Dolaskom Opće uredbe o zaštiti podataka uvode se nove promjene koje se tiču osnova za obradu osobnih podataka. Osobne podatke sada je teže obrađivati kako vas volja, a ispitanici (osobe) imaju više nadzora nad korištenjem njihovih podataka. To znači da ćete morati biti pažljiviji i imati bolje razloge ako želite obrađivati tuđe osobne podatke. Pogledajmo u kojim slučajevima smijete obrađivati osobne podatke.
Osnove za obradu
Zakonske osnove za obradu osobnih podataka navode se u čl. 6. GDPR-a. Prema GDPR-u, postoji šest osnova za zakonitu obradu. Ako vaše aktivnosti obrade ne možete temeljiti niti na jednoj od navedenih osnova, onda je daljnja obrada tih osobnih podataka nezakonita.
Obrada osobnih podataka zakonita je ako je ispunjeno barem jedno od sljedećeg:
- dobili ste privolu za obradu osobnih podataka u jednu ili više posebnih svrha;
- obrada je nužna za izvršavanje ugovora u kojima je ispitanik stranka, ili u slučaju radnji koje prethode sklapanju ugovora
- ispunjenje vaših pravnih obaveza
- zaštita ključnih interesa ispitanika ili druge osobe
- izvršavanje vaše službene ovlasti ili zbog javnog interesa
- vaši legitimni interesi, osim ako su interesi ispitanika jači (ova osnova ne vrijedi za tijela javne vlasi)
Svaku od navedenih točaka zasebno ćemo analizirati, no ukupno gledano očekujemo da će u praksi prevladavati obrada temeljena na privoli i legitimnom interesu. To se ne razlikuje značajno od trenutne zakonske regulative, ali će nadzor biti stroži pa se tome potrebno prilagoditi.
Zakonsku osnovu za obradu trebate utvrditi prije nego započnete s obradom, a o obradi biste trebali voditi evidenciju – osim u slučaju malih i srednjih poduzetnika, koji ne moraju voditi evidenciju ako ne obrađuju zaštićene kategorije osobnih podataka. Ipak, napominjemo da se vođenje evidencije preporuča i nikad nije pogrešna odluka.
Sigurno će tijekom poslovanja doći do slučaja da jednu aktivnost obrade možete temeljiti na više pravnih osnova. U tome nema ništa spornoga (ako išta, jača vaše pravo na obradu), ali se morate opredijeliti za jednu osnovu na kojoj ćete temeljiti obradu. Ostale osnove možete dokumentirati, ali jedna je osnova uvijek primarna.
Privola
Privola je jedan od najpoznatijih i najraširenijih načina za zakonsku obradu podataka. Radi se o dobro poznatom mehanizmu koji nije stran ni tvrtkama ni ispitanicima, ali GDPR ipak postrožuje uvjete za pribavljanje privole, pa ćete morati biti pažljivi.
Privola prema GDPR-u mora biti izričita, a osobito za posebne kategorije osobnih podataka. Korisnik mora sam pritisnuti tipku kojom izjavljuje da se slaže s uvjetima korištenja (ili osobno potpisati papirnati dokument i sl.). Tzv. „pasivna privola“ više nije prihvatljiva. To uključuje prethodno označene potvrdne okvire, izjave poput „prijavom se slažete za obradu podataka u ovu ili onu svrhu“ i sl. Ispitaniku morate omogućiti da ne da svoju privolu, u suprotnom je vaša obrada nezakonita.
Ti se propisi ne odnose samo na online poslovanje. Pisana ili verbalna privola također mora biti jasno potvrdna. Sve privole koje nisu dobivene u skladu s GDPR-om neće se smatrati valjanima.
Pobrinite se da u svakom trenutku budete spremni dokazati privolu, na primjer kad vas to zatraži nadzorno tijelo. Morate moći dokazati da vam je ispitanik zaista privolu dao, a zapis mora sadržavati svrhe u koju ste privolu dobili i datum njezina dobivanja.
Ako ispitanik odluči povući privolu, zapise morate ažurirati što je prije moguće, a s daljnjom obradom trebate prestati odmah. S rezultatima obrade nastale prije nego je privola povučena možete raspolagati bez ograničenja, dok god ne sadrže osobne podatke.
Tijekom pribavljanja privole dužni ste ispitaniku na jasan način predočiti sve svrhe u koje ćete koristiti njegove podatke. Privola je valjana samo za te navedene svrhe. Poželite li proširiti obradu tih podataka, u pravilu morate ponovno tražiti privolu, osim ako je nova svrha vrlo slična prethodnoj i predstavlja logički nastavak obrade.
Uz navođenje svrha, dužni ste ispitaniku u trenutku pribavljanja privole objasniti i potencijalne rizike koje davanje privole predstavlja, kao i eventualne posljedice do kojih može doći. Nemojte „ušminkavati“ moguće negativne posljedice; nastupite iskreno, bez prikrivanja činjenica i što manje koristite stručne pravne pojmove. Neka obavijest bude razumljiva prosječnom čovjeku.
