Legitimni interes


Legitimni interes


Nastavno na Vaše upite vezano uz obradu osobnih podataka koja se temelji na legitimnom interesu sukladno članku 6. stavku 1. točki f), navodimo sljedeće:

Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. Opće uredbe kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Nadalje, uvodnom izjavom 47 Opće Uredbe propisano je da legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.

Dakle, pozivanje uzvanika koji se nalaze u određenoj vezi s voditeljem obrade koji organizira određeno promotivno događanje, sukladno je odredbama Opće uredbe dok za pozivanje onih koji s istim nisu u nikakvoj vezi ne postoji pravni temelj u smislu članka 6. Opće uredbe. Primjerice, pozivanje uzvanika iz osobnih adresara radnika u protivnosti je s odredbama Opće uredbe.

Glede Vašeg pitanja vezanog uz fotografiranje te javnu objavu osobnih fotografija i/ili video snimaka osoba koji prisustvuju nekom događaju koje organizira Vaše društvo, Agencija ističe kako bi se navedena obrada mogla smatrati legitimnim interesom voditelja obrade, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

To znači da bi voditelj obrade, prije početka obrade, trebao provesti test razmjernosti.

Navedeni test razmjernosti (ravnoteže) sastoji se od sedam koraka koje provodi voditelj obrade:

1. procijeniti koja bi se pravna osnova iz članka 6. Opće uredbe mogla primijeniti
2. odrediti je li interes voditelja obrade zakonit ili nezakonit
3. utvrditi je li obrada nužna za ostvarivanje interesa
4. uspostaviti privremenu ravnotežu procjenjivanjem je li interes voditelja obrade podređen temeljnim pravima ili interesima osoba čiji se podaci obrađuju (ispitanika)
5. uspostaviti konačnu ravnotežu uzimanjem u obzir dodatnih zaštitnih mjera
6. dokazati usklađenost i osigurati transparentnost
7. što učiniti ako osoba čiji se podaci obrađuju (ispitanik) ostvaruje svoje pravo na prigovor

U čl. 21. Opće uredbe stoji da ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega, u skladu s člankom 6. stavkom 1. točkom (e) ili (f), uključujući izradu profila koja se temelji na tim odredbama. Voditelj obrade više ne smije obrađivati osobne podatke, osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Prilikom procjene voditelja obrade o tome je li legitimni interes jači od prava ispitanika, bitnu stavku čini, između ostaloga, i to je li na fotografiji istaknut pojedinac ili je u pitanju skupna fotografija. Naime, fotografija ne bi smjela biti izravno usmjerena na točno određenu osobu kojom se ona ciljano izdvaja iz mase. Također treba uzeti u obzir je li osoba „označena“ prilikom objave na društvenoj mreži te da li ju se jasno može identificirati i slično.

Osim toga, navodimo da je ispitanike koji prisustvuju određenom događanju potrebno prethodno obavijestiti o tome da će biti fotografirani i/ili snimani te da će njihovi osobni podaci biti javno objavljeni (fotografije, video snimci), a dodatno je potrebno poduzeti i sve ostale radnje kako bi se zaštitila privatnost sudionika.

S tim u vezi ističemo kako je za fotografiranje posjetitelja moguće pronaći pravni temelj u članku 6. stavku 1. točki f. Opće uredbe, i to samo ukoliko je obrada nužna odnosno neophodna za legitimnu svrhu te je ista u skladu s načelima proporcionalnosti i supsidijarnosti.

Slijedom iznesenog, a nastavno na Vaš upit o fotografiranju sudionika (uzvanika i pratnje) ističemo kako je navedeno moguće, uz uvjet da su isti prethodno obavješteni o samom fotografiranju kao i namjeri objave fotografija na društvenim mrežama. Međutim, legitimni interes nije primjenjiv za fotografiranje slučajnih prolaznika na javnim površinama.

