Webinar “Pravni temelji za obradu osobnih podataka iz Opće uredbe o zaštiti podataka”
Pozivamo sve voditelje obrade iz privatnog i javnog sektora na besplatni webinar “Pravni temelji za obradu osobnih podataka iz Opće uredbe o zaštiti podataka” koji će se održati 11. veljače 2025. s početkom u 10:00 sati.
Prijave nisu potrebne samo klik na link:
https://us02web.zoom.us/j/84797027055?pwd=lL9BBgTNFbwaPisgyGs2sds1zyfba3.1
Meeting ID: 847 9702 7055
Passcode: 819127
Pridružite nam se na webinaru “Pravni temelji za obradu osobnih podataka”, gdje ćemo razjasniti:
- Koji su pravni temelji za obradu osobnih podataka prema GDPR-u?
- Kako odrediti odgovarajući pravni temelj za određenu aktivnost obrade osobnih podataka?
- Kako provesti test legitimnog interesa?
- Što treba sadržavati privola?
- Primjere iz prakse i relevantne odluke nadzornih tijela.
Pitanje zakonitosti obrade osobnih podataka od ključne je važnosti za usklađivanje s Općom uredbom o zaštiti podataka, a regulirano je člankom 6. Opće uredbe o zaštiti podataka.
Svatko tko obrađuje osobne podatke mora osigurati postojanje jedne od šest pravnih osnova za obradu propisanih člankom 6. Opće uredbe o zaštiti podataka. Ako voditelj obrade obrađuje posebne kategorije podataka, mora uz pravni temelj iz članka 6., osigurati i jednu od iznimaka propisanih člankom 9. stavkom 2. Opće uredbe o zaštiti podataka.
U suštini, svaki put kada voditelj obrade postavlja pitanje smije li se obraditi osobne podatke, primjerice čuvati, obrisati ih ili možda dostaviti podatke trećoj strani, odgovor se nalazi u postojanju pravne osnove za obradu osobnih podataka.Navedeno je povezano i s poštovanjem jednog od načela Opće uredbe o zaštiti podataka– načela zakonitosti.
Agencija je izradila i web alat Olivia koji svim voditeljima obrade može pomoći u procesu usklađivanja s Općom uredbom o zaštiti podataka: https://olivia-gdpr-arc.eu/hr.
Privola
Početno treba naglasiti da privola nema prvenstvo u odnosu na druge pravne osnove već se radi o jednakovrijednoj pravnoj osnovi za obradu osobnih podataka.
Štoviše, organizacija kao voditelj obrade treba najprije provjeriti ima li drugu pravnu osnovu za obradu podataka, primjerice u obliku pravnih zahtjeva iz zakona ili ugovora, a tek u nedostatku druge osnove osloniti se na privolu upravo iz razloga što je potrebno ispitanicima omogućiti da privolu u svakom trenutku mogu valjano i jednostavno povući, te je potrebno osigurati da ispitanik može povući privolu u bilo kojem trenutku, a da to ne utječe na zakonitost obrade prije povlačenja.
Iz gore navedenih razloga, preporučujemo organizacijama (voditeljima obrade) da pažljivo razmotre je li privola najprikladniji pravni temelj za obradu i ako jest, ispunjava li privola sve uvjete propisane Općom uredbom o zaštiti podataka.
Opća uredba o zaštiti podataka postavlja visoke standarde za valjanu privolu.
Naime, privola mora biti dana jasnom potvrdnom radnjom, mora biti dobrovoljna, posebna i nedvosmislena, utemeljena na informacijama koje pojedincima omogućuju određenu kontrolu nad vlastitim osobnim podacima.
Privola mora biti slobodan izbor, a pitanje slobodnog izbora ne smije ovisiti o postojanju nekih negativnih posljedica za pojedinca u slučaju da ne pristane na obradu.
Primjerice, prilikom izvršenja ugovora te ocjene zakonitosti obrade temeljem privole za podatke koji nisu nužni za ispunjenje ugovora vodit će računa o tome je li, između ostalog, izvršenje ugovora uključujući i pružanje usluge, uvjetovano pristankom na obradu osobnih podataka, koji nisu potrebni za izvršenje tog ugovora.
S druge strane, dobrovoljni pristanak može biti doveden u pitanje ako postoji značajna nejednakost između organizacije i pojedinca. Primjerice, obrada osobnih podataka u kontekstu radnog odnosa gdje se smatra da se radnik u odnosu na poslodavca smatra „slabijom stranom“ jer je u određenom zavisnom, nepovlaštenom položaju.
