Obrada je zakonita samo ako i u onoj mjeri u kojoj ispunjavate najmanje jedno od sljedećega (pravne osnove za obradu osobnih podataka)
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose, Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr. privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe npr. davanje podatka o lokaciji nestale osobe od strane teleooperatera Hrvatskoj gorskoj službi spašavanja.
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora u svrhu zaštite svoje imovine).
Prije početka svake obrade osobnih podataka voditelj obrade mora utvrditi pravni temelj, odnosno zakonito opravdanje za obradu osobnih podataka. Bez odgovarajućeg pravnog temelja obrada osobnih podataka nije zakonita.
Članak 6. Opće uredbe o zaštiti podataka propisuje šest pravnih temelja za zakonitu obradu osobnih podataka: privolu, izvršavanje ugovora, ispunjenje pravne obveze, zaštitu životno važnih interesa, izvršavanje zadaće od javnog interesa ili službene ovlasti te legitimni interes. Ne postoji hijerarhija među pravnim temeljima niti je privola uvijek „najbolji” ili jedini pravni temelj. Svaka obrada mora se temeljiti na onom pravnom temelju koji je najprikladniji s obzirom na konkretnu svrhu i okolnosti obrade.
Voditelj obrade treba pravni temelj odrediti prije početka obrade te o njemu na jasan i razumljiv način informirati ispitanike. Ako se isti osobni podaci obrađuju u više različitih svrha, za svaku svrhu potrebno je posebno utvrditi odgovarajući pravni temelj.
Privola
Privola je jedan od šest pravnih temelja za obradu osobnih podataka, ali se ne smije za aktivnosti obrade u kojima nije odgovarajući pravni temelj u situacijama u kojima ispitanik nema stvarnu mogućnost slobodnog izbora. Da bi bila valjana, privola mora biti dobrovoljna, posebna, informirana i nedvosmislena te dana jasnom potvrdnom radnjom. Često voditelji i izvršitelji obrade smatraju da za svaku obradu osobnih podataka trebaju privolu osobe čije podatke prikupljaju i obrađuju. No, ako postoji druga odgovarajuća pravna osnova, nije potrebno tražiti osobu (ispitanika) privolu za obradu. Primjerice, za sklapanje ugovora s teleoperaterom potrebni su osobni podaci pojedinca kako biste mogli sklopiti ugovor kao što su primjerice: ime i prezime, adresa, OIB i za takvu obradu osobnih podataka nije potrebno tražiti privolu. Liječnik dentalne medicine ne treba tražiti privolu svog pacijenta za obradu podataka koji su nužni u svrhu obavljanja pregleda i liječenja jer svoju obradu temelji na zakonskom propisu.
Privola nije primjerena ako postoji jasna neravnoteža između ispitanika i voditelja obrade, primjerice u odnosu javnog tijela i građanina ili poslodavca i zaposlenika, osim ako se u konkretnom slučaju može dokazati da je ispitanik doista slobodno odlučio. Ispitanik mora imati pravo u svakom trenutku povući privolu, a povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
Primjer: privola može biti odgovarajuća pravna osnova za primanje newslettera kada osoba sama odabere prijavu na newsletter i jasno je informirana o tome tko obrađuje podatke, u koju svrhu i kako može povući privolu.
Izvršavanje ugovora
Obrada se može temeljiti na članku 6. stavku 1. točki (b) Opće uredbe o zaštiti podataka ako je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
Ovaj pravni temelj može se koristiti samo za obradu koja je stvarno potrebna za izvršenje ugovora. Nije dovoljno da je obrada korisna, praktična ili navedena u uvjetima poslovanja. Ako se podaci obrađuju u dodatne svrhe, primjerice za marketing, analitiku ili profiliranje, za te svrhe treba utvrditi zaseban pravni temelj.
Primjer: internetska trgovina može obrađivati ime, prezime, adresu dostave i kontaktne podatke kupca kako bi izvršila narudžbu i dostavila proizvod.
Pravna obveza
Obrada se može temeljiti na članku 6. stavku 1. točki (c) ako je nužna radi ispunjenja pravne obveze voditelja obrade. Takva obveza mora proizlaziti iz prava Unije ili prava države članice.
Voditelj obrade u tom slučaju ne obrađuje podatke zato što to želi, nego zato što je na to obvezan propisom. Propis ne mora uvijek detaljno opisivati svaku pojedinu radnju obrade, ali mora biti dovoljno jasan i predvidljiv te mora omogućiti utvrđivanje svrhe obrade.
Primjer: poslodavac obrađuje određene osobne podatke zaposlenika radi ispunjenja obveza iz područja radnog, poreznog i mirovinskog zakonodavstva.
Životno važni interesi
Obrada se može temeljiti na članku 6. stavku 1. točki (d) ako je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe. Ovaj pravni temelj najčešće se primjenjuje u hitnim situacijama, osobito kada je obrada nužna radi zaštite života, zdravlja ili fizičkog integriteta osobe.
