Obrada OIB-a stranke radi izdavanja računa
Objavljeno 19. travnja 2024.
Nastavno upit o obradi osobnog identifikacijskog broja stranke, a u svrhu izdavanja računa, Agencija za zaštitu osobnih podataka navodi sljedeće:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Voditelj obrade odgovara za usklađenost s ovdje navedenim načelima Opće uredbe o zaštiti osobnih podataka te je mora biti u mogućnosti dokazati (načelo pouzdanosti).
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) se ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
Člankom 6. stavkom 2. točkom 1. Zakona o osobnom identifikacijskom broju (NN 60/08) propisano je da su obveznici OIB-a obvezni koristiti osobni identifikacijski broj drugog obveznika broja na računima prema posebnim propisima. Obveznici osobnog identifikacijskog broja su, sukladno navedenom Zakonu, hrvatski državljani, pravne osobe sa sjedištem na području RH i strane fizičke i pravne osobe kod kojih je nastao povod za praćenje na području RH.
Tako je, primjerice, člankom 79. stavkom 1. točkom 3. Zakona o porezu na dodanu vrijednost (NN 73/13, 99/13, 148/13, 153/13, 143/14, 115/16, 106/18, 121/19, 138/20, 39/22, 113/22, 33/23, 114/23 i 35/24) propisano da račun, između ostalog, mora sadržavati ime i prezime (naziv), adresu, osobni identifikacijski broj ili PDV identifikacijski broj poreznog obveznika kome su isporučena dobra ili obavljene usluge (kupca).
Takva pravna obveza voditelja obrade utvrđena nacionalnim propisom smatra se zakonitim pravnim temeljem za obradu OIB-a u navedenu svrhu.
Pravni temelj za izdavanje izvatka iz matice rođenih na zahtjev roditelja
Objavljeno 10. listopada 2023.
Nastavno na Vaš upit vezano uz zahtjev roditelja za izdavanjem izvatka iz državnih matica, konkretno matice rođenih, te sukladnost istog sa područjem zaštite osobnih podataka, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Prvenstveno, ističemo kako načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Nadalje, ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
Uvidom u nacionalno zakonodavstvo vidljivo je kako Zakon o državnim maticama (NN 96/93, 76/13, 98/19 i 133/2022) propisuje da su državne matice evidencije o osobnim stanjima građana u koje se upisuju činjenice rođenja, sklapanja braka i smrti i drugi podaci o tim činjenicama utvrđeni zakonom.
Prema članku 42. Zakona o državnim maticama o činjenicama upisanim u državne matice izdaju se izvaci iz državnih matica i potvrde kao isprave trajne vrijednosti. U pravnom prometu nije dozvoljeno koristiti ispravu koja ne sadrži posljednje važeće podatke upisane u državnim maticama. Izvaci iz državnih matica sadrže podatke koji su upisani u državne matice do vremena izdavanja izvatka. Potvrde koje se izdaju na temelju državnih matica sadrže posljednje važeće podatke upisane u maticama do dana izdavanja potvrda, koji se iskazuju u pripadajućim rubrikama potvrde. Izvatke i potvrde iz državnih matica izdaje matičar koji je zaprimio zahtjev stranke neovisno o mjestu upisa u državne matice.
Nadalje, člankom 43. Zakona o državnim maticama propisano je kako se izvaci iz državnih matica i potvrde o pojedinim podacima ili o pojedinim činjenicama upisanim u državne matice izdaju na zahtjev osoba koje imaju pravni interes.
Prema gore navedenom te raspoloživim informacijama iz Vašeg upita, a obzirom da se radi o roditelju djeteta te o eventualnom pravnom sporu, ističemo kako bi bilo moguće postojanje pravnog temelja za izdavanjem izvatka iz matice rođenih sukladno gore navedenom propisu.
Pravni temelj za obradu osobnih podataka
Vezano uz Vaš upit o pravnom temelju za obradu osobnih podataka, navodimo sljedeće:
Člankom 6., stavkom 1. Opće Uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete. Stavkom 3. istoga članka je propisano da se pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u: (a) pravu Unije; ili (b) pravu države članice kojem voditelj obrade podliježe.
Primjerice, kada se osobni podaci dostavljaju Državnom zavodu za statistiku, nadležnom ministarstvu ili pak nekom tijelu državne uprave, tvrtki ili drugoj ustanovi, takva obrada je zakonita ako je ista nužna radi poštovanja pravne obveze voditelja obrade. Naime, u svakom konkretnom slučaju, potrebno je pronaći pravni temelj za takvu pravnu obvezu, što je propisano konkretnom odredbom pojedinog pravnog propisa koji je na snazi u Republici Hrvatskoj ili pravu EU. Ukoliko je pravnim propisom propisana Vaša obveza na otkrivanje osobnih podataka pojedinim primateljima, tada imate i zakonitu osnovu za takvu obradu. Konkretnom odredbom pravnog propisa ujedno se propisuje i svrha obrade, specificiraju se kategorije osobnih podataka koji se otkrivaju, kao i primatelji istih.
Glede Vašeg pitanja vezano za davanje osobnih podatka polaznika određenog studijskog programa njihovim roditeljima, pravni temelj za otkrivanje istih nalazi se u članku 290. (uzdržavanje punoljetnog djeteta) Obiteljskog zakona (NN 103/15). Stavkom 1. navedenog članka je propisano da su roditelji dužni uzdržavati punoljetno dijete koje se školuje u srednjoj školi, odnosno polazi sveučilišni ili stručni studij u skladu s posebnim propisima, odnosno program za osnovno obrazovanje ili program srednjoškolskog obrazovanja odraslih te redovito i uredno ispunjava svoje obveze, a najdulje do navršene dvadeset šeste godine života djeteta. Stavak 5. propisuje da roditelj djeteta iz stavka 1. ovoga članka ima pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanju, odnosno zaposlenju. U stavku 6. se navodi da se smatra da učenik, odnosno student redovito i uredno ispunjava svoje obveze i kad zbog opravdanih razloga (trudnoće, bolesti i sličnih razloga) nije uspio ispuniti obveze tekuće školske, odnosno akademske godine.
