Službene su preporuke stigle: Radna skupina za zaštitu podataka iz čl. 29 objavila je detaljnu analizu problematike privole u GDPR-u (Općoj uredbi o zaštiti podataka) i njezinog utjecaja u praksi. U ovome ćemo članku prijeći kroz najvažnije promjene koje nas čekaju.
Općenito o privoli
Privola je jedna od šest pravnih osnova za obradu podataka. U čl. 4. st. 11 definira se kao „svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose“.
GDPR ne unosi značajne promjene u sam pojam privole: promjene se mogu ogledati u dodatnim ograničenjima i procedurama za dobivanje i rukovanje s privolama.
Elementi privole
Postoji nekoliko elemenata koji se moraju zadovoljiti kako bi privola bila valjana. Dakle, kako je navedeno u gornjoj definiciji, privola mora biti dobrovoljna, posebna, informirana i nedvosmislena. U sljedećim ćemo poglavljima obraditi najvažnije savjete Radne skupine koji se toga tiču.
Dobrovoljnost
Ispitanici moraju imati istinsko pravo slobodnog izbora prilikom davanja privole. Ono nikada ne smije biti obveznim uvjetom za korištenje određenih usluga. Uskraćivanje privole ne smije negativno utjecati na ispitanikovu mogućnost korištenja usluga kod tog voditelja obrade. Ako je to slučaj, vašu bi obradu vjerojatno bilo pametnije temeljiti na izvršenju ugovornih obveza.
Naprimjer, web-stranica za slušanje glazbe koja od vas traži dijeljenje lokacijskih podataka kako biste koristili njihove usluge ne smiju svoju obradu temeljiti na privoli jer se ona ne smatra slobodnom (jer lokacijski podaci nisu ključni za pružanje usluge).
U slučaju da postoji jasna neravnoteža između ispitanika i voditelja obrade, nije se dozvoljeno oslanjati na privolu kao pravnu osnovu. Iz tog se razloga javna tijela i poslodavci ne mogu služiti privolom kao osnovom za obradu podataka, osim ako je istu moguće uskratiti bez straha od gubitka prava na usluge ili otkaza. Ako davanju privole nema stvarne alternative, ili ako postoji strah od promjene odnosa poslodavca prema zaposleniku zbog uskraćivanja iste, jasno je da je potrebna druga pravna osnova.
Ispitanicima se također mora omogućiti da u svakom trenutku povuku privolu, i to bez štetnih utjecaja na ostale aktivnosti obrade ili usluge kod tog voditelja obrade.
‘Pakiranje’ nije dozvoljeno
Zahtjev za privolom ne smije se pružati ‘u paketu’, tj. više svrha obrade ne smije se pokriti jednom privolom, osim ako su iznimno srodni. Ispitanici bi trebali imati mogućnost zasebno se izjasniti o privoli za svaku od svrha obrade. K tome, nije dozvoljeno privole postavljati kao uvjet za pružanje usluga ili ispunjenje ugovora. Obrada temeljena na privolama ni na koji način ne smije utjecati na ostale ugovorne obaveze.
Posebnost
Privola je valjana samo kad je dana za određenu, legitimnu svrhu. Više postupaka obrade može se pokriti jednom privolom dok god se obavljaju u istu svrhu. Podaci se ne smiju koristiti u druge svrhe bez dobivanja nove privole od ispitanika.
Dakle, svaka nova svrha obrade zahtijeva i novu, zasebnu privolu uz koju treba pružiti sve bitne podatke. Davanje privole na jednu svrhu obrade ne smije utjecati na pravo ispitanika da za neku drugu svrhu istu uskrati.
Informiranost
Radna skupina iz čl. 29 ponovno je naglasila važnost transparentnosti, a jedan od ključnih čimbenika kojima se to postiže pružanje je dovoljne količine podataka ispitanicima kako bi mogli donijeti informiranu odluku o davanju privole. Ne treba ni reći da se u suprotnom privola smatra nevažećom.
Da bi privola bila valjana, Radna skupina smatra da bi svaki zahtjev trebao sadržavati barem sljedeće:
- Podatke o voditelju obrade
- Svrhu obrade
- Vrstu podataka koja se prikuplja i obrađuje
- Objašnjenje ispitanikovih prava, uključujući i pravo na uskratu privole
- Podatke o postojanju izrade profila ili automatiziranog donošenja odluka
- Podatke o eventualnom prijenosu podataka u treće zemlje koje nisu pokrivene Odlukama o adekvatnosti EK-a
U GDPR-u nigdje nije izričito propisan oblik u kojem morate predočiti ove podatke. Pretpostavka je da su dozvoljeni svi oblici, dakle u pismu, govoru, zvučnim ili video zapisima i sl., ovisno o prirodi i načinu traženja privole. No neovisno o obliku, sadržaj mora biti jasan ciljanoj publici.
