditelj imenovao), obavlja, a to su:
- informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz Opće uredbe te drugim primjenjivim propisima o zaštiti podataka
- praćenje poštovanja Opće uredbe te drugih relevantnih propisa o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije
- pružanje savjeta, kada je to zatraženo, glede procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. Opće uredbe
- suradnja s nadzornim tijelom.
7. PRAVA ISPITANIKA
Opća uredba ispitanicima jamči određena prava čije su ostvarenje dječji vrtići obvezni osigurati, a to su:
- pravo na informiranost (prema kojem ispitanik ima pravo primati jasne, transparentne i lako razumljive informacije o tome kako se koriste njegovi osobni podatci)
- pravo pristupa (prema kojem ispitanik ima pravo pristupiti svojim osobnim podatcima koje je učinio dostupnim voditelju obrade osobnih podataka)
- pravo na ispravak (prema kojem ispitanik ima pravo zatražiti od voditelja obrade osobnih podataka ispravljanje osobnih podataka ako su neispravni ili nevažeći, odnosno njihovo dopunjavanje ako su nepotpuni)
- pravo na brisanje/pravo na zaborav (prema kojem ispitanik u određenim slučajevima ima pravo zatražiti brisanje ili uklanjanje osobnih podataka, s tim da nije riječ o apsolutnom pravu jer voditelj obrade osobnih podataka može imati pravne ili legitimne osnove za zadržavanje osobnih podataka)
- pravo na prigovor (prema kojem ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koja se odnosi na njega, izravno dječjem vrtiću kao voditelju obrade osobnih podataka ili Agenciji za zaštitu osobnih podataka kao nadzornom tijelu)
- pravo na povlačenje suglasnosti na obradu podataka koja je utemeljenu na suglasnosti u bilo kojem trenutku
- pravo na prenosivost podataka (prema kojem ispitanik ima pravo pomicati, kopirati ili prenositi podatke iz baze dječjeg vrtića u drugu bazu podataka, ali samo pod uvjetom da je riječ o podatcima koji se obrađuju na temelju ugovora ili suglasnosti i ako se obrada provodi automatiziranim putem)
- pravo ograničenja (prema kojem ispitanik ima pravo zatražiti ograničenje obrade podataka).
8. MJERE ZAŠTITE
Dječji vrtić kao voditelj obrade osobnih podataka, radi osiguravanja poštovanja uvjeta iz Opće uredbe, obvezan je poduzeti odgovarajuće tehničke, organizacijske, ali i kadrovske mjere zaštite osobnih podataka kako bi se osobni podatci zaštitili od neovlaštenih pristupa i moguće zloporabe. U tom smislu, Opća uredba sugerira uvođenje internih politika (dakle, donošenje određenih pravilnika o postupanju) i provođenje mjera koje bi ispunile načela tehničke i integrirane zaštite podataka i osigurale zaštitu osobnih podataka od slučajne ili namjerne zloporabe, uništenja, gubitka, neovlaštenih promjena ili pristupa, a pritom uzimajući u obzir stanje tehnološkog razvoja, troškove, vrstu podataka koji su zaštićeni, kao i potencijalne štete koja može proizaći iz možebitne povrede.
Slijedom navedenog, da bi se izbjegao neovlašteni pristup osobnim podatcima, dječji vrtići kao voditelji obrade osobnih podataka, podatke kojima raspolažu u pisanom obliku, ako ih čuvaju u registratorima i dosjeima, trebaju čuvati u zaključanim ormarima. S druge strane, dječji vrtići podatke u elektroničkom obliku koje čuvaju u računalu trebaju štititi tako da zaposlenicima zaduženim za obradu podataka dodijele korisničko ime i lozinku koja je poznata samo zaposleniku zaduženom za obradu podataka kojem pripada, a radi daljnje sigurnosti i tajnosti podatke u elektroničkom obliku pohranjivati na prenosive memorije. Nadalje, dječji vrtići bi, prema potrebi, a posebice prilikom objave podataka koji bi se mogli pripisati određenom ispitaniku, trebali provesti postupak pseudonimizacije, kao jednu od tehničkih mjera zaštite osobnih podataka.
