Voditelji obrade moraju se osloniti na „pravnu osnovu” za zakonitu obradu osobnih podataka. Ključno je utvrditi odgovarajuću pravnu osnovu jer može imati posebne zahtjeve (npr. privola mora biti slobodna, specifična, informirana i nedvosmislena) i imati posljedice na prava pojedinaca (npr. pravo na prenosivost primjenjuje se samo ako je pravna osnova pristanak ili ugovor).
Na ovoj stranici naći ćete više informacija o različitim pravnim osnovama u skladu s Općom uredbom o zaštiti podataka. Saznajte više o pravima koja se primjenjuju po pravnoj osnovi.
Koje su moguće pravne osnove Opće uredbe o zaštiti podataka?
Voditelji obrade mogu obrađivati osobne podatke samo u jednoj od sljedećih okolnosti:
- uz privolu dotičnih osoba;
- ako postoji ugovorna obveza (ugovor između vaše organizacije i pojedinca);
- ispunjavanje pravne obveze na temelju zakonodavstva EU-a ili nacionalnog zakonodavstva;
- ako je obrada nužna za izvršavanje zadaće od javnog interesa u skladu sa zakonodavstvom EU-a ili nacionalnim zakonodavstvom;
- zaštititi vitalne interese pojedinca;
- za legitimne interese vaše organizacije (osim ako ih nadjačavaju interesi ili temeljna prava pojedinaca).
Osim toga, Općom uredbom o zaštiti podataka utvrđuju se dodatni uvjeti za obradu osjetljivih podataka.
Privola
Vaša organizacija može se odlučiti osloniti na privolu za obradu osobnih podataka.
Ako voditelj obrade podataka koristi privolu kao pravnu osnovu za obradu osobnih podataka, mora osigurati da je ta privola dobrovoljno dana, informirana, specifična i nedvosmislena. To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; i moraju biti u mogućnosti slobodno povući svoj pristanak (bez ikakvih negativnih posljedica) ako se kasnije predomisle.
Ako organizacija mora obrađivati podatke i ne može zaista omogućiti pojedincima da povuku svoju privolu, to je pokazatelj da privola nije odgovarajuća pravna osnova za obradu i da je potrebno procijeniti može li se primijeniti druga pravna osnova.
Uvjeti za pristanak
Besplatno
Privola se daje dobrovoljno kada pojedinci mogu odbiti i povući svoj pristanak bez rizika od vanjskog pritiska ili negativnih posljedica. Pojedinci također moraju imati pravo povući svoj pristanak u bilo kojem trenutku; taj proces mora biti jednostavan za pojedince (jednostavno kao što je to bio za pružanje). Povlačenje privole ne smije utjecati na obradu osobnih podataka pojedinca koja je izvršena prije tog povlačenja, dok je privola još uvijek bila valjana.
Na primjer, zaposlenici u načelu neće moći slobodno dati pristanak na obradu koju provodi njihov poslodavac jer zaposlenici mogu osjećati da ne mogu odbiti zahtjev svojeg poslodavca.
Specifična
Da bi privola bila valjana, ona također mora biti specifična za svrhu obrade. Taj je uvjet usko povezan s uvjetom informiranog pristanka: pojedinci moraju biti obaviješteni o posebnim svrhama na jednostavnom i lako razumljivom jeziku kako bi imali jasnu predodžbu u koju se svrhe njihovi podaci obrađuju. To također znači da bi, ako se promijene svrhe postupka obrade ili ako se dodaju dodatni postupci obrade, od pojedinaca trebalo ponovno zatražiti njihovu privolu. Isto tako, ako postupak obrade ima višestruke svrhe, za svaku od njih trebalo bi dati privolu.
Na primjer, usluga streaminga prikuplja osobne podatke svojih klijenata kako bi im ponudila prilagođene prijedloge za gledanje. Nakon nekog vremena, streaming usluga odlučuje podijeliti osobne podatke svojih klijenata s trećim stranama kako bi oni mogli slati ciljano oglašavanje klijentima na temelju njihovih navika gledanja. Budući da je to nova svrha, usluga streaminga morat će zatražiti priivolu svojeg klijenta.
