O važnoj temi zaštite osobnih podataka, privatno i u poslovnim aktivnostima, razgovarao sam s gospodinom Igorom Barlekom koji, između ostalog, štiti osobne podatke učenika i zaposlenika IV. osnovne škole Varaždin.
Danas je pitanje zaštite podataka značajnije nego ikada do sada budući da se naši osobni podaci prikazuju, koriste i arhiviraju gotovo pri svakom korištenju neke javne usluge, kupnje, liječenja, pohađanja nekog javnog događaja, pretraživanja interneta i slično. Ipak, usprkos važnosti osobnih podataka, građani, pa tako i učenici, uglavnom nisu upoznati s njihovom zaštitom kao niti sa svojim pravima.
Širom upotrebom interneta i društvenih mreža značajno su se promijenile granice privatnog i onog što postaje javno. Onog trenutka kad nešto objavimo posredstvom interneta, društvenih mreža ili sustava AAI@EduHr, mi zapravo više nemamo kontrolu nad tim sadržajem. Stoga je bitnije nego ikada upoznati se s Općom uredbom o zaštiti podataka (GDPR) kojoj je primarni cilj dati pojedincima kontrolu nad njihovim osobnim podacima.
Najbolji način za upoznavanje s navedenom temom je razgovor sa stručnjakom za zaštitu osobnih podataka gospodinom Igorom Barlekom koji donosimo u nastavku:
Gospodine Barlek, što vas je inspiriralo da se bavite zaštitom podataka?
Profesionalno se bavim proučavanjem europske regulative već posljednjih 15-ak godina, posebice u području telekomunikacija, interneta i zaštite korisnika. Te teme su mi odavno “ušle pod kožu” i priznajem da volim znanje i iskustva dijeliti s drugima.
Krajem 2015. godine detaljno sam proučavao prijedlog teksta EU Opće uredbe o zaštiti podataka ili skraćeno GDPR (General Data Protection Regulation), koja je od strane Europskog parlamenta donesena na proljeće 2016. i čitajući je shvatio koliko će njeno donošenje i poštivanje biti od iznimne važnosti u današnjem svijetu interneta i njegove stalne evolucije, društvenih mreža, nebrojenih novih aplikacija koje svi volimo, ali i u online svijetu u kojem nam sve više prijete opasnosti krađe našeg identiteta, naših osobnih podataka i naše privatnosti.
Osobno sam uvjerenja da je vjerojatno jedina stvar kojoj smo mi stvarni vlasnici – naša privatnost, ali premalo ljudi je svjesno koliko smo tu privatnost izgubili u online svijetu.
Stoga sam odlučio posvetiti svoj profesionalni put osvještavanju škola, tvrtki, udruga i javnosti o nužnosti i načinima očuvanja vlastite privatnosti.
Uz mnoštvo drugih klijenata, zaduženi ste i za zaštitu osobnih podataka svih učenika i zaposlenika IV. osnovne škole Varaždin. Što točno radite za Školu?
U pravu si, angažiran sam od strane niza škola, dječjih vrtića, fakulteta, općina, IT firmi, privatnih i državnih tvrtki i zdravstvenih ustanova da im pomognem u uvođenju potpune brige o osobnim podacima svih osoba koje su ih im dale na povjerenje.
Tako sam i za IV. osnovnu školu Varaždin provodio projekt usklađivanja s GDPR-om, u kojem smo prvenstveno posvetili vrijeme na edukaciju svih učitelja i svih zaposlenika Škole.
Kao Službenik za zaštitu podataka neprekidno sam na raspolaganju svima vama, od vas učenika i vaših roditelja, učiteljima i zaposlenicima za sva pitanja ili dvojbe kako postupati s osobnim podacima u pojedinim situacijama te ako je netko zabrinut ili nezadovoljan postupanjem škole s njegovim ili njezinim osobnim podacima. Tu sam uvijek na raspolaganju za sve vas. Posebnu pažnju posvećujem prikupljanju osobnih podataka prvašića prilikom upisa, prilikom objava na web stranici ili društvenim mrežama uspjeha pojedinog od vas učenika na nekom natjecanju, informiranju roditelja o tome, sprječavanju nepotrebnih objava osobnih podataka kandidata za zapošljavanje u školi i kontinuiranom održavanju osviještenosti svih učitelja i zaposlenika škole o potrebi vođenja brige o privatnosti učenika, roditelja i drugih osoba. Vjerujem da je i svim zaposlenicima škole puno lakše kada mogu u svakom trenutku dobiti rješenje za svoj problem ili odgovor na dvojbu kad je u pitanju upravljanje osobnim podacima.
