Pravni temelji za obradu osobnih podataka
* Saznajte više o pravnim temeljima u vodiču: https://arc-rec-project.eu/wp-content/uploads/2022/07/ARC-Smjernice-o-pravnim-osnovama.pdf
*VAŽNO! ukoliko obradu temeljite na legitimnom interesu, morate provesti test legitimnog interesa (ravnoteže, razmjernosti), obrazac je dostupan na poveznici https://arc-rec-project.eu/wp-content/uploads/2022/01/primjer-Test-razmjernosti-.docx
Pitanje zakonitosti obrade osobnih podataka od ključne je važnosti za usklađivanje s Općom uredbom o zaštiti podataka, a regulirano je člankom 6. Opće uredbe o zaštiti podataka.
Svatko tko obrađuje osobne podatke mora osigurati postojanje jedne od šest pravnih osnova za obradu propisanih gore navedenim člankom, kao i, ako poduzeće obrađuje posebne kategorije podataka, mora osigurati jednu od iznimaka propisanih člankom 9. stavkom 2. Opće uredbe o zaštiti podataka.
U suštini, svaki put kada poduzeće postavlja pitanje smije li se obraditi osobne podatke, primjerice čuvati, obrisati ih ili možda dostaviti podatke trećoj strani, odgovor se nalazi u postojanju pravne osnove za obradu osobnih podataka. Na taj način poduzeće brine i da poštuje jedno od najvažnijih načela Opće uredbe o zaštiti podataka– načelo zakonitosti.
Privola
Početno treba naglasiti da privola nema prvenstvo u odnosu na druge pravne osnove već se radi o jednakovrijednoj pravnoj osnovi za obradu osobnih podataka.
Među voditeljima obrade koji pripadaju skupini mikro, malih i srednjih poduzetnika često se pogrešno misli da je za svaku obradu osobnih podataka (bez obzira primjerice na pravni propis, ugovor ili legitiman interes) potrebna određena suglasnost pojedinca.
Štoviše, poduzeće kao voditelj obrade treba najprije provjeriti ima li drugu pravnu osnovu za obradu podataka, primjerice u obliku pravnih zahtjeva iz zakona ili ugovora, a tek u nedostatku druge osnove osloniti se na privolu upravo iz razloga što je potrebno ispitanicima omogućiti da privolu u svakom trenutku mogu valjano i jednostavno povući, stoga ona predstavlja za poduzetnikove nužne obrade određeni rizik.
Kao što je već rečeno, potrebno je osigurati da ispitanik može povući privolu u bilo kojem trenutku, a da to ne utječe na zakonitost obrade prije povlačenja.
Iz gore navedenih razloga, preporučujemo da poduzeća pažljivo razmotre je li privola najprikladniji pravni temelj za obradu i ako jest, ispunjava li privola sve uvjete propisane Općom uredbom o zaštiti podataka.
Opća uredba o zaštiti podataka postavlja visoke standarde za valjanu privolu.
Naime, privola mora biti dana jasnom potvrdnom radnjom, mora biti dobrovoljna, posebna i nedvosmislena, utemeljena na informacijama koje pojedincima omogućuju određenu kontrolu nad vlastitim osobnim podacima.
Privola mora biti slobodan izbor, a pitanje slobodnog izbora ne smije ovisiti o postojanju nekih negativnih posljedica za pojedinca u slučaju da ne pristane na obradu.
Primjerice, prilikom izvršenja ugovora te ocjene zakonitosti obrade temeljem privole za podatke koji nisu nužni za ispunjenje ugovora vodit će računa o tome je li, između ostalog, izvršenje ugovora uključujući i pružanje usluge, uvjetovano pristankom na obradu osobnih podataka, koji nisu potrebni za izvršenje tog ugovora.
S druge strane, dobrovoljni pristanak može biti doveden u pitanje ako postoji značajna nejednakost između poduzeća i pojedinca. Primjerice, obrada osobnih podataka u kontekstu radnog odnosa gdje se smatra da se radnik u odnosu na poslodavca smatra „slabijom stranom“ jer je u određenom zavisnom, nepovlaštenom položaju.