Obrada osobnih podataka ispitanika nužna za izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade
12.1.2022.
Nastavno na Vaš upit u kojem u bitnom pitate o pravnom temelju za obradu osobnih podataka od strane Vaše organizacijske jedinice, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) se ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
Sukladno članku 38. stavku 1. i 2. Zakona o obnovi zgrada oštećenih potresom na području Grada Zagreba, Krapinsko-zagorske županije, Zagrebačke županije, Sisačko-moslavačke županije i Karlovačke županije (NN 102/20, 10/21) za obavljanje stručnih i drugih poslova pripreme, organiziranja i provedbe obnove zgrada oštećenih potresom i praćenje provedbe programa mjera obnove osniva se Fond za obnovu. Osnivači Fonda za obnovu su Republika Hrvatska, Grad Zagreb, Krapinsko-zagorska županija i Zagrebačka županija.
Sukladno članku 2. predmetnog Zakona, njegova provedba je u interesu Republike Hrvatske i u javnom interesu.
Nadalje, člankom 4. stavkom 1. i 2. Zakona o registru zaposlenih u javnom sektoru (NN 34/11) određeno je kako svako državno tijelo, odnosno javna služba vodi u Registru podatke o službenicima i namještenicima koji su zaposleni u njemu. Podatke o državnim dužnosnicima u Registru vode državna tijela, odnosno javne službe u kojima su imenovani na dužnost.
Člankom 7. navedenog zakona određeno je da sadržaj podataka u Registru i zbirke isprava o zaposlenima (osobni dosje), način njihovog prikupljanja i obrade, pravo pristupa podacima, čuvanje podataka i mjere za zaštitu podataka propisuje uredbom Vlada Republike Hrvatske (Uredbom Vlade Republike Hrvatske o sadržaju, načinu prikupljanja i obrade, te mjerama zaštite podataka u Registru zaposlenih u javnom sektoru NN 55/11).
S tim u vezi, kada govorimo o vođenju podataka Vaših zaposlenika u predmetnom Registru na način opisan navedenim zakonom i supra navedenom Uredbom Vlade, riječ je o Vašoj pravnoj obvezi, a s tim u vezi postoji pravni temelj u smislu članka 6. stavka 1. točke c.) Opće uredbe o zaštiti podataka.
Također, kako navodite Vašim Pravilnikom o unutarnjem ustrojstvu i sistematizaciji određen je opis poslova u okviru nadležnosti Vaše organizacijske jedinice, a pri obavljanju Vaših poslova u određenim slučajevima nužna je i obrada osobnih podataka pojedinaca.
S tim u vezi, razvidna je kategorija i količina osobnih podataka (osobni podaci o zaposlenim osobama u Fondu za obnovu koji su sadržani u navedenom Registru) koju biste obrađivali, stoga se načelno u konkretnom slučaju može razabrati postojanje pravnog temelja za obradu osobnih podataka u okviru nadležnosti rada organizacijske jedinice Fonda za obnovu Grada Zagreba, Krapinsko-zagorske županije i Zagrebačke županije, u smislu članka 6. stavka 1. točke e) Opće uredbe o zaštiti podataka s obzirom na to da je navedena obrada nužna pri izvršavanju Vaše službene ovlasti.
Zaključno, u svakom slučaju (i prilikom obrade osobnih podataka koji predstavljaju pravnu obvezu i/ili službenu ovlast) potrebno je voditi računa o načelima obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, posebice o „načelu smanjenja količine podataka“ koji traži da osobni podaci budu primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
Pravni temelj za obradu osobnih podataka i osobni podatak
Obrada osobnih podataka je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Nadalje, Opća Uredba u članku 4., stavku 1., točki 1. određuje da „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Primjerice, podatak o tome da li je na određenom automobilu napravljen servis, bez navođenja podataka o prijašnjem vlasniku, ne predstavlja osobni podatak.
Mišljenje AZOP-a odnosno na privole ispitanika (GDPR)
Od Agencije za zaštitu osobnih podataka zatraženo je mišljenje treba li voditelj obrade prikupljati nove privole ispitanika s obzirom na početak primjene Opće Uredbe ili su do sada prikupljene privole dostatne.
Agencija u svojem odgovoru ističe da se u 171. uvodnoj izjavi Opće Uredbe navodi da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene Opće Uredbe.
Agencija stoga u svojem odgovoru pojašnjava definiciju privole, uvjeta za davanje privole i načelo transparentnosti sukladno Općoj Uredbi.
Opća Uredba u članku 4., stavku 11. definira privolu ispitanika kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se ne njega odnose.
Opća Uredba uvjete privole propisuje u članku 7.:
Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Nadalje, 32. uvodnom izjavom Opće Uredbe navedeno je da bi se privola trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.
U konkretnom slučaju, u brošuri voditelja obrade ispitanik mora polje označiti kvačicom ako ne želi da ga voditelj obrade povremeno informira o novostima u ponudi, akcijama i pogodnostima. To je u suprotnosti sa odredbama Opće Uredbe glede privole. Ispitanik privolu mora dati jasnom potvrdnom radnjom, dakle, mora označiti polje ukoliko želi da ga voditelj obrade povremeno informira o novostima u ponudi, akcijama i pogodnostima. Dakle, Opća Uredba za davanje privole traži opciju „opt-in“, a ne „opt-out“.
Dalje, privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.
Također, 42. uvodnom izjavom Opće Uredbe propisano je da bi, ako se obrada temelji na privoli ispitanika, voditelj obrade trebao moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ o nepoštenim uvjetima u potrošačkim ugovorima, izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.
U 43. uvodnoj izjavi Opće Uredbe navodi se da se smatra da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.
Glede načela transparentnosti, Opća Uredba u članku 12., stavku 1., propisuje da voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 13. (informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika) i 14. (informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika) i sve komunikacije iz članaka 15. do 22. (pravo na pristup, pravo na ispravak, pravo na zaborav, pravo na ograničenje obrade, obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade te pravo na prenosivost podataka) i članku 34. (obavješćivanje ispitanika o povredi) u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.
58. uvodnom izjavom Opće Uredbe navodi se da načelo transparentnosti zahtijeva da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.
