Taj @ znak stvarno je magičan. Kao da protrljaš uljanicu…
Nema me na forumu jer posla ima, a Milanovićeve fantazmagorije o tome kako mi imamo jaki IT-sektor se najbolje raskrinkavaju u slabom životu ovakvih foruma.
O pitanju. Ovo uopće nisu jednostavne stvari. A ja nisam pravnik, pa baš i nemam dobro razvijen način promišljanja o tome. Ali evo mojih par centi, pa…
Zakon o zaštiti osobnih podataka zapravo spominje samo dvije osobe: ispitanika (to je građanin čiji se osobni podaci prikupljaju) i voditelja zbirke osobnih podataka (to je fizička ili pravna osoba koja utvrđuje svrhu i način obrade osobnih podataka). Zakon potom utvrđuje pod kojim se uvjetima osobni podaci smiju obrađivati.
U članku 7. stavku 1. Zakon određuje ovlasti koje mora imati onaj koji prikuplja i obrađuje podatke. Prva ovlast koja se navodi jest da ima privolu ispitanika da obrađuje podatke u točno određenu svrhu.
U članku 9. stavku 2. Zakon kaže da prije davanja zbirke osobnih podataka na korištenje drugim primateljima, voditelj je zbirke dužan o tome informirati ispitanika. Gledajući isključivo ovaj stavak, zakon ne brani da se podaci daju drugima, niti nalaže da se od ispitanika mora tražiti privola za davanje, već samo zahtjeva da se ispitanika obavijesti o tome da će podaci postati dostupni i drugome.
U članku 11. stavku 3. Zakon eksplicitno brani da se osobni podaci daju na korištenje drugim primateljima koji za njihovu obradu/korištenje nisu ovlašteni u skladu s člankom 7. Zakona.
Dakle, moj zaključak cjelovitog čitanja bi ovdje bio da onaj koji je dobio privolu ispitanika te podatke smije ipak dati samo onome koji je i sâm dobio privolu ispitanika, a uz to još ispitanici o tome moraju biti obaviješteni. Pa bi se na prvi pogled činilo da nikako nije moguće predati zbirku osobnih podataka nekom drugom, bez da se o tome i obavijesti ispitanike, ali i dobije privola od njih. Ali prisjetimo se da prilikom predaje naših osobnih podataka prihvaćamo uvjete korištenja koji uvijek uključuju i nekakvo dopuštenje za njihovo dijeljenje i s nekim trećima. Na primjer, kada potpisujete nešto u banci, uvijek će vam stajati da banka može dijeliti vaše osobne podatke s drugim članicama njihove grupe (što u praksi valjda znači s pola svjetskog bankarskog sektora). Ako pogledate uvjete Konzumove kartice, stajat će da oni podatke mogu razmijeniti s tvrtkama koje sudjeluju u MultiPlusCard programu nagrađivanja korisnika. Da li su onda te druge tvrtke time postale i same ovlaštene u smislu kako nalaže čl. 11. st. 3.? Ha, valjda jesu. A popis tih tvrtki se može dinamički mijenjati, zar ne?
No, ono što je nepromijenjivo, jest i dalje svrha - podaci se smiju obrađivati samo u svrhu za koju je dana privola. Svrha se ne može proširivati tako što će se podaci predavati trećima.
Također, predajom podataka drugom primatelju, drugi primatelji nije postao “vlasnik” zbirke osobnih podataka. Drugim riječima, originalni voditelj zbirke i dalje ostaje voditelj zbirke, pa čak mora voditi i posebnu evidenciju o podacima koji su dani na korištenje, kome su dani na korištenje i svrsi u koju su dani na korištenje (čl. 11. st. 5. Zakona).
Da li je moguće “prodati” zbirku osobnih podataka? Prodaja bi značila da netko drugi postaje voditelj te zbirke osobnih podataka. A “transfer voditeljstva” zakon ne predviđa, već navodi, kako sam gore opisao da razumijem, da primatelj podataka i sam mora biti ovlašten od ispitanika. Znači prodaja bi po tome bila moguća, ali i kupac mora na ovaj ili onaj način ishodovati prethodnu privolu od ispitanika čije podatke kupuje. Treba uočiti da sama činjenica da netko zarađuje na prodaji osobnih podataka nije protuzakonita koliko se ovog Zakona tiče – bitno je da li je ispitanik dao privolu za obradu podataka. Ispitanik tu privolu ne mora dati ukoliko smatra da je takva prodaja nepoštena (ako nije zadovoljan s odnosom koji prodavač ima prema njemu i njegovim pitanjima, onda se ionako postavlja pitanje zašto uopće ne povuče svoju privolu i samom potencijalnom prodavaču?).
Kada govorimo o prodaji poslovanja u sklopu kojeg se “prodaje” i zbirka osobnih podataka možemo razmotriti prodaju nekakvog poduzeća. Kako je već spomenuto, bilo bi besmisleno da trgovački lanci, koji imaju zbirke i zbirke osobnih podataka svojih kupaca, te sve zbirke moraju baciti u smeće zato što se je promijenio vlasnik. Kao prvo, time što se je promjeno vlasnik, nije se promijenila pravna osoba koja je voditelj zbirke. Kao drugo, kupci koji su dali osobne podatke jer od toga imaju neke koristi neće biti presretni ako bi morali iznova podnositi prijavnice. Konačno, ako pravna osoba i prestaje postojati jer se stapa u kupčevu pravnu osobu, to se ipak događa po rješenju nekog suda – može li se time smatrati da se naprosto dane privole prenose na ovu pravnu osobu, jer dokle god svrha zbirke koja se tako prenosi i dalje postoji, a u njoj se sadržani podaci i dalje obrađuju na način koji odgovara toj svrsi, što je se zapravo promijenilo? No, čak i u tome slučaju stara pravna osoba može poslati svim svojim ispitanicima novi formular u kojem se podaci iznova “prikupljaju”, ali ovog puta u novu zbirku osobnih podataka koje je voditelj nova pravna osoba.