Zaključno, dječji vrtići svojim internim pravilnicima trebaju propisati odgovornost osoba zaduženih za obradu osobnih podataka za slučajne gubitke ili uništenje osobnih podataka, potom za nedopušten pristup ili nedopuštene promjene osobnih podataka, za nedopušteno objavljivanje i svaku drugu zloporabu osobnih podataka, a konačno i za čuvanje i povjerljivost podataka kojima raspolažu u okviru obavljanja svojih poslova.
9. NADZORNO TIJELO
Agencija za zaštitu osobnih podataka (u nastavku teksta: Agencija) pravna je osoba s javnim ovlastima koja samostalno i neovisno obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom, odnosno kao nadzorno tijelo koje na području Republike Hrvatske prati i provodi primjenu Opće uredbe. Agencija promiče javnu svijest o rizicima, zaštitnim mjerama, pravilima i pravima u svezi s obradom osobnih podataka, kao i njihovo razumijevanje. Što se tiče obrade osobnih podataka djece, Agencija mora, jer je riječ o posebno ranjivoj kategoriji građana, posebnu pozornost posvetiti nadzoru zakonitosti obrade osobnih podataka te kategorije subjekata.
Budući da je Opća uredba tek u svibnju 2018. stupila na snagu u Republici Hrvatskoj, još uvijek ne postoji praksa Agencije, bilo u području povrede prava privatnosti djece u dječjim vrtićima, bilo u području zloporabe osobnih podataka djece od strane dječjih vrtića. Međutim, iako datira iz vremena prije stupanja na snagu Opće uredbe, valja istaknuti Rješenje Agencije od 29. veljače 2016.,KLASA: UP/I-041-02/15-01/137, URBROJ: 567-02/12-16-01 (u nastavku teksta: Rješenje) 4 doneseno po službenoj dužnosti, a kojim je utvrđeno nezakonitim postupanje dječjeg vrtića, koje se sastojalo u javnoj objavi listi za upis djece u 2015./2016. pedagoškoj godini na mrežnim stranicama dječjeg vrtića jer su predmetne liste sadržavale osobne podatke djece, i to njihova imena, prezimena i datume rođenja. Agencija je predmetnim Rješenjem utvrdila da je takvo postupanje protivno člancima 6. i 7. Zakona o zaštiti osobnih podataka (Nar. nov., br. 103/03, 118/06, 41/08, 130/11 i 106/12) i naložila njihovo uklanjanje.
U predmetnom slučaju, Agencija je sama došla do saznanja da je predmetni dječji vrtić javno objavio listu za upis djece onako kako je netom opisano i zatražila pisano očitovanje o pravnom temelju i zakonitoj svrsi za objavu spornih osobnih podataka maloljetne djece. U svom očitovanju, dječji vrtić istaknuo je da je listu upisane djece sa spornim osobnim podatcima objavio na zahtjev roditelja, postupajući u dobroj vjeri, vodeći se načelima transparentnosti, dostupnosti i ekonomičnosti te istovjetnom ustaljenom praksom drugih dječjih vrtića. Osim navedenog, da su javnoj objavi o upisu djece naznačili da su osobni podatci prikupljeni isključivo u svrhu upisa djece u vrtić te da su te podatke u tu svrhu i objavili.
Agencija je svoje Rješenje, prema kojem je takva objava osobnih podataka bez pravnog temelja i zakonite svrhe, obrazložila na sljedeći način:
»Naime, Pravilnikom o upisu djece i ostvarivanju prava i obveza korisnika usluga u Dječjem vrtiću I. B. M. koji je javno dostupan uređena je materija koja se odnosi na izneseno. Međutim, navedenim je uređeno da se rezultati upisa objavljuju javno na oglasnoj ploči matičnog vrtića, u obliku privremene liste po područnim odjelima i odgojno-obrazovnim skupinama koja sadrži redni broj, prezime i ime, ukupan broj bodova, te podatke o prihvaćenim i odbijenim zahtjevima te slobodnim kapacitetima po područnim odjelima i odgojno-obrazovnim skupinama dječjeg vrtića nakon utvrđenih rezultata.