Koja su najčešća kršenja GDPR-a unutar školskih sustava?
Odlično pitanje. Nažalost, pogreške se događaju i uvijek će se događati. Zato je tu uloga Službenika za zaštitu podataka važna da bude uvijek dostupan za provjeru kako izbjeći pogreške, prije nego ih učinimo. Događa se ponekad da se na web stranicama neke škole ili na službenoj Facebook stranici škole objave neke fotografije učenika čiji roditelj nije bio o tome upoznat i nije dao svoj pristanak na takvu javnu objavu. Dogodi se ponekad i da se na web stranici objave osobni podaci svih kandidata za određeno radno mjesto, što nije u redu s aspekta njihove privatnosti i tada ja žurno dajem uputu da se takav popis ukloni. Srećom, tvoja škola je odlična po pitanju zaštite privatnosti svih osoba čije osobne podatke škola prikuplja.
Kako je nastava na daljinu utjecala na GDPR u školama?
Moram priznati da sam bio vrlo zabrinut za sve škole o kojima vodim brigu kao njihov Službenik za zaštitu podataka kako će se odvijati online nastava na koju smo bili prisiljeni prijeći doslovno u samo nekoliko dana, bez dovoljno vremena za pripremu.
Za sve nas je to bila novost i nepoznanica. Škole su počele koristiti nove aplikacije za nastavu na daljinu, nitko nije mogao znati hoće li biti problema s aktiviranjem računa svih učitelja i učenika za njihovo korištenje, hoće li netko ukrasti tuđi identitet nakon što sazna tuđu lozinku, hoće li nam netko nepozvan upadati u online nastavu putem video aplikacija, ili hoće li nam računala koja imamo kod kuće donijeti i određene prijetnje na sigurnost naših osobnih podataka s obzirom da su razni zlonamjernici, ili drugim imenom hakeri, bili svjesni da nismo svi jednako dobro educirani u zaštiti svoje privatnosti u online okruženju.
No, škole, barem ove za koje brinem kao Službenik za zaštitu podataka, su se u kratkom vremenu jako dobro pripremile za online nastavu i gotovo da nije bilo neugodnih ili neželjenih situacija i kompromitiranja osobnih podataka.
Stoga bih i ovim putem želio čestitati svim školama jer su uspješno izvršile digitalnu transformaciju nastave u tako kratkom vremenu.
Može li netko van školskog sustava ukrasti informacije dijeljene na online nastavi?
Čim se radi o online nastavi ili bilo kojem vidu online aktivnosti, opasnosti vrebaju. Na internetu je prisutno jako puno pojedinaca koji vrebaju iz prikrajka pokušavajući upasti u video sastanke i online nastavu ili pak prikupiti što više informacija o nama kako bi temeljem njih pokušali zaključiti koja nam je lozinka. Nažalost, vrlo često učitelji i učenici koriste istu lozinku za više aplikacija, online usluga ili društvenih mreža, pa hakeri lako mogu jednom otkrivenu lozinku isprobati na drugim aplikacijama pa tako i za pristup školskim sustavima online nastave ili imeniku s ocjenama.
Zato je potreban velik oprez i nužnost je da se za svaku pojedinu aplikaciju, društvenu mrežu ili online trgovinu koristi drugačija lozinka.
Koje se informacije ili podatci najčešće kradu te zlorabe posredstvom interneta?
Osim lozinki za pristup društvenim mrežama ili aplikacijama, najčešća meta krađa u online svijetu su podaci o bankovnim karticama. Uslijed globalne COVID-19 pandemije svi smo počeli koristiti online trgovine i razna web mjesta na kojima je moguće iskoristiti blagodati kupnje iz udobnosti svoje fotelje.
No, nažalost, tu vrebaju ozbiljne opasnosti. Prilikom kupnje u online trgovini moramo unijeti i podatke s bankovne kartice, uključujući i zaštitni troznamenkasti ili četveroznamenkasti broj s poleđine bankovne kartice, koji znamo samo mi kao vlasnici bankovne kartice i kojim se osigurava da je samo mi možemo iskoristiti za plaćanje. No, ukoliko podatke s bankovne kartice i zaštitni broj neoprezno upišemo na web stranici neprovjerene online trgovine, može nam se dogoditi da sve te podatke s bankovne kartice uzmu zlonamjernici i korištenjem tih podataka sami nastave kupnju pod našim imenom i na naš trošak.