Zbog toga se u većini slučajeva ne preporučuje zasnivati obradu podataka zaposlenika na privoli, jer nije rijetkost da radnik pristaje na određenu obradu osobnih podataka samo zato što se boji nekih negativnih posljedica, primjerice, strah od otkaza ako ne pristane na određenu obradu podataka ili bojazan od lošeg postupanja poslodavca u slučaju nepristanka.
Privola mora biti posebna, što znači da obrada i svrha u koju se daje moraju biti dovoljno specificirane kako bi se pojedincima omogućila veća kontrola nad vlastitim osobnim podacima. Voditelj obrade mora voditi računa o granularnosti u dobivanju privole te jasno odvajati informacije koje se odnose na dobivanje privole od bilo koje druge važne informacije.
Možemo reći da je granularnost privole važna za sposobnost pojedinca da razlikuje specifičnost svrhe obrade (razloge obrade) za koju daje svoj pristanak, a na taj način voditelj obrade relevantno upravlja razumnim očekivanjima ispitanika te indirektno udovoljava zahtjevu transparentnosti obrade.
Veća kontrola u razdvajanju privola (ako ih je više) te davanju posebne privole za posebne svrhe, osim u informiranosti o obradama za koju se daje pristanak, ogleda se u ispoljavanju stvarnih želja ispitanika.
Razdvajanje svrha obrade može se postići ostavljanjem praznog okvira ispred svake svrhe obrade tako da pojedinac može označiti okvir ako želi.
Naposljetku, voditelj obrade mora informirati pojedince o obradi. Neke od informacija koje treba pružiti su tko je voditelj obrade, svrhe obrade, informacije o vrsti podataka, informacije o pravu na povlačenje privole, informacije o korištenju podataka za automatizirano donošenje odluka, informacije o mogućim rizicima prijenosa podataka, odgovarajuće zaštitne mjere i dr. S tim u vezi, informacije moraju biti pružene jasnim i jednostavnim jezikom koji svaki prosječan pojedinac može razumjeti te moraju biti lako dostupne.
Što se tiče privole djeteta, ističemo kako je u Republici Hrvatskoj propisano da samo poslovno sposobna osoba može vlastitim očitovanjima volje stvarati pravne učinke te da poslovnu sposobnost fizička osoba stječe punoljetnošću. Umjesto osobe koja nema poslovnu sposobnost očitovat će svoju volju njezin zakonski zastupnik ili skrbnik.
Obiteljskim zakonom propisano je da u sadržaj roditeljske skrbi ulazi pravo i dužnost zastupanja djetetovih osobnih i imovinskih prava i interesa.
Dakle, u slučaju da se radi o privoli maloljetnog djeteta, privolu za obradu njegovih osobnih podataka daje njegov roditelj odnosno zakonski zastupnik, osim ako je riječ o pružanju usluga informacijskog društva direktno djetetu.
Ugovor
Ako postoji ugovorni odnos između pojedinca i voditelja obrade ili postoje radnje koje prethode sklapanju ugovora (primjerice predugovor, obvezujuća ponuda) a obrada osobnih podataka je nužna za izvršenje ugovora pravna osnova za takvu obradu je ugovor.
Važno je naglasiti da voditelji obrade moraju osigurati nužnost i proporcionalnost izvršenja ugovora. U pravilu, to znači da obrada podataka mora biti neophodna, stoga, ako voditelj obrade može razumno obraditi manje podataka ili koristiti podatke na manje nametljiv način neće se smatrati da se radi o osobnim podacima koji su nužni za sklapanje/izvršenje ugovora, a samim time za obradu takvih osobnih podataka voditelj obrade neće imati uporište u ugovoru kao pravnoj osnovi za obradu podataka.
Primjerice, podaci koji su potrebni za online kupnju su ime, prezime i adresa. Ako ispitanika voditelj obrade traži podatak o broju djece, bračnom statusu i sl. kako bi mu moglo ponuditi personalizirane proizvode putem newslettera, ti podaci ne nisu nužni za predmet ugovora, a pravni temelj za takvu obradu ne bi mogao biti ugovor.
Pravna obveza
Ovdje je potrebno naglasiti kako voditelj obrade prvenstveno ima dužnost poznavati strukovne zakone i podzakonske propise koji uređuju djelatnost kojom se bavi.
Naime, zakonima i podzakonskim propisima često su određene obrade osobnih podataka, a sadržaj tih obrada je u biti pravna obveza organizacije, a samim time takva je obrada zakonita jer postoji adekvatna pravna osnova.
Primjerice, ako je riječ o hotelu (voditelj obrade koji se bavi turističkom djelatnošću), voditelj obrade je dužan poznavati Zakon o turističkoj pristojbi te Pravilnik o sustavu eVisitor i znati da primjerice, obrada osobnih podataka gostiju putem sustava e-Visitor ima svoje utemeljenje u navedenim propisima te se samim time smatra zakonitom s aspekta zaštite osobnih podataka.