Također, člankom 12., stavkom 6. Opće Uredbe propisano je da se informacije koje treba pružiti ispitanicima u skladu s člancima 13. i 14. mogu pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled namjeravane obrade. Ako su ikone prikazane elektroničkim putem, one moraju biti strojno čitljive.
U Vašem konkretnom slučaju, s obzirom da osobne podatke prikupljate od ispitanika, upućujemo Vas posebno i na članak 13. Opće Uredbe. Sukladno istom, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku mora pružiti sve sljedeće informacije:
a) identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;
b) kontaktne podatke službenika za zaštitu osobnih podataka, ako je primjenjivo;
c) svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
d) ako se obrada temelji na članku 6., stavku 1., točki f), legitimne interese voditelja obrade ili treće strane;
e) primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i
f) ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosa iz članaka 46. ili 47. ili 49., stavka 1., drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljane na raspolaganje.
Člankom 13., stavkom 2. propisano je da, osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
a) razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
b) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
c) ako se obrada temelji na članku 6., stavku 1., točki (a) ili članku 9., stavku 2., točki (a), postojanje prava da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
d) pravo na podnošenje prigovora nadzornom tijelu;
e) informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
f) postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost predviđene posljedice takve obrade za ispitanika.
Objava politika privatnosti na internetskim stranicama tvrtki predstavlja jedan od modaliteta za ostvarivanje načela transparentnosti obrade osobnih podataka. Konkretni način na koji će voditelji obrade ispuniti svoje zakonske obveze u pogledu obavješćivanja ispitanika o njihovim pravima ostaje na njima, naravno, uz obvezu ispunjavanja svih gore navedenih uvjeta propisanih Općom Uredbom.
Privola kao pravni temelj za obradu osobnih podataka sukladno Općoj Uredbi
Nastavno na Vaš upit koji je zaprimila Agencija za zaštitu osobnih podataka vezano za privole ispitanika sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje u tekstu: Opća uredba o zaštiti podataka) u cijelosti je obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenje količine podataka), točni i prema potrebi ažurni, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitost i povjerljivost).
Člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
U članku 6. Opće uredbe o zaštiti podataka utvrđeni su uvjeti zakonite obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu, što znači da je privola samo jedan od pravnih temelja za zakonitu obradu te ista nije potrebna ako voditelj obrade obrađuje osobne podatke na nekom drugom pravnom temelju iz članak 6. Opće uredbe o zaštiti podataka.
Člankom 4. Opće uredbe o zaštiti podataka definirana je privola ispitanika kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se ne njega odnose.
Nadalje, člankom 7. Opće uredbe o zaštiti podataka propisani su uvjeti privole te je navedeno da voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Nadalje, 32. uvodnom izjavom Opće uredbe o zaštiti podataka navedeno je da bi se privola trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka (primjerice: dobrovoljan dolazak u zdravstvenu ustanovu u svrhu pružanja zdravstvene skrbi, narudžba određene usluge ili proizvoda uključujući i davanje ponuda od strane voditelja obrade, postavljanje zahtjeva/upita voditelju obrade i sl.). Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Dakle, Opća uredba o zaštiti podataka za davanje privole traži opciju „opt-in“, a ne „opt-out“.
Dalje, privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.
Također, 42. uvodnom izjavom propisano je da bi, ako se obrada temelji na privoli ispitanika, voditelj obrade trebao moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ o nepoštenim uvjetima u potrošačkim ugovorima, izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta.
Da bi ispitanik mogao dati privolu, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.
U 43. uvodnoj izjavi Opće Uredbe navodi se da se smatra da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.
Vezano uz privolu kao pravnu osnovu za obradu osobnih podataka radnika navodimo da s obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik, nije vjerojatno da ispitanik može uskratiti svojem poslodavcu privolu za obradu podataka bez straha ili stvarnog rizika od štetnih učinaka zbog odbijanja. Nije vjerojatno da bi zaposlenik mogao slobodno odgovoriti na zahtjev svojeg poslodavca za privolu te malo vjerojatno da će privola biti dobrovoljna. Za većinu takve obrade podataka na radnom mjestu, zakonita osnova ne može i ne bi smjela biti privola zaposlenika (zbog prirode odnosa između poslodavca i zaposlenika) već se obrada osobnih podataka radnika prvenstveno temelji na ugovoru o radu koji radnik sklapa sa poslodavcem te na obvezu izvršavanja pravnih obveza voditelja obrade (poslodavca) propisanih posebnim propisima (Zakon o radu, Zakon o mirovinskom osiguranju, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima i dr.).
Također, vezano uz privolu kao pravni temelj za obradu osobnih podataka djeteta (maloljetnika) potrebno je zatražiti privolu roditelja/zakonskog zastupnika za prikupljanje i daljnju obradu osobnih podataka djece te privola mora sadržavati sve nužne elemente (dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose)) kako bi bila u potpunosti u skladu sa Općom uredbom o zaštiti podataka.
Važno je napomenuti da ako se voditelj obrade odluči pozvati na privolu za bilo koji dio obrade, mora biti spreman pridržavati se te odluke i zaustaviti taj dio obrade ako ispitanik povuče privolu. Slanje poruke o tome da će se podaci obrađivati na temelju privole, uz istodobno pozivanje na neku drugu zakonitu osnovu, bilo bi u osnovi nepošteno prema pojedincima.
Drugim riječima, voditelj obrade ne može mijenjati zakonite osnove za privolu. Na primjer, nije dopušteno naknadno upotrijebiti osnovu legitimnog interesa za obradu ako je bilo problema s valjanošću privole. Zbog obveznog navođenja zakonite osnove na koju se poziva voditelj obrade u trenutku prikupljanja osobnih podataka, voditelji obrade moraju prije prikupljanja odlučiti o tome koja će se zakonita osnova primijeniti.
Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Naposljetku navodimo da se 171. uvodnoj izjavi navodi da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene. Također detaljnije informacije o privoli kao pravnom temelju za obradu osobnih podataka možete pronaći na https://azop.hr/info-servis/detaljnije/smjernice.
Privola djeteta/učenika kao pravni temelj za obradu osobnih podataka sukladno Općoj uredbi
19.04.2019.
