Privola vs druge osnove za obradu osobnih podataka prema GDPR-u

Stigao je i taj trenutak, Opća uredba o zaštiti osobnih podataka (u nastavku: GDPR[1]) stupila je na snagu 25. svibnja 2018. godine. Možda i najčešća riječ s kojom se susrećemo u vezi primjene ovog GDPR-a je privola.

„Privola, privola, privola“! dopire iz naših telefona; „moramo li imati privolu za prikupljanje i obradu podataka o radnicima, kupcima, klijentima?“ Takvom shvaćanju djelomično su doprinijele i razne tvrtke koje su u svrhu vlastite promocije slale newslettere i dopise da je za svaku obradu osobnih podataka nakon 25.5.2018. potrebno imati privolu. Netočno!

Osnove za obradu osobnih podataka prema GDPR-u

GDPR propisuje 6 osnova na temelju kojih se podaci mogu obrađivati, a privola je samo jedna od tih osnova (čl. 6.). Dakle, da bi obrada bila zakonita mora postojati najmanje jedno od sljedećeg:

  • ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
  • obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  • obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
  • obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
  • obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
  • obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

GDPR postavlja visoke starndarde za obradu temeljem privole.

Prema tome, ako se osobni podaci prikupljaju temeljem bilo koje druge osnove, nije potrebno tražiti i privolu od ispitanika za obradu. U većini slučajeva privola neće ni biti potrebna. Npr. u radnom odnosu razni zakoni i pravilnici propisuju koje osobne podatke moramo prikupljati o radnicima i kome ih dostavljamo (prijave na obvezna osiguranja, JOPPD obrazac, obračun plaće, evidencija o radnicima i sl.). Slijedom navedenog, te podatke ne prikupljamo na temelju privole radnika, već je obrada nužna radi poštovanja pravnih (rekli bi možda i točnije propisanih) obveza poslodavca kao voditelja obrade.

Bitno je naglasiti da će bar jednu od ovih osnova voditelji obrade morati znati prepoznati i odabrati, jer ako se obrada ne može podvesti pod nijednu, obrada nije zakonita i voditelj obrade nije usklađen s GDPR-om (čl. 5. st. 2.). Osim toga, pravnu osnovu za obradu osobnih podataka mora se navesti u obavijesti putem koje se ostvaruje pravo ispitanika na informiranost (čl. 13. st. 1. (c) GDPR-a). U evidenciji aktivnosti obrade iz čl. 30. GDPR-a tu kolonu nije potrebno voditi, ali naša je preporuka da se uz ostale podatke vodi i ta kolona, a kako bi voditelj obrade uvijek i u svakom trenutku znao na temelju čega obrađuje osobne podatke.

Kada tražiti, a kada ne tražiti privolu?

Privola je jedna od osnova za obradu, a GDPR za nju postavlja visoke standarde (vidi čl. 7., te Recitale (32), (42) i (43) GDPR-a).

Obrada na temelju privole biti će prikladna u onim slučajevima kada se ispitanicima želi ponuditi potpuni izbor i kontrola načina na koji se njihovi podaci obrađuju, te se želi steći njihovo povjerenje i potaknuti njihovo sudjelovanje (npr. informiranje o proizvodima i uslugama). No, ako im se ne može ponuditi takav izbor, privola nije prikladna. Ako je privola preduvjet za pružanje kakve usluge, nije vjerojatno da će biti prikladan odabir za obradu (npr. prilikom sklapanja ugovora o kupnji robe prepustimo kupcu odluku da sam izabire koje će nam osobne podatke dati; u ovom slučaju je obrada zapravo nužna za izvršavanje ugovora u kojem je ispitanik stranka pa ne treba tražiti privolu). No, obrada temeljem privole biti će nužna onda kada obradu ne možemo podvesti pod nijednu drugu osnovu.

Ako se traženje privole čini preteško, potražite neku drugu od 6 osnova za obradu osobnih podataka.

S druge strane, tijelima javne vlasti i javnim tijelima, poslodavcima kao i drugim organizacijama koje se nalaze u jačem položaju naspram ispitanika nije preporučljivo oslanjati se na privolu kao osnovu za obradu, osim ako nisu u mogućnosti dokazati da je dana dobrovoljno. Npr. ako se u radnom odnosu prepusti radniku odluka o tome koje će osobne podatke dati, pa ih uskrati, poslodavac ne može ispuniti svoje propisane obveze, npr. izvršiti prijavu na obvezna osiguranja ili popunjavanje JOPPD obrasca.

[1] engl. General Data Protection Regulation

Natrag