Mišljenje AZOP-a odnosno na privole ispitanika (GDPR)


Mišljenje AZOP-a odnosno na privole ispitanika (GDPR)


Od Agencije za zaštitu osobnih podataka zatraženo je mišljenje treba li voditelj obrade prikupljati nove privole ispitanika s obzirom na početak primjene Opće Uredbe ili su do sada prikupljene privole dostatne.

Agencija u svojem odgovoru ističe da se u 171. uvodnoj izjavi Opće Uredbe navodi da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene Opće Uredbe.

Agencija stoga u svojem odgovoru pojašnjava definiciju privole, uvjeta za davanje privole i načelo transparentnosti sukladno Općoj Uredbi.
Opća Uredba u članku 4., stavku 11. definira privolu ispitanika kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se ne njega odnose.

Opća Uredba uvjete privole propisuje u članku 7.:
Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Nadalje, 32. uvodnom izjavom Opće Uredbe navedeno je da bi se privola trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.
U konkretnom slučaju, u brošuri voditelja obrade ispitanik mora polje označiti kvačicom ako ne želi da ga voditelj obrade povremeno informira o novostima u ponudi, akcijama i pogodnostima. To je u suprotnosti sa odredbama Opće Uredbe glede privole. Ispitanik privolu mora dati jasnom potvrdnom radnjom, dakle, mora označiti polje ukoliko želi da ga voditelj obrade povremeno informira o novostima u ponudi, akcijama i pogodnostima. Dakle, Opća Uredba za davanje privole traži opciju „opt-in“, a ne „opt-out“.
Dalje, privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.
Također, 42. uvodnom izjavom Opće Uredbe propisano je da bi, ako se obrada temelji na privoli ispitanika, voditelj obrade trebao  moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ o nepoštenim uvjetima u potrošačkim ugovorima, izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

U 43. uvodnoj izjavi Opće Uredbe navodi se da se smatra da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.
Glede načela transparentnosti, Opća Uredba u članku 12., stavku 1., propisuje da voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 13. (informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika) i 14. (informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika) i sve komunikacije iz članaka 15. do 22. (pravo na pristup, pravo na ispravak, pravo na zaborav, pravo na ograničenje obrade, obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade te pravo na prenosivost podataka) i članku 34. (obavješćivanje ispitanika o povredi) u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.

58. uvodnom izjavom Opće Uredbe navodi se da načelo transparentnosti zahtijeva da  svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.
Također, člankom 12., stavkom 6. Opće Uredbe propisano je da se informacije koje treba pružiti ispitanicima u skladu s člancima 13. i 14. mogu pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled namjeravane obrade. Ako su ikone prikazane elektroničkim putem, one moraju biti strojno čitljive.

U Vašem konkretnom slučaju, s obzirom da osobne podatke prikupljate od ispitanika, upućujemo Vas posebno i na članak 13. Opće Uredbe. Sukladno istom, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku mora pružiti sve sljedeće informacije:
a) identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;
b) kontaktne podatke službenika za zaštitu osobnih podataka, ako je primjenjivo;
c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
d) ako se obrada temelji na članku 6., stavku 1., točki f), legitimne interese voditelja obrade ili treće strane;
e) primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i
f) ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosa iz članaka 46. ili 47. ili 49., stavka 1., drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljane na raspolaganje.

Člankom 13., stavkom 2. propisano je da, osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
a) razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
b) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
c) ako se obrada temelji na članku 6., stavku 1., točki (a) ili članku 9., stavku 2., točki (a), postojanje prava da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
d) pravo na podnošenje prigovora nadzornom tijelu;
e) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
f) postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost predviđene posljedice takve obrade za ispitanika.

Objava politika privatnosti na internetskim stranicama tvrtki predstavlja jedan od modaliteta za ostvarivanje načela transparentnosti obrade osobnih podataka. Konkretni način na koji će voditelji obrade ispuniti svoje zakonske obveze u pogledu obavješćivanja ispitanika o njihovim pravima ostaje na njima, naravno, uz obvezu ispunjavanja svih gore navedenih uvjeta propisanih Općom Uredbom.

 
 
  Natrag