Nemojte zaboraviti ni pružiti kontakt informacije osobe unutar tvrtke. Ta bi osoba trebala biti službenik za zaštitu podataka ili netko tko se razumije u problematiku, jer će se komunikacija između ispitanika i vaše tvrtke – dakle, sva pitanja, zahtjevi i sl. odvijati preko te osobe.
Smatra se da privola vrijedi na neodređeno vrijeme, osim ako drugačije nije ugovoreno. Ipak, ICO (britansko nadzorno tijelo) podržava praksu povremene provjere i osvježenja privola, na primjer svake dvije godine, no ne radi se o zakonskoj obavezi.
Privole koje trenutno posjedujete ne morate ponovno tražiti ako su dobivene u skladu s novim propisima. Nažalost, to vjerojatno neće biti slučaj pa ćete zapravo morati ponovno tražiti privolu od svih ispitanika čije podatke obrađujete temeljem privole, ovoga puta u skladu s GPDR-om. S tim postupkom „osvježenja“ trebali biste krenuti što prije, jer niste jedini s tim problemom. Zamislite što će biti s ulaznim spremnicima korisnika netom prije no što GDPR stupi na snagu: bit će puni raznih e-mailova koje ih mole za privolu. Vrlo vjerojatno se neće potruditi odgovoriti niti na jedan od njih… i vaša baza korisnika odlazi u nepovrat! Zato djelujte odmah.
Djeca i privola
GDPR osobito štiti djecu. Ako im nudite usluge, sva objašnjenja im morate pružiti njima razumljivim jezikom. Djeca ne mogu sama dati privolu; potrebna je privola roditelja za svu djecu mlađu od (u Hrvatskoj) 16 godina. Mehanizmi provjere te privole nisu jasni, no potrebno je poduzeti razumne mjere u tu svrhu – poslati verifikacijski e-mail na adresu roditelja ili tražiti presliku osobne iskaznice, na primjer.
Izvršavanje ugovora
Obrada osobnih podataka zakonita je ako vam je potrebna da ispunite ugovor u kojem je ispitanik stranka ili jedna od stranaka.
To uključuje, na primjer, prodaju preko interneta. Vama je neophodno da obrađujete podatke s kreditne kartice kupca, jer vam on mora platiti prije nego dostavite robu. U tom je slučaju takva obrada razumna, nužna i očekivana, pa ne morate zasebno tražiti privolu. Ovom osnovom pokriva se i komunikacija koja prethodi sklapanju ugovora ako je ispitanik izrazio namjeru za sklapanje istoga.
No izbjegavajte „upakiravanje“ privola. Do toga bi lako moglo doći u prethodnom primjeru – tako da, na primjer, zadržite adresu i podatke korisnika kako biste dalje mogli slati promotivne materijale. To samo po sebi nije sporno ako za to dobijete privolu. Dozvola za jednu vrstu obrade ne daje vam za pravo da iste podatke koristite dalje.
Ova osnova pruža ograničeno pravo na obradu samo za neposredne svrhe; u GDPR-u i inače važi načelo smanjenja količine podataka, prema kojemu podatke trebate držati samo dok su vam oni korisni i potrebni. Osobne podatke koje više ne koristite trebali biste obrisati.
Ugovorne obaveze u nekim slučajevima daju vam pravo na obradu podataka.
Legitimni interes
Legitimni interes je osnova koja će se, prema našim procjenama, uz privolu najčešće koristiti. To je pomalo i nezgodno jer je baš kod legitimnog interesa najviše toga ostalo „visjeti“ u zraku. Kod legitimnog interesa vi ćete imati pravo koristiti osobne podatke i bez njihove privole dok god je ta uporaba razumna, tj. ako za nju imate legitimni interes i ako neće štetiti ispitaniku.
Što to znači? Znači da vi, ako želite podatke obrađivati na temelju legitimnog interesa, morate voditi računa o ravnoteži vaših interesa u odnosu na interese ispitanika, i to na nepristran način. Ako možete imati puno koristi od obrade podataka ispitanika uz minimalne rizike po slobode i prava pojedinca, smijete obrađivati podatke. Ovdje je opet bitno naglasiti važnost ravnoteže između vaših interesa i interesa ispitanika. Ako su rizici po ispitanike visoki, onda ne smijete obrađivati njihove podatke čak i ako imate značajan interes za to.
Pomoću legitimnog interesa možete obrađivati samo podatke koji su nužni za ispunjavanje svrhe koju ste odredili, a preporučuje se da ne temeljite obradu na legitimnom interesu ako ispitanici ne očekuju takav način obrade. Nije zabranjeno, ali se ne preporučuje jer si možete stvoriti dodatne probleme (i nezadovoljne korisnike).
Upamtite da o odlukama za obradu trebate voditi detaljnu evidenciju koja treba sadržavati zaključke iz vaše analize prema kojima se jasno vide prednosti za vas i rizici za ispitanike. Čak i ako zaključite da imate legitimni interes za obradu, ispitanik se smije žaliti, a potom vi morate dokazati da je vaš interes zaista „jači“ od njihovog.
Ne zaboravite da ispitanike na neki način morate obavijestiti da obradu temeljite na legitimnom interesu, bilo u izjavi o privatnosti, bilo izravno ako ste podatke pribavili od treće strane.