Nastavno na Vaš upit koji je zaprimila Agencija za zaštitu osobnih podataka vezano za privole ispitanika (djeteta/učenika) sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine o zaštiti pojedinca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljaju izvan snage Direktive 95/46 EZ ((SL EU L119/1) dalje u tekstu: Opća uredba o zaštiti podataka)u cijelosti je obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenje količine podataka), točni i prema potrebi ažurni, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitost i povjerljivost obrade).
Člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
U članku 6. Opće uredbe o zaštiti podataka utvrđeni su uvjeti zakonite obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu, što znači da je privola samo jedan od pravnih temelja za zakonitu obradu te ista nije potrebna ako voditelj obrade obrađuje osobne podatke na nekom drugom pravnom temelju iz članak 6. Opće uredbe o zaštiti podataka.
Člankom 4. Opće uredbe o zaštiti podataka definirana je privola ispitanika kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se ne njega odnose.
Nadalje, člankom 7. Opće uredbe o zaštiti podataka propisani su uvjeti privole te je navedeno da voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Nadalje, uvodnom izjavom broj 32. Opće uredbe o zaštiti podataka navedeno je da bi se privola trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.
Dalje, privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.
Također, 42. uvodnom izjavom propisano je da bi, ako se obrada temelji na privoli ispitanika, voditelj obrade trebao moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ o nepoštenim uvjetima u potrošačkim ugovorima, izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta.
Da bi ispitanik mogao dati privolu, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.
U 43. uvodnoj izjavi Opće Uredbe navodi se da se smatra da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.
Ako voditelj obrade koristi privolu kao pravni temelj za obradu osobnih podataka djece primjerice maloljetnih učenika potrebno je zatražiti privolu roditelja/zakonskog zastupnika za prikupljanje i daljnju obradu osobnih podataka (primjerice fotografija) djece te privola mora sadržavati sve nužne elemente (dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose) kako bi bila u potpunosti u skladu sa Općom uredbom o zaštiti podataka. Ako se u obrascu privole navodi više svrha u koju će se obrađivati osobni podaci djeteta potrebno je svrhe jasno navesti i razgraničiti kako bi roditelj bio dovoljno informiran u koje sve svrhe se osobni podaci njegovog djeteta dalje obrađuju te kako bi se mogao opredijeliti u koju točno svrhu želi da se osobni podaci njegovog djeteta obrađuju.
Vezano uz privolu kao pravni temelj za obradu osobnih podataka djece potrebno je napomenuti da se čl.8. Opće uredbe o zaštiti podataka odnosi samo na nuđenje usluga informacijskog društva izravno djetetu (svaka usluga koja se obično pruža uz naknadu na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja primjerice računalne igre na internetu) te je obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina, takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom. Republika Hrvatska opredijelila se sukladno Zakonu o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, broj 42/18) za dobnu granicu od 16 godina.
Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Važno je napomenuti da ako se voditelj obrade odluči pozvati na privolu za bilo koji dio obrade, mora biti spreman pridržavati se te odluke i zaustaviti taj dio obrade ako ispitanik povuče privolu. Slanje poruke o tome da će se podaci obrađivati na temelju privole, uz istodobno pozivanje na neku drugu zakonitu osnovu, bilo bi u osnovi nepošteno prema pojedincima. Drugim riječima, voditelj obrade ne može mijenjati zakonite osnove za privolu.
Isto tako, navodimo da ne postoji unificirani obrazac privole/suglasnosti već je ostavljeno na volju svakom voditelju zbirke osobnih podataka da obrazac izradi u skladu sa propisima o zaštiti osobnih podataka, pri tome imajući u vidu posebice svrhu u koju prikupljaju i obrađuju podaci, a u ovisnosti s time i opseg podataka koji se prikuplja.
Naposljetku navodimo da se uvodnoj izjavi broj 171 navodi da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da od ispitanika ponovno zatražiti privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene. Također detaljnije informacije o privoli kao pravnom temelju za obradu osobnih podataka možete pronaći na https://azop.hr/info-servis/detaljnije/smjernice.
Privole radnika sukladno Općoj uredbi
19.04.2019.
Nastavno na Vaš upit koji je zaprimila Agencija za zaštitu osobnih podataka vezano za privole ispitanika (radnika) sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 (dalje u tekstu: Opća uredba o zaštiti podataka) u cijelosti je obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenja količine podataka), točni i prema potrebi ažurni, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Dakle, člankom 6. Opće uredbe o zaštiti podataka utvrđeni su uvjeti zakonite i poštene obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu, što znači da je privola samo jedan od pravnih temelja za zakonitu obradu te ista nije potrebna ako voditelj obrade obrađuje osobne podatke na nekom drugom pravnom temelju iz članak 6. Opće uredbe o zaštiti podataka.
Nadalje, vezano uz obradu osobnih podataka radnika u kontekstu zapošljavanja navodimo kako je čl. 88. Opće uredbe o zaštiti podataka u kojem se navodi da države članice mogu zakonom ili kolektivnim ugovorima predvidjeti preciznija pravila s ciljem osiguravanja zaštite prava i sloboda u vezi s obradom osobnih podataka zaposlenika u kontekstu zaposlenja, osobito za potrebe zapošljavanja, izvršavanja ugovora o radu, što uključuje ispunjavanje zakonski propisanih obveza ili obveza propisanih kolektivnim ugovorima, za potrebe upravljanja, planiranja i organizacije rada, jednakosti i različitosti na radnome mjestu, zdravlja i sigurnosti na radu, zaštite imovine poslodavca ili klijenta i za potrebe ostvarenja i uživanja prava i koristi iz radnog odnosa, na individualnoj ili kolektivnoj osnovi, te za potrebe prestanka radnog odnosa. Ta pravila uključuju prikladne i posebne mjere za zaštitu ljudskog dostojanstva ispitanika, njegovih legitimnih interesa i temeljnih prava, posebno u odnosu na transparentnost obrade, prijenos osobnih podataka unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i sustavâ praćenja na radnom mjestu.
