15 49.0138 8.38624 arrow 0 arrow 0 4000 1 0 horizontal https://gdprinformer.com 300 0
GDPR Informer
GDPR Informer
Home / GDPR članci / Obrada temeljena na legitimnom interesu – postupati pažljivo!
February 26, 2018

Obrada temeljena na legitimnom interesu – postupati pažljivo!

GDPR se od začetka proziva zbog negativnog učinka na oglašivače i tvrtke. Jasno je da će stroži propisi ograničiti mogućnosti obrade podataka i zarade na istima, ali nisu sve vijesti loše. Legitimni interes mogao bi vam pomoći da i dalje nesmetano obrađujete podatke…

Medijski napisi o tome da će prava tvrtki i oglašivača biti ograničena točni su, ali s druge strane pojedinci će imati koristi od više prava. Cilj i jest bio dati običnim ljudima veći nadzor nad korištenjem svojih podataka.

Ipak, GDPR voditeljima obrade daje određene ustupke koji im omogućuju da i dalje obrađuju podatke korisnika. Pogledajmo koje su to osnove za obradu na koje se možete pozivati.

Osnove za obradu

Sve osnove na kojima možete zasnivati obradu osobnih podataka navedene su u čl.6. GDPR-a, a to su:

  • dobivanje izričite privole ispitanika za korištenje njegovih podataka u točno određene svrhe
  • nužnost obrade za izvršavanje ugovornih obveza (ili radnji na zahtjev ispitanika prije sklapanja ugovora)
  • obrada radi poštovanja pravnih obaveza voditelja obrade
  • zakonska obaveza
  • zaštita ključnih interesa ispitanika ili druge fizičke osobe (u situacijama od životne važnosti za te osobe)
  • javni interes
  • legitimni interes voditelja obrade ili treće strane

Privola

Vjerojatno najšire korišten mehanizam, barem kod online poslovanja, bit će privola. Voditelji obrade morat će tražiti privole korisnika prije korištenja njihovih podataka ako nema ostalih pravnih osnova. U ovome su pogledu pravila znatno stroža.

Mehanizam ‘odjave’, tj. uskraćivanja privole koji se sastoji od već označenih kvadratića za odabir više nije dozvoljen. Potrebna je eksplicitna dozvola, ali ne i samo to – osobu (ispitanika) mora se jasno upoznati sa svrhom korištenja njihovih podataka. Dobivanjem privole ne dobivate i općenitu dozvolu za korištenje podataka; upravo suprotno: Obrada podataka u svrhe koje niste naveli tijekom traženja privole nije dozvoljena, osim ako su te svrhe srodne prvotnoj.

Ispitanike također morate upoznati s posljedicama davanja privole, i to jednostavnim i jasnim izričajem, bez pretjerane količine pravnih pojmova i nerazumljivih objašnjenja. O problematici privole više možete saznati u našim ostalim člancima.

Legitimni interes

Glavna tema ovog članka, legitimni interes, i stručnjacima i tvrtkama postavlja više pitanja nego što ih rješava.

GDPR, naime, tvrtkama za obradu osobnih podataka dozvoljava pozivanje na legitimni interes. Drugim riječima, na legitimni se interes tvrtka može pozvati ako bi to za nju ili društvo u cjelini proizvelo pozitivne učinke.

No legitimni interes ne daje tvrtkama za pravo nesputano korištenje osobnih podataka. Kad bi to bio slučaj, manje-više bi se svi slučajevi obrade mogli pravdati legitimnim interesom i potencijalnom zaradom (koja bi, naravno, imala pozitivan učinak na tvrtku).

Postizanje balansa

Takva bi situacija bila potpuno protivna svrsi GDPR-a, pa zato i nije dozvoljena. Cilj GDPR-a jest da interese osoba suprotstavi interesima tvrtki, tako da se, prema čl. 6., interesi tvrtke moraju promatrati u skladu s interesima, slobodama i temeljnim pravima pojedinaca.

Djeca su osobito zaštićena i teško ćete obradu njihovih podataka uspjeti opravdati svojim legitimnim interesima, zato vam preporučujemo da ni ne pokušavate. Njihov interes gotovo će u svim slučajevima nadvladati vaš.