Isto tako, navedenim Pravilnikom taksativno su navedeni podaci koji se javno objavljuju, pa je tako utvrđeno da u Pravilniku nisu navedeni datum i godina rođenja maloljetnog djeteta kao osobni podaci koji se objavljuju javno na oglasnoj ploči matičnog vrtića, stoga smatramo da je i u tom dijelu došlo do objave osobnih podataka djece u prekomjernom opsegu, ne poštivajući niti odredbe internog akta kojim je uređena predmetna materija, niti odredbe Zakona o zaštiti osobnih podataka (članak 6.). Na osnovu svega navedenog kao i uvidom u spomenuti Pravilnik od strane ove Agencije utvrđeno je da Pravilnikom nije izričito propisana objava osobnih podataka djece na internetskim stranicama već da je navedena mogućnost javne objave na oglasnoj ploči matičnog vrtića u obliku privremene liste. Stoga, u konkretnom slučaju ne nalazimo pravni temelj niti zakonitu svrhu sukladno članku 6. i 7. Zakona o zaštiti osobnih podataka za objavu osobnih podataka maloljetne djece na internetskim stranicama voditelja zbirke. Agencija za zaštitu osobnih podataka je stajališta da se osobni podaci maloljetne djece ne bi trebali objavljivati na internetu, osobito ako isto nije uređeno posebnim zakonom ili nema izričite privole roditelja kao zakonskih zastupnika maloljetne djece. Naime, potrebno je obazrivo pristupiti objavi osobnih podataka na internetu kao globalnoj mreži, na kojoj podaci koji se jednom objave postanu javno dostupni širokom krugu osoba, a što može dovesti do mogućih zlouporaba i neovlaštenog korištenja osobnih podataka. Stoga, smatramo da je internim aktom potrebno urediti način javne objave kako privremenih tako i konačnih lista na internetskim stranicama vrtića, osobito opseg osobnih podataka koji se javno objavljuju. Naime, u konkretnom slučaju radi se o osobnim podacima maloljetnika/djece koji se smiju prikupljati i obrađivati uz posebne mjere zaštite.
Stajalište je ove Agencije da se osobni podaci djece u navedenom opsegu nikako ne bi trebali javno objavljivati, odnosno da bi trebali biti na određeni način zaštićeni, tj. da se u opisanom slučaju razmotre drugi načini obavješćivanja ili npr. dodjeljivanjem posebnih šifriranih lozinki koje anonimiziraju identitet djeteta (ime i prezime), ulaskom u objavljene liste putem dodijeljenih korisničkih imena i lozinki koji su dostupni samo podnositeljima zahtjeva za upis u vrtić i slično. Rezultate upisa djece u dječji vrtić moguće je objaviti ukoliko je objava propisana Pravilnikom koji je javno dostupan kako bi roditelji bili informirani sukladno članku 9. Zakona o zaštiti osobnih podataka."
Slijedom navedenog, iako je Zakon o zaštiti osobnih podataka, na temelju kojeg je Agencija donijela predmetno Rješenje, prestao važiti stupanjem na snagu Opće uredbe i Zakona, smatramo da se ono i dalje treba smatrati relevantnim za buduće istovjetne ili slične slučajeve postupanja u odnosu na osobne podatke djece te da se dječji vrtići, iako to nije izrijekom propisano nekim zakonskim ili podzakonskim aktom, u svom postupanju trebaju voditi praksom Agencije ustanovljenom ovim Rješenjem i u svojim internim aktima inkorporirati smjernice postupanja koje proizlaze iz tumačenja Agencije, kao nadzornog tijela za provedbu Opće uredbe.
[1] Članak 4. st. 1. toč. 1. Opće uredbe.
[2] Konvencija o pravima djeteta usvojena je na 44. zasjedanju Opće skupštine
Ujedinjenih naroda, 20. studenoga 1989. (Rezolucija br. 44/25) i stupila na snagu 2. rujna 1990.; u Republici Hrvatskoj na snazi je od 8. listopada 1991., kada je Vlada
Republike Hrvatske donijela posebnu odluku kojom se na temelju notifikacije o sukcesiji
od bivše države, Republika Hrvatska smatra strankom Konvencije o pravima djeteta od
dana osamostaljenja.
[3] Članak 1. Konvencije o pravima djeteta.
[4] Tekst Rješenja objavljen je na službenoj stranici Agencije za zaštitu osobnih
podataka www.azop.hr, a dostupan je na sljedećoj poveznici:
https://azop.hr/images/dokumenti/488/rjesenje-zastita_privatnosti_djece_u_vrticima.pdf