Nadalje, Zakonom o radu (“Narodne novine”, broj:93/14, 127/17) kao posebnim zakonom propisane su prava radnika vezano uz radni odnos kao i obveze poslodavca, a vezano uz obradu osobnih podataka radnika. Posebno ističemo članak 29. koji propisuje da se osobni podaci radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom. Ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama. Osobne podatke radnika smije prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo poslodavac ili osoba koju za to posebno opunomoći poslodavac.
Također, vezano uz obradu određenih dokumenata za svrhe zapošljavanja koji sadrže osobne podatke navodimo da se u vrijeme uspostavljanja radnog odnosa stvaraju određena prava i obveze koje se tiču poslodavca i zaposlenika. Njihovo ispunjenje započinje zaključivanjem ugovora o radu koji nužno uključuje obradu osobnih podataka zaposlenika. Naime, zaključivanjem ugovora o radu između radnika i poslodavca poslodavac je dužan u svrhu ostvarivanja određenih prava prikupiti određenu dokumentaciju o radniku kojom bi nedvojbeno utvrdio identitet i vjerodostojnost osobnih podataka ali i ispunio obvezu dokazivanja identiteta i relevantnosti osobnih podataka prema drugim tijelima (različitim inspektoratima, Hrvatskom zavodu za zapošljavanje, Poreznoj upravi, Hrvatskom zavodu za mirovinsko osiguranje i dr.). U vezi s time navodimo da isto može biti propisano posebnim zakonima, podzakonskim aktima, kolektivnim ugovorom ili pravilnikom o radu. Tako primjerice Pravilnik o sadržaju i načinu vođenja evidencije o radnicima („Narodne novine“, broj: 73/2017) koji je donesen temeljem čl.5. Zakona o radu („Narodne novine“, broj 93/14, 127/17) propisuje između ostalog opseg osobnih podataka koji poslodavac mora prikupljati u svrhu vođenja evidencije o radnicima. Nadalje, člankom 5. cit. Pravilnika propisano je da poslodavac evidenciju o osobama iz članka 4. Pravilnika, počinje voditi datumom početka rada osoba kod poslodavca i ažurno je vodi do prestanka rada tih osoba kod poslodavca te istu čuva najmanje šest godina od dana prestanka njihovog rada. Također, čankom 6. istog Pravilnika regulirano je da svaku promjenu podataka taksativno navedenih u članku 3. i 4. Pravilnika (koju poslodavac unosi temeljem izjave, obavijesti, osobnih dokumenata, isprava i slično), radnik, odnosno osoba iz članka 4. ovoga Pravilnika, dužan je prijaviti poslodavcu odmah, a najkasnije u roku od osam dana od dana nastanka promjene.
Naime, vezano uz privolu kao pravnu osnovu za obradu osobnih podataka radnika navodimo da s obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik, nije vjerojatno da ispitanik može uskratiti svojem poslodavcu privolu za obradu podataka bez straha ili stvarnog rizika od štetnih učinaka zbog odbijanja. Nije vjerojatno da bi zaposlenik mogao slobodno odgovoriti na zahtjev svojeg poslodavca za privolu te je malo vjerojatno da će privola biti dobrovoljna. Za većinu takve obrade podataka na radnom mjestu, zakonita osnova ne može i ne bi smjela biti privola zaposlenika (zbog prirode odnosa između poslodavca i zaposlenika) već se obrada osobnih podataka radnika prvenstveno temelji na ugovoru o radu koji radnik sklapa sa poslodavcem te na obvezu izvršavanja pravnih obveza voditelja obrade (poslodavca) propisanih posebnim propisima (Zakon o radu, Zakon o mirovinskom osiguranju, Zakon o zaštiti na radu, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima i dr.) Privola radnika može biti pravni temelj za obradu osobnih podataka koje poslodavac nije obvezan prikupljati i obrađivati sukladno posebnim propisima( primjerice: osobna fotografija radnika ).
Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Dakle, voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:
– o svom identitetu,
-o službeniku za zaštitu podataka (kontakt podaci službenika),
-upoznati sa svrhom i pravnom osnovom za obradu osobnih podataka,
-o primateljima ili kategorijama primatelja osobnih podataka,
-o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice
EU),
-o legitimnom interesu,
-o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
-o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
– o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
-o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
-da li je pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
-o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
Također, ukoliko osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe).
Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti).
Zaključno ukazujemo kako je potrebno izvršiti usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe).
Privola (telefonsko anketiranje građana)
Člankom 6., stavkom 1. Opće Uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
U konkretnom slučaju, jedini pravni temelj koji je primjenjiv prilikom telefonskog anketiranja građana je privola ispitanika. Stoga dalje tumačimo privolu sukladno Općoj uredbi.
Opća Uredba u članku 4., stavku 11. definira privolu ispitanika kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se ne njega odnose.
Opća Uredba uvjete privole propisuje u članku 7.:
Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Nadalje, 32. uvodnom izjavom Opće Uredbe navedeno je da bi se privola trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Dakle, Opća Uredba za davanje privole traži opciju „opt-in“, a ne „opt-out“. Dalje, privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.
Također, 42. uvodnom izjavom propisano je da bi, ako se obrada temelji na privoli ispitanika, voditelj obrade trebao moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ o nepoštenim uvjetima u potrošačkim ugovorima, izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.
U 43. uvodnoj izjavi Opće Uredbe navodi se da se smatra da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.
Nadalje, u 171. uvodnoj izjavi Opće uredbe navodi se da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene Opće Uredbe.
Dakle, sve baze podataka za koje nemate valjani pravni temelj sukladno Općoj uredbi morate neodgodivo izbrisati.
Opća uredba o zaštiti podataka u svojoj uvodnoj izjavi 14. navodi da bi se zaštita koja se pruža Općom Uredbom u vezi s obradom osobnih podataka trebala odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište. Općom Uredbom se ne obuhvaća obrada osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe.
S druge strane, svaki podatak koji se odnosi na fizičku osobu, bilo da djeluje u okviru svojih poslovnih aktivnosti ili ne, je osobni podatak koji je zaštićen Općom uredbom o zaštiti podataka, pa su u tom smislu podaci direktora, fizičkih osoba koje preuzimaju ili predaju robu, fizičkih osoba koje sastavljaju ili dostavljaju narudžbenice i drugih osoba zaštićeni navedenim propisom.