Jako je važno nikome neprovjerenom ne odavati podatke s naše bankovne kartice, nikome ne odavati zaštitni broj s poleđine, nikada ne slati kopiju bankovne kartice i nikada ne navoditi podatke bankovne kartice u emailu. Također, važno je redovito provjeravati stanje svojih bankovnih računa i po otkrivanju sumnjivog smanjenja iznosa odmah prijaviti sumnju banci čiju bankovnu karticu koristimo.
Može li bilo tko ukrasti informacije ili to može samo profesionalac?
U online svijetu informacije koje pripadaju našoj privatnosti može ukrasti bilo koji pojedinac koji ima određeno informatičko znanje i iskustvo kao i znanje informacijske sigurnosti i gdje se nalaze mogući propusti u sigurnosti online sustava.
99,99% takvih stručnijih ljudi ne zanima prijevara, već upravo dijele svoja znanja s drugima da ih zaštite i to ih razlikuje od onih rijetkih koji imaju zle namjere.
No, mene iskustvo uči da vrlo često mi sami neoprezno otkrivamo informacije o sebi koje zlonamjernici mogu iskoristiti. Prvenstveno se radi o otkrivanju previše privatnih informacija na društvenim mrežama čije objave su vidljive širokoj javnosti i iz njih se može saznati ime našeg psa ili voljene osobe, datuma rođenja i drugih informacija, temeljem kojih zlonamjernici putem snažnih računalnih alata stvaraju sve moguće kombinacije brojki i slova ne bi li uspjeli “provaliti” našu lozinku.
Koji je motiv krađe informacija?
Definitivno je jedan od glavnih motiva financijska korist. Tu spadaju izravne krađa s našeg bankovnog računa ili prijevare prilikom online kupnje krađom našeg identiteta korištenjem naših osobnih podataka. U financijsku korist spadaju i prodaje naših osobnih podataka na tzv. crnom tržištu gdje se naše email adrese, telefonski brojevi i drugi podaci koriste za online oglašavanje i isporuku raznih prodajnih sadržaja na adrese elektroničke pošte.
Kako je moguće zlorabiti tuđe podatke ?
Nažalost, vrlo bolna iskustva naših sugrađana pokazuju čest primjer zlouporabe.
Kako smo svi više-manje ekološki osviješteni, tako volimo i plaćene račune za komunalne ili telekomunikacijske usluge baciti u kontejnere za zbrinjavanje papirnatog otpada. No, ti kontejneri su najčešće nezaštićeni na ulici te zlonamjernici vole “prokopati” po njima ne bi li pronašli naš bačeni račun. A na našem računu nalaze se ime i prezime, adresa, OIB i usluge koje koristimo, zapravo svi nužni podaci koje zlonamjernik može iskoristiti za online narudžbu i kupnju novog skupog mobitela i nove pretplate za telekomunikacijske usluge, za koje račun telekom operatora tek naknadno dolazi na adresu osobe o čijim se osobnim podacima radi i koja je bacila stare račune. A skupi je mobitel zlonamjernik već dodatnom prijevarom “pokupio” ispred našeg stana ili neoprezom dostavljača koji nije provjerio njegov identitet uvidom u osobnu iskaznicu.
Jeste li zadovoljni s razinom zaštite u školskom sustavu?
Škole u Hrvatskoj prikupljaju i pohranjuju zaista velike količine osobnih podataka prvašića, sadašnjih i bivših učenika, njihovih roditelja i članova obitelji, bivših i sadašnjih učitelja, posjetitelja školama. Istovremeno škole imaju vrlo ograničena financijska sredstva kojima bi mogle osigurati jače mjere zaštite dokumentacije ili popravka dotrajalih ormara i radnih stolova u kojima čuvaju dokumente s osobnim podacima, neke škole nemaju ni zaštitne metalne sefove u kojima bi čuvali vrlo osjetljivu dokumentaciju o zaposlenicima, djeci s teškoćama, matične knjige ili spomenice.
I Agencija za zaštitu osobnih podataka je službeno potvrdila u svom Godišnjem izvješću za 2019. godinu da je opće stanje zaštite osobnih podataka u školama na nedovoljno visokoj razini i da je nužno uložiti dodatne napore u tom području.
Istovremeno, kolege iz Agencije za zaštitu osobnih podataka mi priznaju da se osjećaju potpuno mirnima i sigurnima za škole kojima sam ja Službenik za zaštitu podataka, ali to je samo 1% svih škola u Hrvatskoj.
