Objavljeno: 22.12.2022.
Agencija za zaštitu osobnih podataka je zaprimila zahtjev za stručnim mišljenjem vezano uz obradu osobnih podataka dostupnih u javnim registrima. Naime, prema navodima iz zaprimljenog zahtjeva, podnositelj istog smatra da Opća uredba o zaštiti podataka ne „regulira“ pitanje obrade podataka sadržanih u javnim registrima te u tom smislu, zatraženo je stručno mišljenje Agencije na pitanje, kako se navodi, kako netko tko provodi takve aktivnosti može opravdati takvu obradu, odnosno, ako se na takvu obradu primjenjuje Opća uredba o zaštiti podataka, koja je pravna osnova takve obrade. Slijedom navedenog, u nastavku ukazujemo na sljedeće:
Prvenstveno, želimo ukazati da Opća uredba o zaštiti podataka u čl. 2. st. 1. uređuje glavno područje primjene, gdje je propisano da se ova Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.
Člankom 86. Opće uredbe o zaštiti podataka je propisano da tijelo javne vlasti, javno ili privatno tijelo može otkriti osobne podatke iz službenih dokumenata koje posjeduje to tijelo javne vlasti ili to tijelo u svrhu obavljanja zadaće u javnom interesu u skladu s pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili to tijelo kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom.
S tim povezana uvodna izjava (154) daje dodatna pojašnjenja kako slijedi:
Ovom se Uredbom omogućuje uzimanje u obzir načela javnog pristupa službenim dokumentima kada se primjenjuje ova Uredba. Može se smatrati da je javni pristup službenim dokumentima u javnom interesu. Tijelo javne vlasti ili javno tijelo trebalo bi imati mogućnost javno objaviti osobne podatke iz dokumenata koje takvo tijelo javne vlasti ili javno tijelo posjeduje ako je ta objava predviđena pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili javno tijelo. Takvim propisima trebali bi se uskladiti javni pristup službenim dokumentima i ponovna uporaba informacija iz javnog sektora s pravom na zaštitu osobnih podataka te bi se njima stoga moglo predvidjeti potrebno usklađivanje s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom. Upućivanje na tijela javne vlasti i javna tijela trebalo bi u ovom kontekstu obuhvaćati sva tijela vlasti ili druga tijela obuhvaćena pravom države članice u pogledu javnog pristupa dokumentima. Direktivom 2003/98/EZ Europskog parlamenta i Vijeća (14) ne mijenja se niti se u bilo kojem pogledu utječe na razinu zaštite pojedinaca s obzirom na obradu osobnih podataka na temelju odredaba iz prava Unije i prava države članice, a osobito se njome ne mijenjaju obveze i prava utvrđena u ovoj Uredbi. Ta se Direktiva osobito ne bi smjela primjenjivati na dokumente kojima je pristup izuzet ili ograničen režimima pristupa radi zaštite osobnih podataka te na dijelove dokumenata kojima se može pristupiti pomoću tih režima, a koji sadrže osobne podatke čija je ponovna upotreba predviđena zakonom kao upotreba koja nije u skladu s pravom u pogledu zaštite pojedinaca s obzirom na obradu osobnih podataka.
Nadalje, u kontekstu načela transparentnosti i ispunjavanja prava ispitanika od strane voditelja obrade, Opća uredba o zaštiti podataka u čl. 14. propisuje dužnost pružanja informacija ispitaniku neophodne za osiguravanje poštene i transparentne obrade u situaciji kada osobni podaci nisu dobiveni od ispitanika, između ostalog, informaciju o izvoru osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora.
Također, u okviru čl.17. Opće uredbe o zaštiti podataka, u situaciji zaprimanja i postupanja po zahtjevu ispitanika za brisanjem sobnih podataka koji se na njega odnose, ako je voditelj obrade javno objavio osobne podatke i dužan je obrisati te osobne podatke, uzimajući u obzir dostupnu tehnologiju i trošak provedbe, voditelj obrade bi trebao poduzeti razumne mjere, uključujući tehničke mjere, kako bi informirao voditelje obrade koji obrađuju osobne podatke da je ispitanik zatražio od tih voditelja obrade da izbrišu sve poveznice do njih ili kopiju ili rekonstrukciju tih osobnih podataka.
Slijedom navedenog, razvidno je da se odredbe Opće uredbe o zaštiti podataka primjenjuju i u kontekstu aktivnosti koje provode tijela javne vlasti ili javna tijela kada javno objavljuju osobne podatke, ali i na voditelje/izvršitelje obrade koji provode aktivnosti u kojima obrađuje osobne podatke iz, kako navodite, javno dostupnih registara.
S druge strane, kada imamo primjer neautomatizirane obrade osobnih podataka bez sustava pohrane odnosno kada se radi o uvidu u osobne podatke pojedinaca koji nisu namijenjeni činiti dio sustava pohrane, u tom slučaju se ne radi o primjeni Opće uredbe o zaštiti podataka u smislu odredbe članka 2. stavka 1. iste.
U načelu, svaka obrada osobnih podataka u okvirima primjene Opće uredbe o zaštiti podataka treba poštovati načela obrade propisana čl. 5., treba se temeljiti na jednom od pravnih osnova za zakonitu obradu iz čl. 6. te, u slučaju da se obrađuju posebne kategorije osobnih podataka, treba se provoditi jedino uz adekvatno poštivanje čl. 9. odnosno, uz primjenu jedne od taksativno propisanih iznimki od načelne zabrane obrade posebnih kategorija osobnih podataka.
Prije uspostave određene aktivnosti koja uključuje obradu osobnih podataka, svaki voditelj obrade mora pažljivo razmotriti koja bi zakonita osnova odgovarala i bila primjenjiva za predviđenu obradu.
U načelu, moglo bi postojati mnogo različitih scenarija povezanih uz obradu javno dostupnih podataka i, teoretski, mogu se primijeniti različite pravne osnove. Možemo zamisliti primjer gdje ispitanik daje privolu ili sklapa ugovor na temelju kojeg će neka tvrtka prikupljati javno dostupne podatke o toj osobi. U načelu, mogu postojati i posebni zakoni/propisi koji zahtijevaju prikupljanje ili analizu nekih javno dostupnih podataka, primjerice u svrhe otkrivanja, sprječavanja određenih oblika nezakonitosti ili primjerice posebni zakoni koji predviđaju izuzeća u novinarske ili akademske svrhe.
Međutim, najčešće će se voditelji obrade podataka koji koriste javno dostupne informacije oslanjati na legitimni interes kao pravnu osnovu za obradu.
Pritom naravno sve inače primjenjivo na tu pravnu osnovu je primjenjivo i u ovom slučaju. Prvenstveno, konkretna obrada osobnih podataka trebala bi biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit, stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na interese i temeljna prava osoba čiji se podaci obrađuju (ispitanika). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade (ili treće strane) jači od temeljnih prava i sloboda ispitanika, posebno uzimajući u obzir ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu. Test legitimnog interesa možete pronaći na poveznici: https://azop.hr/obrasci-predlosci/.