Uvodnom izjavom 26. određeno je da bi se načela zaštite podataka trebala primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.
Prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje Opće uredbe. Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama (Poglavlje V Opće uredbe).
Legitimni interes
Nastavno na Vaše upite vezano uz obradu osobnih podataka koja se temelji na legitimnom interesu sukladno članku 6. stavku 1. točki f), navodimo sljedeće:
Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. Opće uredbe kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Nadalje, uvodnom izjavom 47 Opće Uredbe propisano je da legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.
Dakle, pozivanje uzvanika koji se nalaze u određenoj vezi s voditeljem obrade koji organizira određeno promotivno događanje, sukladno je odredbama Opće uredbe dok za pozivanje onih koji s istim nisu u nikakvoj vezi ne postoji pravni temelj u smislu članka 6. Opće uredbe. Primjerice, pozivanje uzvanika iz osobnih adresara radnika u protivnosti je s odredbama Opće uredbe.
Glede Vašeg pitanja vezanog uz fotografiranje te javnu objavu osobnih fotografija i/ili video snimaka osoba koji prisustvuju nekom događaju koje organizira Vaše društvo, Agencija ističe kako bi se navedena obrada mogla smatrati legitimnim interesom voditelja obrade, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
To znači da bi voditelj obrade, prije početka obrade, trebao provesti test razmjernosti.
Navedeni test razmjernosti (ravnoteže) sastoji se od sedam koraka koje provodi voditelj obrade:
1. procijeniti koja bi se pravna osnova iz članka 6. Opće uredbe mogla primijeniti
2. odrediti je li interes voditelja obrade zakonit ili nezakonit
3. utvrditi je li obrada nužna za ostvarivanje interesa
4. uspostaviti privremenu ravnotežu procjenjivanjem je li interes voditelja obrade podređen temeljnim pravima ili interesima osoba čiji se podaci obrađuju (ispitanika)
5. uspostaviti konačnu ravnotežu uzimanjem u obzir dodatnih zaštitnih mjera
6. dokazati usklađenost i osigurati transparentnost
7. što učiniti ako osoba čiji se podaci obrađuju (ispitanik) ostvaruje svoje pravo na prigovor
U čl. 21. Opće uredbe stoji da ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega, u skladu s člankom 6. stavkom 1. točkom (e) ili (f), uključujući izradu profila koja se temelji na tim odredbama. Voditelj obrade više ne smije obrađivati osobne podatke, osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Prilikom procjene voditelja obrade o tome je li legitimni interes jači od prava ispitanika, bitnu stavku čini, između ostaloga, i to je li na fotografiji istaknut pojedinac ili je u pitanju skupna fotografija. Naime, fotografija ne bi smjela biti izravno usmjerena na točno određenu osobu kojom se ona ciljano izdvaja iz mase. Također treba uzeti u obzir je li osoba „označena“ prilikom objave na društvenoj mreži te da li ju se jasno može identificirati i slično.
Osim toga, navodimo da je ispitanike koji prisustvuju određenom događanju potrebno prethodno obavijestiti o tome da će biti fotografirani i/ili snimani te da će njihovi osobni podaci biti javno objavljeni (fotografije, video snimci), a dodatno je potrebno poduzeti i sve ostale radnje kako bi se zaštitila privatnost sudionika.
S tim u vezi ističemo kako je za fotografiranje posjetitelja moguće pronaći pravni temelj u članku 6. stavku 1. točki f. Opće uredbe, i to samo ukoliko je obrada nužna odnosno neophodna za legitimnu svrhu te je ista u skladu s načelima proporcionalnosti i supsidijarnosti.
Slijedom iznesenog, a nastavno na Vaš upit o fotografiranju sudionika (uzvanika i pratnje) ističemo kako je navedeno moguće, uz uvjet da su isti prethodno obavješteni o samom fotografiranju kao i namjeri objave fotografija na društvenim mrežama. Međutim, legitimni interes nije primjenjiv za fotografiranje slučajnih prolaznika na javnim površinama.
Vezano uz fotografiranje djece, napominjemo kako je uvodnom odredbom 38 Opće uredbe propisano da ista zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu.
Imajući u vidu da su osobni podaci djeteta osobito osjetljivi, smatramo kako se fotografiranje i objava djeteta ne može temeljiti na legitimnom interesu ukoliko se određenom fotografijom pojedino dijete ciljano izdvaja iz mase te je fokus upravo na njemu. S druge strane, fotografiranje djece okupljene oko maskote predstavljalo bi grupnu fotografiju kojoj se fokus ne nalazi na pojedincu te bi navedeno stoga bilo sukladno odredbama Opće uredbe.
Dodatno napominjemo kako organizator događaja ne odgovara kao voditelj obrade za fotografije s organiziranog događaja koje uzvanici dijele putem društvenih mreža.
Nadalje, u svom upitu navodite kako voditelj obrade organizira nagradne igre i nagradne natječaje. Vezano uz navedeno, napominjemo kako je člankom 6. stavkom 2. Pravilnika o priređivanju nagradnih igara (NN 8/2010) propisano da se pravilima nagradne igre ne smiju utvrđivati uvjeti koji se protive zakonskim propisima i općim moralnim načelima. S tim u vezi ističemo kako je pravo na privatnost ustavna kategorija te stoga nije moguće pravilima propisati da se zahtijeva fotografiranje dobitnika prilikom preuzimanja nagrade niti se, bez odgovarajuće privole, može snimiti preuzimanje nagrade, bez obzira na zahtjev sponzora.
Dakle, za fotografiranje i snimanje dobitnika potrebno je ishoditi privolu koja će udovoljavati svim zahtjevima iz Opće uredbe. Posebno naglašavamo važnost dobrovoljnosti privole te s tim u vezi napominjemo kako davanje privole za fotografiranje ne bi smjelo biti nametnuto od strane organizatora kao uvjet za sudjelovanje u nagradnoj igri niti bi sudionik smio trpjeti nepovoljne posljedice zbog uskraćivanja iste.