Uzmimo kao primjer ovog posljednjeg slučaj Mercatora i Konzuma. Voditelj zbirke osobnih podataka Pika trgovačke kartice je društvo Mercator-H d.o.o. koje uopće nije prestalo postojati. Njegov je osnivač Mercator d.d. Voditelj zbirke osobnih podataka MultiPlusCard trgovačke kartice je društvo MultiPlusCard d.o.o. Njegov je osnivač Konzum d.d. I sada je Toda kupio nešto sitno dionica Mercatora d.d. Sve je, zapravo, ostalo po starom – osim što Mercator i Konzum u Hrvatskoj moraju prodati određeni broj svojih poslovnica zbog sprječavanja koncentracije, pošto postoji netko (Agrokor d.d.) koji ima kontrolu i u jednom i u drugom (Agrokor i Jana su prošle godine skupili preko 90 % dionica Konzuma i povukli ih sve s tržišta).
I nedavno su svi korisnici Pika kartice dobili od Mercatora na svoju adresu pristupnice za MultiPlusCard program s već ispunjenim njihovim osobnim podacima. Pristupnicom ispitanik daje poduzeću MultiPlusCard d.o.o. privolu da obrađuje njegove osobne podatke. Zašto su pristupnice već ispunjenje? Pa zato jer će prijenos podataka po primitku pristupnice obaviti elektronički iz jedne zbirke u drugu.
Ovdje, dakle, nemamo prestanak jednog društva jer se spaja u drugo, već ta dva društva nastavljaju i dalje poslovati. Ali imamo jedno društvo koje koristi osobne podatke korisnika svojih trgovačkih kartica kako bi im ponudilo trgovačku karticu drugog društva. Ako ćemo biti picajzle, možemo se zapitati da li je svrha prikupljanja osobnih podataka u zbirku Pika kartice bila i to da se tako prikupljena poštanska adresa koristi i u svrhu nuđenja trgovačkih kartica drugog društva? Pa, u AZOP-ovom registru stoji ova svrha obrade: “Poslovanje Pika karticama te obavještavanje korisnika o novostima i ponudi Mercatora i partnera u sustavu te ciljanog marketinga.” Konzum je doista Mercatorov novi partner.
O prodaji dijela poslovanja, kao što je bilo u slučaju predaje ovog foruma iz nadležnosti jednog trgovačkog društva u drugo. Prvo, poduzeće koje prodaje forum je uopće trebalo registrirati zbirku osobnih podataka pri AZOP-u i imenovati voditelja osobnih podataka. Onda je poduzeće koje kupuje forum trebalo učiniti isto. Onda je poduzeće koje prodaje zbirku trebalo svim članovima kroz forum dostaviti obavijest i način za davanje privole društvu kupcu da obrađuje njihove osobne podatke. Recimo, možda se je mogao postaviti neki datum, nakon kojeg se prilikom prijave mora dati tražena privola ili se može izabrati brisanje osobnih podataka koje će nastupiti s datumom prijenosa vlasništva foruma. Ipak, implicitno je to učinjeno sa svima nama koji smo bili aktivni na forumu cijelo vrijeme. A ako su poslane obavijesti na mailove, možemo možda reći da je učinjeno i s onima čije e-mail adrese doista još uvijek jesu osobni podaci.
–
Vratimo se sada na FB stranice, uz ogradu da ja baš ne pratim funkcionalnost tog mjesta. Tko zapravo ovdje prikuplja osobne podatke? Prikuplja ih kompanija Facebook, Inc. Ali tko objavljuje osobne podatke? Pa objavljuju ih sami korisnici. Facebook, naime, ne traži od korisnika da ostavljaju ikakve osobne podatke, tj. ne uvjetuje svoje usluge niti upisom, niti objavom osobnih podataka. S druge strane, on uspostavlja nekakvu oglasnu ploču koja zapravo isključivo i služi tome da korisnici sami objavljuju svoje osobne podatke (kao što i ime kaže: face-book): imena, brojeve telefona, vlastite fotografije (još jednom: face-book). Time, dakle, neki admin neke FB-stranice nije doista prikupljao osobne podatke i stvorio zbirku osobnih podataka. On naprosto može na toj ploči vidjeti nešto što je korisnik sâm svojevoljno njemu učinio vidljivim “lajkajući” njegovu stranicu (jer to lajkanje i jest - dijeljenje osobnih podataka s nekim drugim). Prodajom FB-stranice on, meni se čini, ne prodaje nikakvu zbirku osobnih podataka, već naprosto krši ugovor koji ima s Facebookom, a u kojem se obvezao da neće svoje vlastite autentifikacijske podatke (korisničku oznaku i zaporku) otkrivati drugim osobama. Je li on zloupotrijebio povjerenje tim činom i postupio na nepošten način prema svima koji su lajkali njegovu stranicu? Pa, vjerojatno jest. Ali nisam baš siguran da ga se Zakon o zaštiti osobnih podataka ovdje dotikavlje… ne vidim kako.
–
I na kraju, ne znam postoji li tema o tome: pozivam sve da daju potpis za referendum. Ako se bojite da ćemo time upasti u veću močvaru, uočite da ako ostanemo u močvari u kojoj jesmo, onda ćemo sasvim sigurno život provesti u najvećoj močvari koju smo ikada imali prilike vidjeti.