Savjeti za članice: Pravne osnove za obradu podataka prema Općoj uredbi o zaštiti osobnih podataka

26.04.2018.

Obrada osobnih podataka zakonita je samo ako za to postoji pravna osnova. Zakonske osnove za obradu osobnih podataka navode se u čl. 6. Opće uredbe za zaštitu osobnih podataka koja stupa na snagu 25. svibnja 2018.
Postoji šest osnova za zakonitu obradu. Ako se aktivnosti obrade ne mogu temeljiti niti na jednoj od navedenih osnova, onda je daljnja obrada tih osobnih podataka nezakonita. 
Korisnik sam mora pritisnuti tipku kojom izjavljuje da se slaže s uvjetima korištenja ili osobno potpisati papirnati dokument i zaokružiti DA ili NE. Korisniku morate omogućiti da ne da svoju privolu, u suprotnom je vaša obrada nezakonita. 
Sve prijavnice za sudjelovanje u aktivnostima tehničke kulture koje sadrže osobne podatke treba u tiskanom ili elektroničkom obliku trajno čuvati.

Zakon o provedbi Opće uredbe o zaštiti osobnih podataka

Stupanjem na snagu Opće uredbe za zaštitu osobnih podataka, odnosno od 25. svibnja 2018. godine obrada osobnih podataka zakonita je ako je ispunjeno barem jedno od sljedećeg:

  • dobili ste privolu/suglasnost za obradu osobnih podataka u jednu ili više posebnih svrha;
  • obrada je nužna za izvršavanje ugovora u kojima je ispitanik stranka ili u slučaju radnji koje prethode sklapanju ugovora;
  • ispunjenje vaših pravnih obaveza;
  • zaštita ključnih interesa ispitanika ili druge osobe;
  • izvršavanje vaše službene ovlasti ili zbog javnog interesa;
  • vaši legitimni interesi, osim ako su interesi ispitanika jači (ova osnova ne vrijedi za tijela javne vlasi).

Zakonsku osnovu za obradu treba utvrditi prije nego se započne s obradom, a o obradi bi trebalo voditi evidenciju (osim u slučaju malih i srednjih poduzetnika koji ne moraju voditi evidenciju ako ne obrađuju zaštićene kategorije osobnih podataka). Vođenje evidencije se preporučuje i nikad nije pogrešna odluka.

Privola/suglasnost

Privola/suglasnost prema Općoj uredbi za zaštitu osobnih podataka mora biti izričita, a osobito za posebne kategorije osobnih podataka.

Korisnik sam mora pritisnuti tipku kojom izjavljuje da se slaže s uvjetima korištenja ili osobno potpisati papirnati dokument i zaokružiti DA ili NE. Korisniku morate omogućiti da ne da svoju privolu, u suprotnom je vaša obrada nezakonita. 

Tzv. „pasivna privola“ više nije prihvatljiva, primjerice da dokument na kojem se traži privola sadržava isključivo izjavu poput „prijavom se slažete za obradu podataka u ovu ili onu svrhu“ i sl.

Privola/suglasnost mora biti izričita, a osobito za posebne kategorije osobnih podataka.

Pobrinite se da u svakom trenutku budete spremni dokazati privolu, na primjer kad vas to zatraži nadzorno tijelo. Morate moći dokazati da vam je ispitanik zaista privolu dao, a zapis mora sadržavati svrhe u koju ste privolu dobili i datum njezina dobivanja. To znači da sve prijavnice za sudjelovanje u aktivnostima tehničke kulture koje sadrže osobne podatke treba u tiskanom ili elektroničkom obliku trajno čuvati.

Ako ispitanik odluči povući privolu, zapise morate ažurirati što je prije moguće, a s daljnjom obradom trebate prestati odmah. S rezultatima obrade nastale prije nego je privola povučena možete raspolagati bez ograničenja, dok god ne sadrže osobne podatke.

Tijekom pribavljanja privole dužni ste ispitaniku na jasan način predočiti sve svrhe u koje ćete koristiti njegove podatke. Privola je valjana samo za te navedene svrhe. Poželite li proširiti obradu tih podataka, u pravilu morate ponovno tražiti privolu, osim ako je nova svrha vrlo slična prethodnoj i predstavlja logički nastavak obrade.