Vezano uz fotografiranje djece, napominjemo kako je uvodnom odredbom 38 Opće uredbe propisano da ista zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu.

Imajući u vidu da su osobni podaci djeteta osobito osjetljivi, smatramo kako se fotografiranje i objava djeteta ne može temeljiti na legitimnom interesu ukoliko se određenom fotografijom pojedino dijete ciljano izdvaja iz mase te je fokus upravo na njemu. S druge strane, fotografiranje djece okupljene oko maskote predstavljalo bi grupnu fotografiju kojoj se fokus ne nalazi na pojedincu te bi navedeno stoga bilo sukladno odredbama Opće uredbe.

Dodatno napominjemo kako organizator događaja ne odgovara kao voditelj obrade za fotografije s organiziranog događaja koje uzvanici dijele putem društvenih mreža.

Nadalje, u svom upitu navodite kako voditelj obrade organizira nagradne igre i nagradne natječaje. Vezano uz navedeno, napominjemo kako je člankom 6. stavkom 2. Pravilnika o priređivanju nagradnih igara (NN 8/2010) propisano da se pravilima nagradne igre ne smiju utvrđivati uvjeti koji se protive zakonskim propisima i općim moralnim načelima. S tim u vezi ističemo kako je pravo na privatnost ustavna kategorija te stoga nije moguće pravilima propisati da se zahtijeva fotografiranje dobitnika prilikom preuzimanja nagrade niti se, bez odgovarajuće privole, može snimiti preuzimanje nagrade, bez obzira na zahtjev sponzora.

Dakle, za fotografiranje i snimanje dobitnika potrebno je ishoditi privolu koja će udovoljavati svim zahtjevima iz Opće uredbe. Posebno naglašavamo važnost dobrovoljnosti privole te s tim u vezi napominjemo kako davanje privole za fotografiranje ne bi smjelo biti nametnuto od strane organizatora kao uvjet za sudjelovanje u nagradnoj igri niti bi sudionik smio trpjeti nepovoljne posljedice zbog uskraćivanja iste.

Nastavno na Vaš upit o programu vjernosti, ističemo kako je člankom 6. stavkom 1. točkom b. navedeno da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka. Razmatrajući navedenu odredbu, smatramo kako navođenje iste kao pravnog temelja za obradu osobnih podataka korisnika možete koristiti samo za one podatke koji su doista nužni za izvršenje određenog ugovora. Međutim, ukoliko prikupljate i dodatne podatke koji nisu nužni za izvršavanje ugovora, za obradu tih podataka morate pronaći drugi pravni temelj iz članka 6. Opće uredbe kako bi ista bila zakonita.

Dodatno naglašavamo da je člankom 5. stavkom 1. točkom b. propisano da osobni podaci trebaju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuje te stoga ukazujemo na nužnost smanjenja količine osobnih podataka.

Zaključno, vezano uz slanje newslettera napominjemo kako je potrebno razlikovati situaciju u kojoj pravni temelj za obradu osobnih podataka postoji u vidu legitimnog interesa te situaciju u kojoj se obrada osobnih podataka temelji na privoli ispitanika.

Naime, uvodnom izjavom 70 navedeno je da bi, ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.

Dakle, ukoliko postoji pravni temelj u smislu članka 6. stavka 1. točke f. (legitimni interes) Opće uredbe, tada svaka poslana e-mail poruka ili sms koji sadrži marketinšku poruku treba sadržavati i disclaimer, odnosno poruku koja ispitanika obavještava da se u svakom trenutku može usprotiviti daljnjem dobivanju takvih poruka.

Ujedno napominjemo kako je člankom 21. stavkom 3. Opće uredbe propisano da ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe.

Nadalje, u 171. uvodnoj izjavi Opće uredbe navodi se da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene Opće Uredbe.