Nastavno na Vaš upit o programu vjernosti, ističemo kako je člankom 6. stavkom 1. točkom b. navedeno da je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka. Razmatrajući navedenu odredbu, smatramo kako navođenje iste kao pravnog temelja za obradu osobnih podataka korisnika možete koristiti samo za one podatke koji su doista nužni za izvršenje određenog ugovora. Međutim, ukoliko prikupljate i dodatne podatke koji nisu nužni za izvršavanje ugovora, za obradu tih podataka morate pronaći drugi pravni temelj iz članka 6. Opće uredbe kako bi ista bila zakonita.
Dodatno naglašavamo da je člankom 5. stavkom 1. točkom b. propisano da osobni podaci trebaju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuje te stoga ukazujemo na nužnost smanjenja količine osobnih podataka.
Zaključno, vezano uz slanje newslettera napominjemo kako je potrebno razlikovati situaciju u kojoj pravni temelj za obradu osobnih podataka postoji u vidu legitimnog interesa te situaciju u kojoj se obrada osobnih podataka temelji na privoli ispitanika.
Naime, uvodnom izjavom 70 navedeno je da bi, ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.
Dakle, ukoliko postoji pravni temelj u smislu članka 6. stavka 1. točke f. (legitimni interes) Opće uredbe, tada svaka poslana e-mail poruka ili sms koji sadrži marketinšku poruku treba sadržavati i disclaimer, odnosno poruku koja ispitanika obavještava da se u svakom trenutku može usprotiviti daljnjem dobivanju takvih poruka.
Ujedno napominjemo kako je člankom 21. stavkom 3. Opće uredbe propisano da ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe.
Nadalje, u 171. uvodnoj izjavi Opće uredbe navodi se da, ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene Opće Uredbe.
Voditelji obrade koji trenutno obrađuju podatke na temelju privole koja je dana skladu s nacionalnim zakonom o zaštiti podataka nisu automatski obvezni osvježiti sve postojeće odnose temeljene na privoli ispitanika u pripremi za Opću uredbu. Postojeće privole koje su dosad dobivene i dalje vrijede ukoliko su u skladu s uvjetima utvrđenim u Općoj uredbi.
Važno je da voditelji obrade detaljno preispitaju trenutne radne procese i evidencije kako bi bili sigurni da postojeće privole ispunjavaju standarde utvrđene u Općoj uredbi. U praksi, Opća uredba podiže ljestvicu u pogledu provedbe mehanizama privole i uvodi nekoliko novih zahtjeva koji zahtijevaju od voditelja obrade da mijenjaju mehanizme privole, umjesto da sami izmijene vlastite politike privatnosti.
Na primjer, kako Opća uredba zahtijeva da voditelj obrade mora biti u stanju dokazati da je dobivena važeća privola, sve pretpostavljene privole za koje voditelj obrade nema dokaz, automatski će biti ispod standarda privole prema Općoj uredbi i morat će se obnoviti. Isto tako, kako Opća uredba zahtijeva “izjavu ili jasnu afirmativnu radnju”, sve pretpostavljene privole koje se temelje na podrazumijevanom obliku djelovanja od strane ispitanika (npr. zanemarivanje prethodno označenog opt-in okvira) također neće biti u skladu sa standardom privole prema Općoj uredbi.
Nadalje, da bi se moglo dokazati da je privola dobivena ili da bi se omogućilo preciznije označavanje privole ispitanika za svaku pojedinu svrhu obrade, operacije i informatički sustavi možda trebaju reviziju. Također, moraju biti dostupni i mehanizmi za ispitanike kojima se omogućuje jednostavno povlačenje privole, a informacije o načinu povlačenja privole moraju biti dostupne. Ako postojeći postupci za dobivanje i upravljanje privolom ne zadovoljavaju standarde Opće uredbe, voditelji obrade će morati dobiti novu privolu u skladu s Općom uredbom.
S druge strane, budući da svi elementi navedeni u člancima 13. i 14. ne moraju uvijek biti prisutni da bi privola bila informirana, proširene obveze informiranja iz Opće uredbe ne protive se nužno kontinuitetu privole koja je dana prije stupanja na snagu Opće uredbe. Prema Direktivi 95/46/EZ, nije postojala obveza obavještavanja ispitanika o pravnoj osnovi za obradu osobnih podataka.
Ako voditelj obrade utvrdi da prethodno pribavljena privola prema starom zakonodavstvu neće udovoljavati standardu privole prema Općoj uredbi, tada voditelj obrade mora procijeniti može li se obrada temeljiti na drugoj zakonitoj osnovi, uzimajući u obzir uvjete koje je postavila Opća uredba.
Međutim, to je jednokratna situacija jer se voditelji obrade kreću od primjene Direktive do primjene Opće uredbe. Naime, prema Općoj uredbi, nije moguće zamijeniti jedan pravni temelj za obradu drugim pravnim temeljem za obradu.
Ako voditelj obrade nije u stanju obnoviti privolu na odgovarajući način, niti ne može pronaći drugi pravni temelj za obradu podataka istodobno osiguravajući da je nastavljena obrada poštena i pouzdana, aktivnosti obrade moraju biti zaustavljene. U svakom slučaju, voditelj obrade mora poštovati načela zakonitosti, poštenosti i transparentnosti obrade.
Slijedom iznesenog, u svakom pojedinom slučaju potrebno je utvrditi postojanje pravnog temelja za odašiljanje newslettera. U tom kontekstu nije moguće slanje newslettera na mail adrese fizičkih osoba zaposlenika u određenoj pravnoj osobi, bez obzira što je riječ o poslovnim kontaktima, ukoliko za takvo slanje ne postoji valjani pravni temelj.
Legitimni interes kao pravni temelj za javnu objavu fotografija djece
22. 11. 2019.
Nastavno na Vaš upit vezan uz područje primjene Opće uredbe te obradu osobnih podataka u skladu s istom, Agencija se očituje kako slijedi:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka – Opća uredba o zaštiti podataka (dalje u tekstu: Opća uredba) je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine, te njezine odredbe moraju poštivati svi subjekti koji u sklopu svojih aktivnosti obrađuju osobne podatke fizičkih osoba u Europskoj uniji te u određenim slučajevima i subjekti izvan Europske Unije.