Prilikom analiziranja vaših interesa nasuprot interesa ispitanika morate uzeti u obzir sve važeće čimbenike. Potrebno je biti u potpunosti nepristran, a rezultate vaše analize morate evidentirati za slučaj da nadzorna tijela zaprime žalbe i odluče krenuti u inspekciju. U slučaju da bi aktivnosti obrade mogle imati značajan utjecaj na slobode i prava pojedinaca, potrebno je provesti procjenu učinka na zaštitu podataka.

Korištenjem dobrih mjera zaštite podataka mogli biste spustiti letvicu važnosti svojih legitimnih interesa. Korištenjem mjera poput anonimizacije ili pseudonimizacije češće biste se mogli pozivati na legitiman interes. Njihov bi interes za sigurnošću podataka u većini slučajeva bio adekvatno zadovoljen. Time se smanjuje količina prepreka za obradu jer će vaš interes lakše nadvladati rizike po njihove podatke.

Stones as balancing scales in GDPR

Potrebno je odrediti pravilan balans između interesa ispitanika i vaše tvrtke. Budite objektivni!

Obavještavanje i pravo prigovora

Imate obavezu obavještavanja ispitanika da namjeravate zasnivati obradu osobnih podataka na legitimnom interesu, i to u trenutku prikupljanja podataka. Morate navesti i koji su to točno vaši legitimni interesi za koje procjenjujete da opravdavaju rizik po osobne podatke.

Ispitanici čije podatke obrađujete u svakom trenutku imaju pravo prigovora na korištenje podataka zasnovano na legitimnom interesu. Čim zaprimite prigovor dužni ste obustaviti obradu, osim ako možete dokazati da su prednosti za vas veće od mogućih rizika za prava i slobode ispitanika.

Razumna očekivanja

U većini vam je slučajeva obrada podataka dozvoljena ako je razumno očekivati da ćete na taj način koristiti podatke. To uvelike ovisi o vašoj prethodnoj povezanosti s ispitanikom. Što je manji opseg svrha za koje ste dobili privolu, to je manje vjerojatno da smijete koristiti te podatke.

Na primjer, obrada i pohranjivanje korisničkih podataka u svrhu plaćanja sasvim je dozvoljeno čak i bez izričite privole, jer je jasno da se mora odviti kako bi se ispunila svrha plaćanja (u ovom konkretnom slučaju ulogu igra i nužnost obrade za ispunjenje ugovorne obaveze).

Na legitimni interes treba se pozivati samo kad je to prijeko potrebno. Dobivanjem valjane privole tamo gdje je to moguće znatno ćete si olakšati daljnje aktivnosti obrade.

Prijenos podataka u treće zemlje

Legitimni interes može poslužiti i kao osnova za prijenos podataka van granica Europske unije. Da biste to mogli izvesti, doduše, potrebno je da prijenos obuhvaća ograničeni broj pojedinaca i što je moguće manje podataka.

U praksi će vam to biti prilično teško za izvesti jer postoji velik broj mehanizama za prijenos podataka u treće zemlje koje biste prethodno trebali iscrpiti. Iz tog razloga vam ne preporučujemo da ozbiljno razmatrate tu mogućnost, osim u slučajevima krajnje nužde.

Primjeri legitimnog interesa iz GDPR-a

U uvodnim odredbama od br. 47. – 50. govori se o uvjetima i slučajevima u kojim je takva obrada dozvoljena.

Naprimjer, izričito se navodi obrada u administrativne svrhe, čak i ako se radi o skupini poduzeća (multinacionalne tvrtke i njezinih podružnica). Ta kategorija obuhvaća obradu podataka klijenata i zaposlenika.

Obrada osobnih podataka u svrhu očuvanja sigurnosti računalnih mreža, tj. obrane od povreda podataka, štete i nedozvoljenog pristupa također je dozvoljena pod osnovom legitimnog interesa, kao i obavještavanje nadzornih tijela o sumnji na nezakonite radnje i prijetnju javnoj sigurnosti.

Problematika izravnog marketinga

Postoji još jedna mogućnost navedena u uvodnoj odredbi br. 47., a koja će se oglašivačima osobito svidjeti:

Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga.

To se može interpretirati na više načina. Tvrtke koje žele tjerati vodu na svoj mlin mogle bi tvrditi da im to dozvoljava nesmetano korištenje tuđih podataka jer zaradu smatraju legitimnim interesom.

