Svaki građanin koji smatra da mu je povrijeđeno neko pravo zajamčeno propisima o zaštiti osobnih podataka može Agenciji za zaštitu osobnih podataka (AZOP) podnijeti zahtjev za utvrđivanje povrede prava. Osim toga, kako ističe AZOP, građanin se može obratiti i izravno voditelju obrade osobnih podataka, kako bi ostvario svoja prava slijedom propisa o zaštiti osobnih podataka. Voditelj obrade podataka je organizacija, društvo, poduzeće, državno tijelo ili drugo tijelo koje obrađuje podatke.
Naime, našoj redakciji se obratio čitatelj s pitanjem je li došlo do povrede njegovih osobnih podataka i što treba učiniti kako bi ih zaštitio. Kako navodi čitatelj, Zagrebačka banka je osjetljivu šifru za aktivaciju jedne od njihovih usluga poslala na broj telefona kojeg on već duže vrijeme ne koristi. O promjeni telefonskog broja čitatelj je banku već ranije izvijestio te je novi kontakt unesen u sustav. Unatoč tome, banka je osjetljivi podatak uputila na telefonski broj koji njen klijent ne koristi i koji je u vlasništvu treće osobe. I pritom je sama banka istaknula kako je riječ o podatku koji se “nikom ne prenosi i ne unosi u web-preglednike”.
Je li banka takvim postupanjem prekršila akte kojima se regulira zaštita osobnih podataka, AZOP u odgovoru na naš upit ne govori. Međutim, čitatelja upućuje na to što može napraviti.
„Sukladno čl. 34. Zakona o provedbi Opće uredbe o zaštiti podataka, svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno Općom uredbom o zaštiti podataka i Zakonom o provedbi Opće uredbe o zaštiti podataka, može Agenciji podnijeti zahtjev za utvrđivanje povrede prava sa svim relevantnim informacijama i dokazima koje potkrepljuju njegove navode“, navode iz AZOP-a.
Opća uredba o zaštiti podataka u javnosti je poznatija pod akronimom GDPR (General Data Protection Regulation).
AZOP na temelju podnesenog zahtjeva „može provesti nadzorne aktivnosti i utvrditi je li došlo do povrede prava“. Obrazac Zahtjeva za utvrđivanje povrede prava može se preuzeti ma mrežnim stranicama AZOP-a.
O povredi prava AZOP odlučuje rješenjem koje je upravni akt. Protiv tog rješenja nije dopuštena žalba, ali se tužbom može pokrenuti upravni spor pred nadležnim upravnim tijelom.
Osim toga, u ovom konkretnom slučaju, AZOP savjetuje da se čitatelj „obrati i izravno voditelju obrade (u konkretnom slučaju Zagrebačkoj banci) kako bi ostvario svoja prava koja su mu zajamčena Općom uredbom o zaštiti podataka (poput pristupa osobnim podacima ili prava na ispravak, kako bi se utvrdilo koje osobne podatke, odnosno broj mobitela banka obrađuje).
Osobni podaci su, primjerice, ime i prezime, adresa fizičke osobe, e-mail adresa, podaci o zdravlju, identifikacijska oznaka građana, podaci o plaći, ocjena đaka u školi, ponašanje, bankovni računi, porezne prijave, podaci o posudbi, mrežni identifikator (IP adresa), podaci o lokaciji, biometrički podaci (npr. otisak prsta), broj putovnice, broj osobne iskaznice…
Povredom osobnih podataka smatra se „kršenje sigurnosti osobnih podataka koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani“.