Također važna je informacija da ako se osobni podaci obrađuju temeljem zakonske obveze, pojedinac nema pravo na brisanje, pravo na prenosivost podataka ili pravo na prigovor.
Legitiman interes
Iako postoji raznolik spektar legitimnih interesa radi kojih je potrebna određena obrada osobnih podataka (primjerice, legitiman interes može uključivati komercijalne interese, sigurnosne interese, individualne interese ili čak šire društvene koristi), važno je napomenuti da isti uvijek neće biti zakonit.
Ne postoji iscrpan popis legitimnih interesa za koje je potrebno obrađivati osobne podatke, ali neki od potencijalnih zakonitih legitimnih interesa bili bi primjerice, marketing, sprječavanje prijevara, razmjena informacija unutar organizacije, IT sigurnost, zaštita imovina i pojedinaca i dr.
Legitiman interes voditelja obrade ili treće strane pravna je osnova za obradu osobnih podataka koja se može primijeniti ako ne prevladavaju interesi ili temeljna prava i slobode pojedinaca.
Za korištenje legitimnog interesa kao pravne osnove za obradu osobnih podataka, obrada mora biti nužna u smislu proporcionalnosti u postizanju ciljeva voditelja orade, što znači da treba imati na umu da, ako postoji alternativna opcija koja manje utječe na prava i slobode, obrada radi ostvarenja legitimnog interesa vjerojatno nije nužna, a samim time ni zakonita.
Nadalje, postojanje legitimnog interesa zahtijeva pažljivu procjenu, mogu li pojedinci razumno očekivati određenu obradu u određenu svrhu, s tim da očekivanja pojedinaca moraju biti razumna.
Primjerice, ako je voditelj obrade želi instalirati videonadzorni sustav radi postizanja cilja zaštite imovine ili posjeda nije razumno očekivati instalaciju istog u kabini za presvlačenje ili sanitarnim prostorijama, dok je razumno očekivati isti na hodniku ili u prostoriji gdje se čuvaju za voditelja obrade vrijedni dokumenti ili stvari.
Stoga, ako interesi i temeljna prava pojedinaca nadmašuju interese voditelja obrade, legitimni interes kao pravni temelj ne bi se trebao primjenjivati, a isto se može procijeniti u nekoliko koraka prije početka obrade provedbom testa legitimnog interesa kojeg možete pronaći na web stranici Agencije za zaštitu osobnih podataka https://azop.hr/obrasci-predlosci/ i na poveznici: https://arc-rec-project.eu/wp-content/uploads/2022/01/primjer-Test-razmjernosti-.docx
Spomenuti test legitimnog interesa ključna je komponenta za oslanjanje na legitiman interes kao pravu osnovu za obradu osobnih podataka jer njime voditelj obrade uspostavlja konačnu ravnotežu poduzimanjem dodatnih mjera zaštite, utvrđuje postoji li mogućnost dokazivanja usklađenosti, osigurava transparentnost i razmatra kako nastaviti s ostvarivanjem prava pojedinaca, posebice prava na prigovor kojeg je najkasnije do trenutka prve komunikacije s pojedincem potrebno uputiti pojedincu, prezentirano jasno i odvojeno od svih drugih informacija.
Životno važni interesi
Obrada osobnih podataka radi zaštite životno važnih interesa pojedinca rjeđe je korištena pravna osnova, ali ju je ipak važno uzeti u obzir u određenim specifičnim situacijama kada druge pravne osnove nisu prikladne. Kao i kod nekih drugih pravnih osnova, voditelji obrade trebaju razmotriti je li obrada doista nužna za postizanje cilja zaštite životno važnih interesa. Voditelji obrade najvjerojatnije će se oslanjati na ovu pravnu osnovu kada je obrada osobnih podataka potrebna kako bi se zaštitio nečiji život ili ublažila ozbiljna prijetnja osobi, na primjer djetetu ili nestaloj
osobi.
Zadaće od javnog interesa
Ova je pravna osnova najrelevantnija za tijela javne vlasti. Ne mora postojati posebna zakonska ovlast za obradu osobnih podataka koja se pripisuje tom voditelju obrade, ali njihova temeljna zadaća, funkcija ili ovlast moraju imati jasnu osnovu u pravu EU ili nacionalnom pravu, uključujući običajno pravo. U uvodnoj izjavi 41. GDPR-a jasno se navodi da zakon na kojem se temelji zadaća, funkcija ili ovlast treba biti jasan i precizan te da bi njegova primjena trebala biti predvidljiva za one na koje se odnosi, u skladu sa sudskom praksom Suda Europske unije i Europskog suda za ljudska prava.