Zbog toga se u većini slučajeva ne preporučuje zasnivati obradu podataka zaposlenika na privoli, jer nije rijetkost da radnik pristaje na određenu obradu osobnih podataka samo zato što se boji nekih negativnih posljedica, primjerice, strah od otkaza ako ne pristane na određenu obradu podataka ili bojazan od lošeg postupanja poslodavca u slučaju nepristanka.
Privola mora biti posebna, što znači da obrada i svrha u koju se daje moraju biti dovoljno specificirane kako bi se pojedincima omogućila veća kontrola nad vlastitim osobnim podacima. Poduzeće mora voditi računa o granularnosti u dobivanju privole te jasno odvajati informacije koje se odnose na dobivanje privole od bilo koje druge važne informacije.
Možemo reći da je granularnost privole važna za sposobnost pojedinca da razlikuje specifičnost svrhe obrade (razloge obrade) za koju daje svoj pristanak, a na taj način poduzeće relevantno upravlja razumnim očekivanjima ispitanika te indirektno udovoljava zahtjevu transparentnosti obrade.
Veća kontrola u razdvajanju privola (ako ih je više) te davanju posebne privole za posebne svrhe, osim u informiranosti o obradama za koju se daje pristanak, ogleda se u ispoljavanju stvarnih želja ispitanika.
Razdvajanje svrha obrade može se postići ostavljanjem praznog okvira ispred svake svrhe obrade tako da pojedinac može označiti okvir ako želi.
Naposljetku, potrebno je voditi računa o tome da poduzeće mora informirati pojedince o obradi, kako bi osigurali valjanu individualnu odluku o njihovom izboru da daju privolu za obradu ili ne.
Neke od informacija koje treba pružiti su tko je voditelj obrade, svrhe obrade, informacije o vrsti podataka, informacije o pravu na povlačenje privole, informacije o korištenju podataka za automatizirano donošenje odluka, informacije o mogućim rizicima prijenosa podataka, odgovarajuće zaštitne mjere i dr.
Važna je i kvaliteta pruženih informacija, što znači da se jezik i rječnik moraju prilagoditi skupini koju poduzeće traži pristanak. S tim u vezi, informacije moraju biti pružene jasnim i jednostavnim jezikom koji svaki prosječan pojedinac može razumjeti te moraju biti lako dostupne.
Što se tiče privole djeteta, ističemo kako je u Republici Hrvatskoj propisano da samo poslovno sposobna osoba može vlastitim očitovanjima volje stvarati pravne učinke te da poslovnu sposobnost fizička osoba stječe punoljetnošću. Umjesto osobe koja nema poslovnu sposobnost očitovat će svoju volju njezin zakonski zastupnik ili skrbnik.
Obiteljskim zakonom propisano je da u sadržaj roditeljske skrbi ulazi pravo i dužnost zastupanja djetetovih osobnih i imovinskih prava i interesa.
Dakle, u slučaju da se radi o privoli maloljetnog djeteta, privolu za obradu njegovih osobnih podataka daje njegov roditelj odnosno zakonski zastupnik, osim ako je riječ o pružanju usluga informacijskog društva direktno djetetu. Tada dijete samo daje privolu ako ima više od 16 godina, a dužnost poduzeća je da dobnu granicu djeteta razumnim mjerama provjeri.
Ugovor
Ako postoji ugovorni odnos između pojedinca i poduzeća ili postoje radnje koje prethode sklapanju ugovora (primjerice predugovor, obvezujuća ponuda) a obrada osobnih podataka je nužna za izvršenje ugovora pravna osnova za takvu obradu je ugovor.
Važno je naglasiti da poduzeća moraju osigurati nužnost i proporcionalnost izvršenja ugovora. U pravilu, to znači da obrada podataka mora biti neophodna, stoga, ako poduzeće može razumno obraditi manje podataka ili koristiti podatke na manje nametljiv način neće se smatrati da se radi o osobnim podacima koji su nužni za sklapanje/izvršenje ugovora, a samim time za obradu takvih osobnih podataka poduzeće neće imati uporište u ugovoru kao pravnoj osnovi za obradu podataka.
Primjerice, podaci koji su potrebni za online kupnju su ime, prezime i adresa. Ako potrošača poduzeće traži podatak o broju djece, bračnom statusu i sl. kako bi mu moglo ponuditi personalizirane proizvode putem newslettera, ti podaci ne bi bili nužni za predmet ugovora, a pravni temelj za takvu obradu ne bi mogao biti ugovor.