Podatke treba predočiti na takav način da izgledom odskaču od ostalih. Ispitanicima mora biti nedvojbeno jasno da se radi o zahtjevu za privolu kako bi se spriječili slučajevi nenamjernog pristanka. Naprimjer, ‘zakopavanje’ zahtjeva u duge uvjete korištenja gdje ga nitko neće moći naći, nije dozvoljeno.
Nedvosmislenost
Privola mora predstavljati jasni i nedvosmisleni pristanak na obradu. To uključuje potpisivanje obrasca, verbalna potvrda ili označavanje kvadratića za odabir na računalu. Ključno je sljedeće: privolu nikada ne smijete pretpostaviti tako što ćete korisnicima ponuditi već ispunjeni kvadratić ili obrazac. Ni razni pokušaji ograđivanja koje često nalazimo na web-stranicama poput „nastavkom korištenja ove web-stranice slažete se s našim uvjetima korištenja“ i sl. ne pomažu. GDPR jednostavno ne poznaje institut prešutne privole: ne smijete obrađivati tuđe osobne podatke ako vam nije rečeno drugačije.
Radna skupina iz čl. 29 prepoznala je poteškoće do kojih dolazi prilikom traženja privole na internetu. Glavni problem do kojeg dolazi je tzv. ‘zasićenje klikovima’, gdje korisnici postaju skloni klikati na razne skočne prozore i dijaloške okvire bez da ih čitaju (nešto slično današnjoj obavijesti o kolačićima prisutnoj na gotovo svim stranicama).
Izričita privola
Obrada posebnih kategorija podataka, prijenos podataka u treće zemlje i automatizirano donošenje odluka smatraju se osobito rizičnima i zahtijevaju izričitu privolu. Budući da već i ‘obična’ privola mora biti jasan i nedvosmislen pristanak, može biti teško odrediti u kojoj bi se točno mjeri izričita privola definirala, budući da zahtijeva viši stupanj pristanka.
Pema Radnoj skupini iz čl. 29, ‘izričita’ privola odnosi se na način izricanja privole. Naprimjer, potpisana izjava primjer je izričite privole. Što se mrežnih usluga tiče, dvostruka provjera autentičnosti, poruke e-pošte za potvrdu ili skeniranje identifikacijskog dokumenta smatraju se ‘izričitijom’ privolom. U načelu, privola je izričita ako je ispitanik dodatnim korakom potvrdio svoju namjeru.
Dokazivanje privole
Voditelji obrade u svakom trenutku moraju moći pokazati da su zaista dobili privolu od ispitanika čije podatke obrađuju. Ipak, pri tome trebaju paziti da ne prikupe previše podataka. Dokazni materijal o privoli treba zadržati i nakon što završi aktivnost obrade, ali ne duže od zakonski potrebnog (zastara i sl.).
U načelu, valjanost privole vremenski je neograničena, dok god su aktivnosti obrade u skladu sa svrhom za koju je dana. Unatoč tome, preporuka je da tvrtke povremeno ‘osvježe’ privole ponovnom komunikacijom s ispitanicima. Time se smanjuju mogućnosti za nastanak nesuglasica, ali i poboljšava kvaliteta obrade jer će ispitanici ažurirati osobne podatke koji su se možda promijenili.
Morate voditi temeljitu evidenciju… ali po mogućnosti bolje organiziranu.
Povlačenje privole
Prilikom traženja privole tvrtke moraju obavijestiti ispitanike o njihovom pravu na povlačenje privole. Ispitanici moraju u svakom trenutku moći povući privolu, a taj postupak ne smije biti kompleksniji od postupka za davanje privole. Ako je privola dana za nekoliko klikova mišem, i postupak povlačenja mora biti jednako jednostavan.
Povlačenje privole uvijek mora biti besplatno i nikada za posljedicu ne smije imati pružanje niže razine usluge od strane voditelja obrade. Ako se to dogodi, takve se aktivnosti obrade uopće nisu smjele zasnivati na privoli.