Primjer: ako je osoba bez svijesti, relevantni zdravstveni podaci mogu se podijeliti s hitnom medicinskom službom kako bi joj se pružila nužna pomoć.
Izvršavanje zadaće od javnog interesa ili službene ovlasti
Članak 6. stavak 1. točka (e) primjenjuje se kada je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Ova pravna osnova osobito je važna za tijela javne vlasti i druge subjekte koji obavljaju javne zadaće na temelju propisa.
Tijela javne vlasti ne mogu se osloniti na legitimni interes kada osobne podatke obrađuju u okviru svojih javnih zadaća. U takvim slučajevima najčešća pravna osnova bit će članak 6. stavak 1. točka (c), ako je obrada nužna radi ispunjenja pravne obveze, ili članak 6. stavak 1. točka (e), ako je obrada nužna radi izvršavanja zadaće od javnog interesa ili službene ovlasti.
Primjer: javno tijelo obrađuje osobne podatke građana radi vođenja upravnog postupka iz svoje nadležnosti.
Legitimni interes
Legitimni interes iz članka 6. stavka 1. točke (f) može biti pravna osnova za obradu osobnih podataka kada voditelj obrade ili treća strana ima zakonit, stvaran i jasno određen interes, kada je obrada nužna za ostvarenje tog interesa te kada nad tim interesom ne prevladavaju interesi, prava ili temeljne slobode ispitanika. Voditelj obrade mora provesti test legitimnog interesa koji uključuje tri koraka: utvrđivanje legitimnog interesa, procjenu nužnosti obrade i test ravnoteže.
Ovaj pravni temelj ne smije se koristiti kao „rezervna” osnova kada druga pravna osnova nije primjenjiva. Ako se cilj može postići drugim, jednako učinkovitim, ali manje nametljivim sredstvom, legitimni interes neće biti odgovarajuća pravna osnova.
Primjer: legitimni interes može biti primjenjiv za određene obrade u svrhu mrežne i informacijske sigurnosti, sprječavanja prijevara ili zaštite osoba i imovine, ali samo ako je obrada nužna, razmjerna i ako su ispitanici o njoj jasno informirani.
Posebne kategorije osobnih podataka
Ako se obrađuju posebne kategorije osobnih podataka, primjerice podaci o zdravlju, biometrijski podaci, podaci o političkom mišljenju, vjerskom uvjerenju, članstvu u sindikatu ili podaci koji se odnose na spolni život ili seksualnu orijentaciju, nije dovoljno imati samo pravni temelj iz članka 6. Opće uredbe o zaštiti podataka. Potrebno je dodatno ispuniti jedan od uvjeta iz članka 9. stavka 2. Opće uredbe o zaštiti podataka, jer je obrada posebnih kategorija podataka u načelu zabranjena, osim u ograničenim slučajevima propisanima Općom uredbom.
Primjer: ako se zdravstveni podaci obrađuju radi ostvarivanja ili obrane pravnog zahtjeva, voditelj obrade mora utvrditi odgovarajući pravni temelj iz članka 6. i dodatno primjenjivu iznimku iz članka 9. stavka 2.
Pravna osnova nije dovoljna sama za sebe
Utvrđivanje pravne osnove samo je jedan od koraka prema zakonitoj obradi. Svaka obrada mora biti u skladu i s načelima zaštite podataka: zakonitošću, poštenjem i transparentnošću, ograničavanjem svrhe, smanjenjem količine podataka, točnošću, ograničenjem pohrane, cjelovitošću i povjerljivošću te načelom pouzdanosti.
To znači da voditelj obrade mora obraditi samo one podatke koji su nužni za konkretnu svrhu, čuvati ih samo onoliko dugo koliko je potrebno, osigurati njihovu sigurnost te moći dokazati usklađenost s Općom uredbom o zaštiti podataka.
Prava ispitanika
Prava ispitanika mogu ovisiti o pravnom temelju obrade. Primjerice, pravo na prenosivost podataka primjenjivo je kod privole i ugovora, ali ne i kod svih drugih pravnih osnova. Pravo na prigovor posebno je važno kod obrade koja se temelji na zadaći od javnog interesa ili legitimnom interesu. Neovisno o pravnoj osnovi, ispitanik uvijek ima pravo uložiti prigovor na obradu osobnih podataka u svrhu izravnog marketinga.
Preporuka voditeljima obrade
Voditelji obrade trebaju prije početka svake obrade jasno utvrditi:
- koja je konkretna svrha obrade,
- koji su osobni podaci nužni za tu svrhu,
- koja je odgovarajuća pravna osnova,
- jesu li ispitanici jasno informirani,
- koliko dugo će se podaci čuvati,
- koje se mjere zaštite primjenjuju,
- koja prava ispitanici mogu ostvariti.
Ako voditelj obrade nije siguran koji je pravni temelj odgovarajući, preporučuje se prethodno savjetovanje sa službenikom za zaštitu podataka, ako je imenovan, odnosno provođenje interne pravne i organizacijske procjene prije početka obrade.