Smatrate li da su djeca neodgovorna ili nedovoljno oprezna pri dijeljenju ili objavljivanju osobnih podataka i informacija putem društvenih mreža?
Čvrstog sam uvjerenja da djeca ne mogu biti smatrana odgovornima za svoje objave na internetu, jer ih netko o tome mora educirati i skrenuti im pozornost što dobro rade i o čemu moraju voditi dodatnu brigu i oprez. Prvenstvena odgovornost je na roditeljima koji bi trebali razgovarati sa svojom djecom, skretati pozornost, dati im dobre i loše primjere pa i vlastita iskustva.
Upravo o toj temi pisao sam i članak na najposjećenijem portalu o zaštiti osobnih podataka u Hrvatskoj, kojeg osobno vodim s ciljem osvještavanja i edukacije javnosti.
https://www.biconsult.hr/gdprcroatia/1035-kako-educirati-nasu-djecu-o-zastiti-privatnosti-3
Tema zaštite osobnih podataka i zaštite privatnosti svakim danom zauzima sve više prostora u medijima i javnim diskusijama, sve više se o toj tematici govori i u školama i na dobrom smo putu. Ali je još dug put pred nama.
Stoga sam zaista posebno zahvalan tebi i Školi jer ste prepoznali važnost ove teme i potrebu za educiranjem. Vjerujem da si svjestan koliko si ovom svojom inicijativom pomogao u jačanju svijesti svojih prijatelja u razredu i u cijeloj Školi.
Koje je Vaše mišljenje o konstantnom dijeljenju lokacije učenika putem pametnih telefona i društvenih mreža?
Odlično prepoznata prijetnja našoj privatnosti i sigurnosti koju možemo sami otkloniti. Definitivno treba izbjegavati otkrivanje svoje trenutne lokacije, koja također spada u naše osobne podatke i u našu suštinsku privatnost. Nema nikakvog opravdanja ni razloga da konstantno dijelimo našu lokaciju, a posebice ne javno ili na društvenim mrežama. Naš pametni telefon zna našu lokaciju u svakom trenutku, ali mi odlučujemo hoćemo li je i s kime podijeliti.
Stoga je važno na svim aplikacijama ukinuti dijeljenje vlastite lokacije ili, ako je naša lokacija nužna za korištenje neke aplikacije, da praćenje lokacije bude aktivno samo tijekom korištenja pojedine lokacije.
Što se tiče dijeljenja lokacije na društvenim mrežama, svi volimo podijeliti lokaciju s nekog mjesta na koje smo otputovali zajedno s obitelji. Međutim, takvim objavama provalnici lako saznaju da nismo kod kuće. Jednostavno, ako se već želimo pohvaliti da smo na moru i otkriti lokaciju, učinimo to tek po povratku kući.
Imate li koji savjet za naše čitatelje, a vezan uz zaštitu osobnih podataka?
Kao i u svim aspektima života, važno je učiti i nadograđivati svoja znanja i u području zaštite osobnih podataka, ne ignorirati vijesti ili medijske objave o slučajevima krađe identiteta, učiti iz takvih primjera i dijeliti iskustva i znanja sa svojim prijateljima.
Na isti način na koji svi učenici međusobno dijele informacije o novim aplikacijama, novim društvenim mrežama, novim dostupnim tehnologijama ili gadgetima, sve vas pozivam da međusobno podijelite i svoja dobra i loša iskustva kako bi pomogli jedni drugima da ne budu žrtve neke nove prijevare na internetu. Još jednom najljepše zahvaljujem na ovim odličnim pitanjima, čast i zadovoljstvo mi je i na ovaj način pomoći u edukaciji učenika koji žele zaštititi svoju privatnost.
U četvrtak, 28. siječnja, obilježava se Europski dan zaštite osobnih podataka. Obilježava se od 2006. godine kada je Odbor ministara Vijeća Europe o tome donio Odluku. Cilj je poticati upoznavanje europskih građana s njihovim pravima i obvezama na polju zaštite osobnih podataka te je to bio povod i za ovaj intervju. U mnoštvu korisnih informacija koje nam je predočio gospodin Barlek važno je izdvojiti podatak da naša Škola čini sve kako bi zaštitila osobne podatke učenika i zaposlenika. Također, važno je upamtiti da nije poželjno koristiti istu lozinku na različitim mjestima te da uvijek moramo voditi računa o svojim osobnim podatcima; na internetu, u školi i prilikom obavljanja svakodnevnih poslova kao što je plaćanje računa.
Vito Weiser, 8.a
