Zagreb na meti javne objave osobnih podataka: AZOP upozorava i zabranjuje objavu

Nakon što je Gradska uprava Zagreba javno objavila osobne podatke više od 1100 osoba, uključujući ime, prezime i OIB, Agencija za zaštitu osobnih podataka (AZOP) izdala je službenu opomenu i naložila hitno povlačenje i zabranu daljnje objave takvih podataka. Ovaj slučaj ističe važnost poštivanja zakonskih odredbi o zaštiti osobnih podataka prema Općoj uredbi o zaštiti podataka (GDPR).

Koje su ključne informacije o objavi i zabrani objave osobnih podataka u Zagrebu?

Grad Zagreb je, na svojim službenim internetskim stranicama, objavio dokument pod nazivom „Prijedlog liste reda prvenstva za davanje stanova u najam prema socioekonomskom statusu“, u kojem su bili sadržani osobni podaci otprilike 1100 kandidata. Ovi podaci uključivali su imena, prezimena te OIB, što je protivno odredbama GDPR-a, koji strogo štite privatnost pojedinaca.

Zašto je objava ovih podataka sporna?

Legalni aspekti: Grad Zagreb je naveo da je objava temeljem odluke o najmu stanova, no AZOP je istaknuo da takva odluka nema jasnu zakonsku osnovu izvan provedbenih akata, što je nedovoljno za zakonitu objavu osobnih podataka.
Opseg podataka: GDPR jasno navodi da se pri objavi podataka mogu prikazivati samo minimalni potrebni podaci, poput imena i prezimena, a ne i OIB-a, koji je osobni identifikator i osjetljiv podatak.
Privola ispitanika: Ispitanici su imali potpisanu privolu za prikupljanje kontaktnih podataka, ali ne i za javnu objavu identifikacijskih OIB-ova, što je jasno istaknuto u odlukama AZOP-a.

Kako je AZOP reagirao na objavu osobnih podataka u Zagrebu?

AZOP je nakon provedenog nadzora izdao službenu opomenu Gradu Zagrebu i zabranio daljnju javnu objavu i obradu osobnih podataka. U svojoj odluci, AZOP je naglasio da bi objava podataka smjela biti opravdana samo zakonskom obvezom, a ne provedbenim odlukama ili internim odlukama lokalnih vlasti.

Što kaže GDPR o objavi osobnih podataka?

Pravna osnova: Objavljivati osobne podatke moguće je samo ako postoji jasna i zakonski propisana obaveza ili informirana privola ispitanika koja pokriva tu vrstu obrade.
Minimalni podaci: Pri javnoj objavi, smiju se koristiti samo neosjetljivi podaci koji omogućavaju identifikaciju osobe, no ne i osjetljivi podaci poput OIB-a bez posebne zakonske osnove.
Pravo na pristup i transparentnost: Osobe imaju pravo biti informirane o načinu i svrsi obrade njihovih podataka, a sve to mora biti transparentno i dostupno u skladu s zakonskim odredbama.

Što je točno objavljeno u Zagrebu i zašto je to problem?

Na internetskim stranicama grada objavljena je lista kandidata za najam stanova, gdje je bilo vidljivo njihovo ime, prezime, te OIB. Takva vrsta objave omogućila je svakom prolazniku ili bilo kojem drugom korisniku da lako pristupi i identificira pojedince što je u suprotnosti s GDPR-om. Takva praksa može dovesti do različitih problema, od narušavanja privatnosti do zloupotrebe osobnih podataka u svrhe koje nisu predviđene ni odobrene pravnim okvirom.

Primjeri i posljedice objave takvih podataka

Potencijalna zloupotreba: Osobni podaci mogu biti iskorišteni za prevaru, krađu identiteta ili druge oblike zloupotrebe.
Osobna sigurnost: Javna dostupnost OIB-a i imena povećava rizik od ciljanih napada, prijevara ili ucjena.
Usklađenost s zakonskim normama: Nepridržavanje GDPR-a može dovesti do visokih kazni, do 20 milijuna eura ili 4% godišnjeg prometa poduzeća.

Kakve su preporuke i obaveze za lokalne vlasti u 2026. godini?

U 2026., i zakonske regulative i smjernice za zaštitu podataka naglašavaju obavezu opreza pri obradi i objavi osobnih podataka u javnom prostoru. Stručnjaci preporučuju da lokalne vlasti:

Uvijek provjere pravnu osnovu za objavu podataka u skladu s GDPR-om
Smanje volumen podataka koji se javno objavljuju na minimalnu razinu
Korištenje anonimizacije i pseudonimizacije za javne liste
Prije objave, osiguraju transparentnost i informiraju ispitanike o načinu obrade podataka
Implementiraju sustave za zaštitu i kontrolu pristupa osobnim podacima

Koji su primjeri dobre prakse u javnoj objavi podataka?

Primjeri dobre prakse uključuju anonimizaciju, gdje se koriste inicijali, redni brojevi ili drugi sigurnosni identifikatori, čime se osigurava da osoba nije direktno identificirana. U nastavku su navedeni neki od najboljih načina za sigurno i zakonito prikazivanje takvih podataka:

Korištenje inicijala umjesto punog imena
Uključivanje samo neosjetljivih podataka poput ukupnog broja zahtjeva ili statusa
Korištenje rednih brojeva ili pseudonima
Objavljivanje samo statističkih podataka bez detalja o pojedincima

Zašto je važno pratiti zakonodavne promjene i preporuke?

U dinamičnom pravnom okviru kakav je GDPR, pravila i smjernice se redovno mijenjaju kako bi se bolje štitila privatnost građana i osiguralo njihovo pravo na kontrolu osobnih podataka. U 2026., predviđa se da će se zakonska regulativa dodatno pooštriti, a nadzorne institucije će biti aktivnije u sankcioniranju nepravila.

Sažetak postignuća i izazova

Dok je cilj javnog informiranja transparentan i dostupan svim građanima, to ne smije narušavati njihovu privatnost. Učinkovitost GDPR-a leži u ravnoteži između nužnosti javnih informacija i zaštite osobnih podataka. Iz primjera Zagreba vidimo da je nužno poštivati granice zakonskog okvira, a to zahtijeva stalno praćenje i prilagodbu poslovnih i administrativnih praksi.

Česta pitanja (FAQ) o objavi osobnih podataka u Zagrebu i zaštiti privatnosti

1. Mogu li gradovi objavljivati osobne podatke građana u javnim listama?

Objava osobnih podataka u javnim listama je moguća samo ako postoji jasna zakonska osnova ili informirana privola ispitanika. Bez toga, takva praksa je nezakonita prema GDPR-u i može dovesti do kazni.

2. Koje podatke smijem objaviti u skladu s GDPR-om?

Možete objavljivati minimalne podatke poput imena i prezimena, a osobne identifikatore kao što su OIB ili osobna iskaznica ostaviti privatnim ili koristiti pseudonimne identifikatore pri javnoj prezentaciji.