Izravni marketing dozvoljeno je „pravdati“ legitimnim interesom, ali ne smije biti napadan. Na zahtjev morate prestati s izravnim marketingom, i u tom slučaju nemate pravo dokazivanja važnosti svojeg legitimnog interesa – ispitanikova je riječ zadnja.
Legitimni interes uglavnom se preporučuje ako ne postoje druge osnove za obradu, a za očekivati je da bi se ta obrada dogodila kao posljedica ispitanikovih aktivnosti. Na primjer, povremeni e-mail redovitom klijentu tvrtke nije ništa sporno (osim ako se ne odjavi).
Podatke smijete obrađivati i ako bi to moglo smanjiti rizik od povreda, tj. povećati sigurnost vaše IT infrastrukture. Obrada u administrativne svrhe, uključujući prijenos podataka o zaposlenicima ili klijentima unutar tvrtke u pravilu je dozvoljeno. I obrada podataka za prevenciju prevara i kriminala također je dopuštena.
Ako s popriličnom sigurnošću možete pretpostaviti da ispitaniku ne bi smetala vaša obrada podataka, i da se takvi podaci ne bi obrađivali na novi i neočekivan način, možete razmotriti zasnivanje obrade na legitimnom interesu. Ipak, pokušajte s ostalim zakonskim osnovama koje su preciznije i čvršće i legitimnom interesu se okrenite samo ako ništa drugo ne može „poslužiti“. To će osobito biti slučaj kod starih podataka.
Ispunjenje pravnih obaveza
Zakoni u nekim zemljama članicama mogu nalagati tvrtki da obrađuje osobne podatke, iako samim GDPR-om to nije pokriveno ni predviđeno. Zato je tu ova iznimka koja vam osigurava da ne budete u prekršaju ako zakoni od vas traže daljnju obradu podataka. To će se najčešće ticati razdoblja pohrane podataka radi lakše kontrole i sl.
Važno je naglasiti da ovo vrijedi samo za zakone unutar Europske unije. Tvrtke izvan EU-a naći će se u škripcu jer će morati birati između GDPR-a i zakona matične države. Budući da je upitno u kojoj će mjeri pravni sustav EU-a sankcionirati prekršitelje izvan njezinih granica, vjerojatno će se opredijeliti za potonje.
Zaštita ključnih interesa
Obrada osobnih podataka u svrhu zaštite ključnih interesa ispitanika ili druge fizičke osobe dozvoljena je bez privole. Tu spadaju doslovce situacije u kojima se radi o životu ili smrti ili ostalim ugrozama, a obrada bi mogla uključivati medicinsku anamnezu osobe, krvnu grupu i sl.
Prema slovu zakona, trebali biste pribaviti privolu, a na zaštitu ključnih interesa se osloniti tek kad je to nemoguće. Malo je vjerojatno da bi itko bio kažnjen u graničnim situacijama nesreća i povreda, tako da se s te strane nemate čega bojati. Podaci se obrađivati mogu i ako bi pomogli ključnim interesima neke druge osobe, tj. spasili nekog drugog unesrećenika.
Javni interes
Ako bi obrada osobnih podataka bila od osobite koristi za društvo u cjelini, takva je obrada u načelu zakonita, no države članice moraju nedvosmisleno zakonski definirati „korist“ i uvjete za obradu osobnih podataka. Primjeri su zaštita javnog zdravlja (od epidemija i zaraza), zaštita javnosti (povlačenje proizvoda itd.), obrada od strane arhiva, znanstvenih i statističkih institucija i sl. (po mogućnosti pseudonimiziranih ili anonimiziranih podataka).
Ispitanici imaju pravo uložiti pritužbu na takvu obradu. Tada biste trebali prekinuti obradu osim ako možete dokazati da su prednosti za društvo veće od mogućih negativnih utjecaja na slobode i prava pojedinca.
Ovom se zakonskom osnovom pokriva obrada od strane javnih tijela (policije, porezne uprave, vlasti i sl.), te ostalih voditelja obrade kojima su ta tijela dala mandat za obavljanje aktivnosti obrade.
Zaključak
Općom uredbom o zaštiti podataka voditelji obrade dobivaju popriličan broj osnova na kojima mogu temeljiti svoje aktivnosti obrade. No ne zaboravite da je primarni cilj GDPR-a ipak zaštita prava pojedinaca, pa trebate biti pažljivi jer, ugrubo rečeno, pravila nisu pisana da vama olakšaju život.
Ipak, samo zakonsko okružje sad je prilično jasnije, pa će biti manje „lova u mutnom“. Tvrtke koje racionalno i transparentno raspolažu s podacima ne bi trebale imati velikih problema u prilagodbi na nove propise, naravno nakon inicijalnog razdoblja usklađivanja i unaprjeđenja razine zaštite podataka. Nakon što se prašina slegne, i vi biste kao poduzetnik trebali imati određene koristi u vidu sigurnijeg raspolaganja podataka, a ako ništa drugo, barem ćete znati što smijete, a što ne smijete. Ni to se u Hrvatskoj ne vidi često.