Voditelji obrade koji trenutno obrađuju podatke na temelju privole koja je dana skladu s nacionalnim zakonom o zaštiti podataka nisu automatski obvezni osvježiti sve postojeće odnose temeljene na privoli ispitanika u pripremi za Opću uredbu. Postojeće privole koje su dosad dobivene i dalje vrijede ukoliko su u skladu s uvjetima utvrđenim u Općoj uredbi.

Važno je da voditelji obrade detaljno preispitaju trenutne radne procese i evidencije kako bi bili sigurni da postojeće privole ispunjavaju standarde utvrđene u Općoj uredbi. U praksi, Opća uredba podiže ljestvicu u pogledu provedbe mehanizama privole i uvodi nekoliko novih zahtjeva koji zahtijevaju od voditelja obrade da mijenjaju mehanizme privole, umjesto da sami izmijene vlastite politike privatnosti.

Na primjer, kako Opća uredba zahtijeva da voditelj obrade mora biti u stanju dokazati da je dobivena važeća privola, sve pretpostavljene privole za koje voditelj obrade nema dokaz, automatski će biti ispod standarda privole prema Općoj uredbi i morat će se obnoviti. Isto tako, kako Opća uredba zahtijeva "izjavu ili jasnu afirmativnu radnju", sve pretpostavljene privole koje se temelje na podrazumijevanom obliku djelovanja od strane ispitanika (npr. zanemarivanje prethodno označenog opt-in okvira) također neće biti u skladu sa  standardom privole prema Općoj uredbi.

Nadalje, da bi se moglo dokazati da je privola dobivena ili da bi se omogućilo preciznije označavanje privole ispitanika za svaku pojedinu svrhu obrade, operacije i informatički sustavi možda trebaju reviziju. Također, moraju biti dostupni i mehanizmi za ispitanike kojima se omogućuje jednostavno povlačenje privole, a informacije o načinu povlačenja privole moraju biti dostupne. Ako postojeći postupci za dobivanje i upravljanje privolom ne zadovoljavaju standarde Opće uredbe, voditelji obrade će morati dobiti novu privolu u skladu s Općom uredbom.

S druge strane, budući da svi elementi navedeni u člancima 13. i 14. ne moraju uvijek biti prisutni da bi privola bila informirana, proširene obveze informiranja iz Opće uredbe ne protive se nužno kontinuitetu privole koja je dana prije stupanja na snagu Opće uredbe. Prema Direktivi 95/46/EZ, nije postojala obveza obavještavanja ispitanika o pravnoj osnovi za obradu osobnih podataka.

Ako voditelj obrade utvrdi da prethodno pribavljena privola prema starom zakonodavstvu neće udovoljavati standardu privole prema Općoj uredbi, tada voditelj obrade mora procijeniti može li se obrada temeljiti na drugoj zakonitoj osnovi, uzimajući u obzir uvjete koje je postavila Opća uredba.

Međutim, to je jednokratna situacija jer se voditelji obrade kreću od primjene Direktive do primjene Opće uredbe. Naime, prema Općoj uredbi, nije moguće zamijeniti jedan pravni temelj za obradu drugim pravnim temeljem za obradu.

Ako voditelj obrade nije u stanju obnoviti privolu na odgovarajući način, niti ne može pronaći drugi pravni temelj za obradu podataka istodobno osiguravajući da je nastavljena obrada poštena i pouzdana, aktivnosti obrade moraju biti zaustavljene. U svakom slučaju, voditelj obrade mora poštovati načela zakonitosti, poštenosti i transparentnosti obrade.

Slijedom iznesenog, u svakom pojedinom slučaju potrebno je utvrditi postojanje pravnog temelja za odašiljanje newslettera. U tom kontekstu nije moguće slanje newslettera na mail adrese fizičkih osoba zaposlenika u određenoj pravnoj osobi, bez obzira što je riječ o poslovnim kontaktima, ukoliko za takvo slanje ne postoji valjani pravni temelj.

 
 
  Natrag