Čak i vrlo obrazovane osobe s dobrim poznavanjem informacijskih tehnologija i usluga često nisu svjesne rizika za vlastitu privatnost. Elektronička komunikacija, trgovina, government-to-citizen usluge koje država nudi građanima i drugi vidovi primjene informacijske tehnologije predstavljaju značajan rizik zbog jednostavnog prikupljanja, obrade i analize podataka.
Kao što praktički ne postoji vid ljudskog djelovanja kojeg primjena informacijskih tehnologija nije fundamentalno promijenila, tako je teško zanemariti potrebu zaštite privatnosti u kontekstu razvijajućeg digitalnog okruženja. Uslijed sveprisutnog prikupljanja, obrade i analize osobnih podataka od strane vrlo različitih aktera (od državnih institucija do privatnih poduzeća), potrebno je usvojiti jasna pravila. Upravljanje osobnim podacima potrebno je i u sektoru obrazovanja i znanosti. Obrazovne institucije i obrazovni procesi također moraju usvojiti pravila o zaštiti osobnih podataka.
Osobni podaci, odnosno podaci na temelju kojih se može identificirati određenu fizičku osobu – ispitanika, bilo da je riječ o osobnom imenu, podacima poput OIB ili JMBG brojeva, podacima o nacionalnoj, religijskoj, političkoj, rodnoj ili bilo kakvoj drugoj pripadnosti, osim što nas identificiraju, nažalost mogu poslužiti i kao sredstvo diskriminacije.
Zbog toga, potrebno je usvojiti jasna pravila o njihovom prikupljanju i upotrebi. Ponekad, takva su pravila povezana s konkretnim upotrebama u okviru različitih djelatnosti i područja djelovanja države. Takvu, partikularnu regulaciju (koju, primjerice, srećemo u zakonodavstvu SAD) nazivamo područnim pristupom zaštiti osobnih podataka. Područni pristup zaštiti karakteriziran je nizom odredbi različitih zakona koji reguliraju različite aspekte privatnosti, svaki za sebe.
S druge strane, europski zakonodavac, pa tako i hrvatski, smatra da je potreba za zaštitom osobnih podataka fundamentalno ljudsko pravo, pa još devedesetih godina prošlog stoljeća (a RH 2003. godine) donosi smjernice jednog općeg pristupa zaštiti osobnih podataka. Privatnost, često definirana kao pravo osobe „da ju se ostavi na miru“, u suvremenom hrvatskom društvu predstavlja vrijednost zaštićenu Ustavom.
Osim toga, ona je zaštićena i posebnim zakonom – u hrvatskom zakonodavstvu, zaštita osobnih podataka regulirana je Zakonom o zaštiti osobnih podataka (ZZOP) . Ovaj Zakon usvojen 2003. godine (NN 103/03), a od tada nekoliko puta mijenjan i dopunjavan (NN 103/03, 118/06, 41/08, 130/11, 106/12), predstavlja pokušaj zakonodavca da na jednom mjestu uspostavi pravni okvir zaštite osobnih podataka, neovisno o djelatnosti, svrsi prikupljanja, karakteru ispitanika i drugih subjekata u obradi osobnih podataka.
U osnovi, zaštita osobnih podataka ovisi o karakteru samih osobnih podataka, temelju prikupljanja osobnih podataka, te odnosi se u prvom redu na kontrolu uspostave i rada zbirke osobnih podataka i djelovanja voditelja zbirke kao odgovorne osobe. Zakon sadrži pravila koja se odnose na postupak obrade, bez obzira o tome da li ih provodi sam voditelj ili je taj posao povjeren nekoj trećoj osobi.
U kontekstu zaštite osobnih podataka u obrazovnim procesima i radu obrazovnih institucija, osobni podaci koji se prikupljaju bit će u pravilu podaci o učenicima i studentima i njihovim obiteljima, te podaci o zaposlenicima takvih institucija.
U pogledu osobe voditelja zbirke kao osobe odgovorne za zaštitu prikupljenih osobnih podataka Zakon kaže da je to fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Tako će voditelj zbirke u pravilu biti obrazovna institucija kao pravna osoba.
U sustavu zaštite osobnih podataka centralno mjesto zauzima Agencija za zaštitu osobnih podataka (AZOP) uspostavljena 2003. godine. Dužnosti Agencije su raznolike: Agencija provodi nadzor nad zaštitom osobnih podataka, ukazuje na uočene zloporabe, sastavlja listu država i međunarodnih organizacija koje imaju odgovarajuće uređenu zaštitu osobnih podataka, rješava povodom zahtjeva za utvrđivanje povrede prava zajamčenih ZZOP-om i vodi središnji registar.
Osim navedenih zadaća, Agencija obavlja i druge poslove – prati uređenje zaštite osobnih podataka u drugim zemljama i surađuje s tijelima nadležnim za nadzor nad zaštitom osobnih podataka u drugim zemljama, nadzire iznošenje osobnih podataka iz Republike Hrvatske, izrađuje metodološke preporuke za unapređenje zaštite osobnih podataka i dostavlja ih voditeljima zbirki osobnih podataka, daje savjete u svezi s uspostavom novih zbirki osobnih podataka, daje mišljenja ukoliko postoji sumnja smatra li se pojedini skup osobnih podataka zbirkom osobnih podataka u smislu ZZOP itd.
Agencija je ovlaštena dati prethodno mišljenje o tome predstavljaju li određeni načini obrade osobnih podataka specifične rizike za prava i slobode ispitanika. U slučaju sumnje o postojanju specifičnih rizika, voditelj zbirke osobnih podataka dužan je zatražiti mišljenje Agencije.
Osobito važna zadaća AZOP je vođenje Središnjeg registra, odnosno (raniji zakonski naziv) Središnjeg registra evidencija o zbirkama osobnih podataka. Svrha središnjeg registra je prikupljanje podataka o ustrojenim zbirkama osobnih podataka, voditeljima zbirki, pravnom temelju prikupljanja podataka, svrsi, tipu i roku na koji se podaci prikupljaju itd. Središnji registar uspostavljen je i vodi se od strane AZOP-a na temelju ZZOP-a i Uredbe o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (NN 105/2004).
Postojeći nacionalni pravni okvir normativno i nominalno garantira visoku razinu zaštite. U praksi, kao i u pogledu mnogih drugih aktualnih pitanja, to često nije tako. Unatoč tome što je Zakon o zaštiti osobnih podataka na snagu stupio prije više od deset godina, nažalost još uvijek ne postoji dovoljna razina svijesti o tom pitanju, kao niti o obvezama koje voditelji zbirki imaju u kontekstu odredaba Zakona i suradnje s nadzornim institucijama.
Česti su propusti od strane voditelja zbirke (osobito često trgovačkih društava, ali i drugih pravnih osoba, pa čak i državnih institucija) da adekvatno ustroje zbirke osobnih podataka koje koriste u svakodnevnom radu, pa čak i da uopće prijave njihovo postojanje Agenciji za zaštitu osobnih podataka.
Normativnom okviru usprkos, u stvarnosti je potrebno još puno truda. Adekvatna zaštita privatnosti zahtjeva edukaciju svih subjekata (ispitanika, voditelja zbirki, javnih i privatnih tijela) i sustavno vođenje računa o tome kako se postupa i što se radi s osobnim podacima građana.