Pravna obveza poduzeća
Ovdje je potrebno naglasiti kako poduzeće prvenstveno ima dužnost poznavati strukovne zakone i podzakonske propise koji uređuju djelatnost kojom se poduzeće bavi.
Naime, zakonima i podzakonskim propisima često su određene obrade osobnih podataka, a sadržaj tih obrada je u biti pravna obveza poduzeća, a samim time takva je obrada zakonita jer postoji adekvatna pravna osnova.
Primjerice, ako je riječ o hotelu (poduzeće koji se bavi turističkom djelatnošću) onda je takvo poduzeće dužno poznavati Zakon o turističkoj pristojbi te Pravilnik o sustavu eVisitor i znati da primjerice, obrada osobnih podataka gostiju putem sustava e-Visitor ima svoje utemeljenje u navedenim propisima te se samim time smatra zakonitom s aspekta zaštite osobnih podataka.
Također važna je informacija da ako se osobni podaci obrađuju temeljem zakonske obveze, pojedinac nema pravo na brisanje, pravo na prenosivost podataka ili pravo na prigovor.
Legitiman interes
Iako postoji raznolik spektar legitimnih interesa poduzeća radi kojih je potrebna određena obrada osobnih podataka (primjerice, legitiman interes može uključivati komercijalne interese, sigurnosne interese, individualne interese ili čak šire društvene koristi), važno je napomenuti da isti uvijek neće biti zakonit.
Ne postoji iscrpan popis legitimnih interesa za koje je potrebno obrađivati osobne podatke, ali neki od potencijalnih zakonitih legitimnih interesa bili bi primjerice, marketing, sprječavanje prijevara, razmjena informacija unutar poduzeća, IT sigurnost, zaštita imovina i pojedinaca i dr.
Legitiman interes poduzeća ili treće strane pravna je osnova za obradu osobnih podataka koja se može primijeniti ako ne prevladavaju interesi ili temeljna prava i slobode pojedinaca.
Za korištenje legitimnog interesa kao pravne osnove za obradu osobnih podataka, obrada mora biti nužna u smislu proporcionalnosti u postizanju ciljeva poduzeća, što znači da treba imati na umu da, ako postoji alternativna opcija koja manje utječe na prava i slobode, obrada radi ostvarenja legitimnog interesa vjerojatno nije nužna, a samim time ni zakonita.
Nadalje, postojanje legitimnog interesa zahtijeva pažljivu procjenu, mogu li pojedinci razumno očekivati određenu obradu u određenu svrhu, s tim da očekivanja pojedinaca moraju biti razumna.
Primjerice, ako je u poduzeću instaliran videonadzorni sustav radi postizanja cilja zaštite imovine ili posjeda nije razumno očekivati instalaciju istog u kabini za presvlačenje ili sanitarnim prostorijama, dok je razumno očekivati isti na hodniku ili u prostoriji gdje se čuvaju za poduzeće vrijedni dokumenti ili stvari.
Stoga, ako interesi i temeljna prava pojedinaca nadmašuju interese voditelja obrade, legitimni interes kao pravni temelj ne bi se trebao primjenjivati, a isto se može procijeniti u nekoliko koraka prije početka obrade provedbom testa legitimnog interesa kojeg možete pronaći na web stranici Agencije za zaštitu osobnih podataka https://azop.hr/obrasci-predlosci/ i na poveznici: https://arc-rec-project.eu/wp-content/uploads/2022/01/primjer-Test-razmjernosti-.docx
Spomenuti test legitimnog interesa ključna je komponenta za oslanjanje na legitiman interes kao pravu osnovu za obradu osobnih podataka jer njime poduzeće uspostavlja konačnu ravnotežu poduzimanjem dodatnih mjera zaštite, utvrđuje postoji li mogućnost dokazivanja usklađenosti, osigurava transparentnost i razmatra kako nastaviti s ostvarivanjem prava pojedinaca, posebice prava na prigovor kojeg je najkasnije do trenutka prve komunikacije s pojedincem potrebno uputiti pojedincu, prezentirano jasno i odvojeno od svih drugih informacija.
Napominjemo kako postoje i druge pravne osnove za obradu osobnih podataka, međutim gore navedene pravne osnove su najrelevantnije za kategoriju mikro, malih i srednje velikih poduzetnika.