Nakon povlačenja privole treba odmah prestati s aktivnostima obrade, a podaci se moraju ili obrisati ili anonimizirati, osim ako postoji neka druga pravna osnova koja se može koristiti kako bi se podaci nastavili obrađivati. Voditelji obrade, naravno, o toj namjeri moraju obavijestiti ispitanika.
Odnos između zakonskih osnova
Obradu jednih te istih podataka moguće je temeljiti na više osnova, ali samo ako različite osnove pokrivaju različite svrhe obrade tih podataka. Ista svrha obrade ne smije se ‘pravdati’ s više zakonskih osnova. Zamjena zakonskih osnova nije dozvoljena; voditelji obrade ne smiju koristiti određene osnove ‘za svaki slučaj’ ako se prva osnova pokaže nelegitimnom.
Ostala problematika
Znanstvenoistraživački radovi
Uvjeti za privolu nešto su ublaženi ako se podaci koriste u svrhu znanstvenih istraživanja, osobito u pogledu ograničenja svrhe. Priroda znanstvenih istraživanja takva je da je ponekad teško unaprijed odrediti točnu svrhu u koju će se podaci koristiti. Ipak, potrebno je što je preciznije moguće istu opisati, barem na nekoj općenitoj razini. Kadgod je moguće podatke treba pseudonimizirati za dodatnu razinu sigurnosti. Naravno, sva istraživanja u kojima se koriste tuđi osobni podaci moraju dobiti odobrenje etičkih odbora institucije, a obaveza dobivanja privole i dalje je na snazi.
Na neki se način neodređenost svrhe obrade može i treba kompenzirati većom razinom transparentnosti, tako da ispitanici imaju bolji uvod u korištenje njihovih podataka te uz pomoć tih saznanja odlučiti žele li povući svoju privolu. Za povlačenje privole ne postoje iznimke. Čak i ako bi to dovelo u piranje čitav znanstvenoistraživački rad, takvi se podaci više ne smiju koristiti osim ako se prethodno ne anonimiziraju.
Podaci djece
Već smo pisali o poteškoćama koje prate privole djece, a sličnih pitanja dotiče se i WP29, koja kao vatrogasnu mjeru preporučuje načelo smanjenja količine podataka kao način rješavanja tih problema.
Koliko ćete potanko provjeravati valjanost roditeljskih privola ovisi o stupnju rizika samih podataka. Za niskorizične podatke bit će dovoljna provjera putem e-pošte, dok za podatke visokog rizika slobodno smijete zahtijevati dodatnu potvrdu (poput slike osobnih iskaznica roditelja). Upamtite da kao voditelj obrade morate dokazati da ste u razumnoj mjeru pokušali provjeriti valjanost privole.
Privola nije potrebna ako se djeca javljaju izravno servisima i institucijama ako se radi o uslugama koje se nude izravno djeci (Plavi telefon i sl.)
Postojeće privole
Privole koje se smatraju valjanima u trenutnom zakonodavnom okruženju (Direktiva 95/46/EC) ne moraju se nužno automatski osvježavati. Ipak, malo je vjerojatno da su takve privole dobivene u skladu sa strožim uvjetima iz GDPR-a. Na voditeljima obrade je da preispitaju svoju trenutnu praksu kako bi odredili zadovoljavaju li trenutne procedure strože uvjete iz GDPR-a.
Ako niste u mogućnosti dokazati da ste privolu dobili, ona se smatra nevažećom. Uvijek morate imati dokaze, a ako nemate, preporučujemo da ih probate osvježiti ponovnom komunikacijom s tim osobama.
U većini će se slučajeva ispostaviti da privola nije dobivena sukladno novim propisima. Ono što možete napraviti jest da razmotrite možete li temeljiti svoju obradu na nekoj drugoj zakonskoj osnovi. To je jedina situacija u kojoj je moguće promijeniti zakonsku osnovu za obradu, ali radi se o jednokratnoj iznimci kako bi se omogućila što lakša prilagodba s GDPR-om.
Zaključak
Savjeti Radne skupine za zaštitu podataka iz čl. 29 ne razlikuju se pretjerano od očekivanog. Što se ovog polja zakona tiče, sve je jasno: Privola bez iznimke mora biti izričita i informirana. Voditelji obrade moraju imati dokaze da su privolu dobili na zakonit način, a ispitanicima se mora pružiti obavijest o njihovom pravu na povlačenje privole. Smjernice su zaista razumljive (i razumne) te ne odskaču od naše prve interpretacije zahtjeva propisanih u samom tekstu GDPR-a.
