Obrada je zakonita samo ako i u onoj mjeri u kojoj ispunjavate najmanje jedno od sljedećega (pravne osnove za obradu osobnih podataka)
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose, Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr. privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe npr. davanje podatka o lokaciji nestale osobe od strane teleooperatera Hrvatskoj gorskoj službi spašavanja.
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora u svrhu zaštite svoje imovine).
!!! NAPOMENA: često voditelji i izvršitelji obrade smatraju da za svaku obradu osobnih podataka trebaju privolu osobe čije podatke prikupljaju i obrađuju. No, ako obradu temeljite na nekoj od gore navedenih pravnih osnova, nije potrebno tražiti osobu (ispitanika) privolu za obradu. Primjerice, za sklapanje ugovora s teleoperaterom potrebni su Vaši osobni podaci kako biste mogli sklopiti ugovor kao što su primjerice: ime i prezime, adresa, OIB i za takvu obradu osobnih podataka nije potrebno tražiti privolu. Liječnik dentalne medicine ne treba tražiti privolu svog pacijenta za obradu podataka koji su nužni u svrhu obavljanja pregleda i liječenja jer svoju obradu temelji na zakonskom propisu.
Privola je jedan od 6 pravnih osnova za obradu i nije potrebna ako obradu temeljite na nekoj drugoj pravnoj osnovi.
Privola mora biti dobrovoljna, posebna, informirana i nedvosmislena. „Informirana privola” znači da ispitanika morate informirati na jasan i razumljiv način, barem o sljedećem:
- identitet organizacije koja obrađuje podatke;
- svrhe u koje se obrađuju podaci;
- vrstu podataka koji se obrađuju;
- mogućnost povlačenja privole (primjer: slanjem poruke elektroničke pošte da biste povukli privolu);
- ako je primjenjivo, činjenicu da će se podaci upotrebljavati isključivo za automatizirano odlučivanje, uključujući izradu profila;
- informaciju je li privola povezana s međunarodnim prijenosom vaših podatka, mogućim rizicima prijenosa podataka u zemlje izvan EU-a ako te zemlje ne podliježu odluci Komisije o primjerenosti i ako nema odgovarajućih zaštitnih mjera.
Prema Općoj uredbi o zaštiti podataka, privola ispitanika znači svako:
- dobrovoljno,
- posebno,
- informirano
- nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Primjer: Mobilna aplikacija za uređivanje fotografija traži od korisnika aktivaciju GPS lociranja za korištenje njezinim uslugama. Aplikacija isto tako obavješćuje svoje korisnike da će se prikupljeni podaci koristiti u promidžbene svrhe. Za pružanje usluge uređivanja fotografija nije nužno ni geolociranje ni internetsko oglašavanje, te se time prelaze okviri pružanja osnovne usluge. S obzirom na to da korisnici ne mogu upotrebljavati aplikaciju bez davanja privole u te svrhe, privola se ne može smatrati dobrovoljnom.
Privola kao pravna osnova za obradu osobnih podataka radnika:
S obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik, nije vjerojatno da ispitanik može uskratiti svojem poslodavcu privolu za obradu podataka bez straha ili stvarnog rizika od štetnih učinaka zbog odbijanja. Nije vjerojatno da bi zaposlenik mogao slobodno odgovoriti na zahtjev svojeg poslodavca za privolu te je malo vjerojatno da će privola biti dobrovoljna. Za većinu takve obrade podataka na radnom mjestu, zakonita osnova ne može i ne bi smjela biti privola zaposlenika (zbog prirode odnosa između poslodavca i zaposlenika) već se obrada osobnih podataka radnika prvenstveno temelji na ugovoru o radu koji radnik sklapa sa poslodavcem te na obvezu izvršavanja pravnih obveza voditelja obrade (poslodavca) propisanih posebnim propisima (Zakon o radu, Zakon o mirovinskom osiguranju, Zakon o zaštiti na radu, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima i dr.)
Privola radnika može biti pravni temelj za obradu osobnih podataka koje poslodavac nije obvezan prikupljati i obrađivati sukladno posebnim propisima (primjerice: osobna fotografija radnika ili prikupljanje biometrijskih podataka kao što je otiskak prsta u svrhu evidentiranja radnog vremena).
*Više možete saznati u Smjernicama o privoli!
Legitimni interes kao pravna osnova za obradu osobnih podataka
Vaš legitimni interes može predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade.
Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili njegov zaposlenik.
Interesi i temeljna prava ispitanika osobito bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.
Kako bi dokazao svoj legitiman interes, prije početka same obrade, voditelj obrade bi trebao provesti test razmjernosti.
Navedeni test razmjernosti (ravnoteže) sastoji se od sedam koraka koje provodi voditelj obrade:
- procijeniti koja bi se pravna osnova iz članka 6. Opće uredbe mogla primijeniti
- odrediti je li interes voditelja obrade zakonit ili nezakonit
- utvrditi je li obrada nužna za ostvarivanje interesa
- uspostaviti privremenu ravnotežu procjenjivanjem je li interes voditelja obrade podređen temeljnim pravima ili interesima osoba čiji se podaci obrađuju (ispitanika)
- uspostaviti konačnu ravnotežu uzimanjem u obzir dodatnih zaštitnih mjera
- dokazati usklađenost i osigurati transparentnost
- što učiniti ako osoba čiji se podaci obrađuju (ispitanik) ostvaruje svoje pravo na prigovor
Obrada posebnih kategorija osobnih podataka
Ako obrađujete posebnu kategoriju osobnih podataka , tada je osim pravnog temelja iz članka 6. Opće uredbe potrebno postojanje i iznimke od načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. Opće uredbe.