Opća uredba o zaštiti osobnih podataka osobito štiti djecu. Djeca ne mogu sama dati privolu već je potrebna privola roditelja za svu djecu mlađu od 16 godina (u Hrvatskoj). Mehanizmi provjere te privole se mogu poduzeti tako da se pošalje verifikacijski e-mail na adresu roditelja ili traži preslika osobne iskaznice roditelja.

Izvršavanje ugovora u kojima je ispitanik stranka

Obrada osobnih podataka zakonita je ako je potrebno ispuniti ugovor u kojem je ispitanik stranka ili jedna od stranaka.
Primjer za to je prodaja preko interneta. Tada se obrađuju podatci s kreditne kartice kupca, jer on mora platiti prije nego se dostavi roba. U tom je slučaju takva obrada razumna, nužna i očekivana, pa se ne mora zasebno tražiti privolu. Ovom osnovom pokriva se i komunikacija koja prethodi sklapanju ugovora ako je ispitanik izrazio namjeru za sklapanje istoga. Dozvola za jednu vrstu obrade ne daje za pravo da se isti podatci koriste dalje.

Legitimni interes

Kod legitimnog interesa vi ćete imati pravo koristiti osobne podatke i bez njihove privole/suglasnosti dok god je ta uporaba razumna, tj. ako za nju imate legitimni interes i ako neće štetiti ispitaniku.

Ako želite podatke obrađivati na temelju legitimnog interesa, morate voditi računa o ravnoteži vaših interesa u odnosu na interese ispitanika i to na nepristran način. Ako možete imati puno koristi od obrade podataka ispitanika uz minimalne rizike po slobode i prava pojedinca, smijete obrađivati podatke.

Ovdje je opet bitno naglasiti važnost ravnoteže između vaših interesa i interesa ispitanika. Ako su rizici po ispitanike visoki, onda ne smijete obrađivati njihove podatke čak i ako imate značajan interes za to. Upamtite da o odlukama za obradu trebate voditi detaljnu evidenciju koja treba sadržavati zaključke iz vaše analize prema kojima se jasno vide prednosti za vas i rizici za ispitanike. Čak i ako zaključite da imate legitimni interes za obradu, ispitanik se smije žaliti, a potom vi morate dokazati da je vaš interes zaista „jači“ od njihovog. Ne zaboravite da ispitanike na neki način morate obavijestiti da obradu temeljite na legitimnom interesu, bilo u izjavi o privatnosti, bilo izravno ako ste podatke pribavili od treće strane.

Legitimni interes uglavnom se preporučuje ako ne postoje druge osnove za obradu, a za očekivati je da bi se ta obrada dogodila kao posljedica ispitanikovih aktivnosti. Na primjer, povremeni e-mail redovitom klijentu tvrtke nije ništa sporno (osim ako se ne odjavi).

Ispunjenje pravnih obaveza

Zakoni u nekim zemljama članicama mogu nalagati tvrtki da obrađuje osobne podatke, iako samom Uredbom to nije pokriveno ni predviđeno. Zato je tu ova iznimka koja osigurava da se ne bude u prekršaju ako zakoni traže daljnju obradu podataka. To će se najčešće ticati razdoblja pohrane podataka radi lakše kontrole i sl.

Zaštita ključnih interesa ispitanika

Obrada osobnih podataka u svrhu zaštite ključnih interesa ispitanika ili druge fizičke osobe dozvoljena je bez privole.

Tu spadaju situacije u kojima se radi o životu ili smrti ili ostalim ugrozama, a obrada bi mogla uključivati medicinsku anamnezu osobe, krvnu grupu i sl.

Prema slovu zakona, trebali biste pribaviti privolu, a na zaštitu ključnih interesa se osloniti tek kad je to nemoguće.

Izvršenje službene ovlasti ili javni interes

Ako bi obrada osobnih podataka bila od osobite koristi za društvo u cjelini, takva je obrada u načelu zakonita, no države članice Europske unije moraju nedvosmisleno zakonski definirati „korist“ i uvjete za obradu osobnih podataka.

Primjeri su zaštita javnog zdravlja (od epidemija i zaraza), zaštita javnosti (povlačenje proizvoda itd.), obrada od strane arhiva, znanstvenih i statističkih institucija i sl. (po mogućnosti pseudonimiziranih ili anonimiziranih podataka).

Ovom se zakonskom osnovom pokriva obrada podataka od strane javnih tijela (policije, porezne uprave, vlasti i sl.) te ostalih voditelja obrade kojima su ta tijela dala mandat za obavljanje aktivnosti obrade.

vrh stranice