Ipak, osobe u ovom slučaju imaju apsolutno pravo zahtijevati prekid obrade u bilo kojem trenutku. K tome, tvrtka koja odluči zasnivati obradu na legitimnom interesu svejedno o tome prije toga mora obavijestiti osobe čiji se podaci obrađuju, tako da im se u načelu ionako više isplati tražiti privolu.

Izravan je marketing dozvoljen ako ste prethodno na neki način već dobili osobne podatke korisnika, bilo tijekom obrade prethodne transakcije ili procesa registracije. No aktivnosti izravnog marketinga ne smiju negativno utjecati na slobode i privatnost pojedinca. Jedna poruka e-pošte u kojoj korisnika obavještavate o novim ponudama vjerojatno ne krši njegova prava, osobito ako u poruci navedete poveznicu preko koje se može odjaviti od daljnje komunikacije.

Nadalje, obavještavanje korisnika o ponudama ili sniženjima koja bi ih mogla zanimati smatraju se razumnima, i ne nose visok rizik za pojedinca. Interes za tvrtku je velik, a i razumno je za očekivati da će s vremena na vrijeme tvrtke provoditi marketinške aktivnosti.

Imajte na umu da morate prestati s aktivnostima izravnog marketinga čim zaprimite pritužbu. Nakon toga, u slučaju izravnog marketinga, ne možete dalje pravdati svoje aktivnosti ni na koji način.

Personalizacija poruka također je u većini slučajeva dozvoljena, dok god se odvija u ograničenom opsegu i ako ste za to od osobe prethodno dobili privolu. Ta se praksa ne razlikuje previše od posjete knjižari u kojoj vam knjižničar koji poznaje vaše navike preporučuje knjige za koje misli da bi vas mogle zanimati.

Obrada osobnih podataka u svrhu istraživanja tržišta također se može pravdati legitimnim interesom, ali samo ako je dovoljno jak. Spekulativna istraživanja s neutvrđenom potencijalnom koristi nisu dozvoljena. Naš je savjet da pseudonimizirate podatke, pa se s dozvolama uopće nećete morati zamarati u toj mjeri.

Što je na kraju dozvoljeno?

Da sažmemo:

  • dok god prestanete s marketinškim aktivnostima po zaprimanju zahtjeva, i
  • dok god je razumno očekivati od vas da se takvom obradom bavite i da takva obrada neće naštetiti ispitanicima, i
  • dok god koristite adekvatne mjere zaštite podataka, i
  • ako je potencijalna korist za vašu tvrtku velika (legitimni interes)

možete biti prilično sigurni da u tom slučaju aktivnosti obrade smijete zasnivati na legitimnom interesu.

Zaključak

Za sada nadzorna tijela nisu donijela konkretne savjete o problematici izravnog marketinga i legitimnog interesa, a od strane Radne skupine iz čl. 29 ne očekuju se daljnje preporuke vezane uz legitimni interes. Ipak, uvjereni smo da ćemo ipak čuti nešto o toj problematici od nadležnih tijela, a do tada preporučujemo iznimnu pažnju.

Napominjemo da se na legitimni interes najbolje oslanjati samo kad ostale osnove za obradu nisu primjenjive, jer on predstavlja „najmanje čvrstu“ osnovu za obradu podataka koja je podložna interpretaciji. Najčešće ćete se na legitimni interes pozivati kad obrađujete stare podatke koji su Vam korisni, ne predstavljaju veliki rizik po ispitanike, a ostale pravne osnove nisu primjenjive.

Najbolje što za sada možete napraviti jest implementirati dobre strategije zaštite podataka (anonimizacija) koje će vam omogućiti njihovu obradu bez traženja privola i bez rizika od zaprimanja zahtjeva za prestanak obrade. Pažljivo pratite daljnji razvoj situacije i eventualna priopćenja o ovoj problematici, a o tome ćemo Vas obavještavati i mi.

GDPR Informer
Get in touch with us now!
Email address is required.
Email address you have entered is inccorect.
You should probably write something down.
Your email will be used only for communication regarding your request. We do not send any marketing and promotional emails. For more details, read our Privacy policy.
Crionis
Close
Success
Thank you for your interest, we will answer you shortly!
Success
We apologize, there seems to be a problem.