Međutim, člankom 2. Opće uredbe propisano je područje primjene Opće uredbe te je stavkom 1. određeno da se ista primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.
Nadalje, stavkom 2. istoga članka propisano je da se odredbe Opće uredbe ne primjenjuju na obradu osobnih podataka koju provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti dok je uvodnom odredbom 17 dodatno propisano da se Opća uredba ne primjenjuje na obradu osobnih podataka koja nije povezana s profesionalnom ili komercijalnom djelatnošću. S tim u vezi, Agencija ističe kako fotografiranje određene priredbe, odnosno dočeka privatnim uređajima roditelja djece ne potpada pod primjenu Opće uredbe te stoga navedena aktivnost roditelja ne ulazi u opseg Vaše odgovornosti.
Međutim, dodatno upozoravamo da ukoliko navedene fotografije budu javno objavljene, tada će takva obrada osobnih podataka potpadati pod primjenu Opće uredbe budući da u tom slučaju ista nadilazi isključivo osobne aktivnosti fizičkih osoba.
S druge strane, ukoliko Vi kao organizator određenog događaja vršite fotografiranje sudionika, tada je za takvo prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. Opće uredbe kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Nadalje, uvodnom izjavom 47 Opće Uredbe propisano je da legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.
To znači da bi voditelj obrade, prije početka obrade, trebao provesti test razmjernosti. Navedeni test razmjernosti (ravnoteže) voditelj obrade provodi u nekoliko koraka te pritom procjenjuje koja bi se pravna osnova iz članka 6. Opće uredbe mogla primijeniti, je li interes voditelja obrade zakonit ili nezakonit, utvrđuje je li obrada nužna za ostvarivanje interesa, uspostavlja privremenu ravnotežu procjenjivanjem je li interes voditelja obrade podređen temeljnim pravima ili interesima osoba čiji se podaci obrađuju (ispitanika), uspostavlja konačnu ravnotežu uzimanjem u obzir dodatnih zaštitnih mjera, utvrđuje postoji li mogućnost dokazivanja usklađenosti i osiguravanja transparentnosti te razmatra kako postupiti ako osoba čiji se podaci obrađuju (ispitanik) ostvaruje svoje pravo na prigovor.
U čl. 21. Opće uredbe stoji da ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega, u skladu s člankom 6. stavkom 1. točkom (e) ili (f), uključujući izradu profila koja se temelji na tim odredbama. Voditelj obrade više ne smije obrađivati osobne podatke, osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Prilikom procjene voditelja obrade o tome je li legitimni interes jači od prava ispitanika, bitnu stavku čini, između ostaloga, i to je li na fotografiji istaknut pojedinac ili je u pitanju skupna fotografija. Naime, fotografija ne bi smjela biti izravno usmjerena na točno određenu osobu kojom se ona ciljano izdvaja iz mase. Također treba uzeti u obzir je li osoba „označena“ prilikom objave na društvenoj mreži te da li ju se jasno može identificirati i slično.
Osim toga, navodimo da je ispitanike koji prisustvuju određenom događanju (priredbi, dočeku, itd.) potrebno prethodno obavijestiti o tome da će biti fotografirani i/ili snimani te da će njihovi osobni podaci biti javno objavljeni (fotografije, video snimci), a dodatno je potrebno poduzeti i sve ostale radnje kako bi se zaštitila privatnost sudionika.
Vezano uz fotografiranje djece, napominjemo kako je uvodnom odredbom 38 Opće uredbe propisano da ista zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu.
Imajući u vidu da su osobni podaci djeteta osobito osjetljivi, smatramo kako se fotografiranje i objava djeteta ne može temeljiti na legitimnom interesu ukoliko se određenom fotografijom pojedino dijete ciljano izdvaja iz mase te je fokus upravo na njemu. S druge strane, fotografiranje djece okupljene oko „Djeda Mraza“ predstavljalo bi grupnu fotografiju kojoj se fokus ne nalazi na pojedincu te bi navedeno stoga bilo sukladno odredbama Opće uredbe.
Zaključno, vezano uz fotografije nastale prije stupanja na snagu Opće uredbe, Agencija ističe kako je iste moguće zadržati uz supra naznačene uvjete, odnosno ukoliko za obradu navedenih osobnih podataka postoji valjani pravni temelj u smislu članka 6. Opće uredbe.
Slijedom iznesenog, ističemo kako je u svakom pojedinom slučaju potrebno utvrditi postojanje pravnog temelja za određenu obradu osobnih podataka te je u tom kontekstu potrebno utvrditi predstavlja li legitimni interes valjani pravni temelj u smislu gore iznesenih zahtjeva. Ukoliko provođenjem testa razmjernosti utvrdite kako u konkretnom slučaju pretežu interesi i prava ispitanika, tada se navedeni osobni podaci mogu obrađivati samo uz pribavljanje privole koja udovoljava svim zahtjevima iz Opće uredbe.
Kupoprodajni ugovor kao pravni temelj za obradu osobnih podataka
Člankom 6., stavkom 1. Opće Uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Iz informacija koje ste nam poslali proizlazi da je, u konkretnom slučaju, pravni temelj za obradu osobnih podataka kupaca ugovor o kupoprodaji. Određene osobne podatke klijenata morate obrađivati i zbog poštovanja pravnih obveza voditelja obrade, a koje su propisane relevantnim nacionalnim propisima. S obzirom na to da je obrada osobnih podataka zakonita ukoliko se temelji na najmanje jednom od prethodno navedenih pravnih temelja, nije potrebna i privola ispitanika ukoliko se osobni podaci prikupljaju i obrađuju u svrhe izvršenja ugovora ili ispunjenja pravnih obveza voditelja obrade.
Međutim, ugovor o kupoprodaji je temelj za obradu samo onih osobnih podataka kupaca koji su nužni za njegovo izvršenje. Ukoliko imate namjeru obrađivati i neke druge podatke kupaca, a koji nisu nužni za izvršenje ugovora, ili u neku drugu svrhu (npr. izravni marketing), tada morate, kao voditelj obrade, pronaći neki drugi temelj kako bi ista bila zakonita.