Informirani
Pri traženju privole od pojedinca vaša organizacija mora osigurati da se taj zahtjev priopći pojedincu u razumljivom i lako dostupnom obliku, koristeći se jasnim i jednostavnim jezikom. Trebalo bi pružiti informacije o svrsi, identitetu voditelja obrade, kategorijama podataka, primateljima i pravu na povlačenje privole.
Nedvosmislen
Da bi privola bila nedvosmislena, trebala bi postojati jasna potvrdna radnja (bez unaprijed označenih polja i izrađena odvojeno od primjenjivih općih uvjeta).
Preporučuje se osvježavanje suglasnosti u odgovarajućim vremenskim razmacima. Osim toga, morate moći dokazati da je pojedinac čiji se podaci obrađuju dao svoju suglasnost, na primjer pisanom ili potpisanom izjavom ili namjernom radnjom kao što je označavanje polja.
Uvjeti koji se primjenjuju na privolu djece
Kao voditelj obrade podataka trebali biste poduzeti razumne napore kako biste provjerili dob pojedinca.
Smatra se da djeca starija od 16 godina mogu dati svoj pristanak.
Za djecu mlađu od 16 godina vaša organizacija mora zatražiti pristanak zakonskog skrbnika ili roditelja tog djeteta. U tom biste slučaju morali poduzeti razumne napore kako biste provjerili ima li osoba koja pristaje u ime djeteta roditeljsku odgovornost. Međutim, napominjemo da Opća uredba o zaštiti podataka državama članicama EU-a daje mogućnost da nacionalnim pravom odrede dob za pristanak između 13 i 16 godina kada se usluge pružaju putem interneta. Stoga se savjetuje da provjerite svoje nacionalne odredbe o tom pitanju.
Kada djeca mogu dati privolu, jezik koji se upotrebljava za priopćavanje informacija koje se odnose na uslugu trebalo bi prilagoditi njihovoj dobi.
Izvršenje ugovora
Obrada osobnih podataka pojedinca za izvršenje ugovora valjana je pravna osnova, na primjer, u sljedećim slučajevima:
- Vaša organizacija mora obraditi osobne podatke pojedinca kako bi pružila uslugu.
- Potencijalni klijent ili kupac zatražio je od vas da nešto učinite prije sklapanja ugovora s vašom organizacijom, na primjer, možda želite primiti ponudu za usluge koje pružate, za koje možda trebate obraditi neke od njihovih osobnih podataka.
Obrada mora biti nužna za izvršenje ugovora. U praksi to znači da vaša organizacija ne može nastaviti s izvršenjem ugovora ili usluge bez predmetnih osobnih podataka. Preporučuje se da vaša organizacija dokumentira razloge zbog kojih je obrada podataka pojedinca nužna za izvršenje ugovora.
Osim toga, trebali biste pokušati prikupiti najmanju količinu osobnih podataka potrebnih za izvršenje ugovorne usluge ili poduzimanje relevantnih predugovornih koraka. Konkretno, ne možete koristiti ugovor za umjetno proširenje kategorija osobnih podataka ili vrsta postupaka obrade. Umjesto toga, trebali biste osigurati istinsko međusobno razumijevanje ugovorne svrhe na temelju očekivanja prosječnog pojedinca pri sklapanju ugovora.
Ta se pravna osnova može primjenjivati i na određene radnje povezane s ugovornim jamstvom i na određene radnje koje se mogu razumno predvidjeti i potrebne u okviru uobičajenog ugovornog odnosa, kao što je slanje službenih podsjetnika na nepodmirena plaćanja ili ispravljanje pogrešaka ili kašnjenja u izvršenju ugovora.
Međutim, ova se pravna osnova ne primjenjuje ako želite obrađivati osobne podatke pojedinca u marketinške svrhe, sprječavanje prijevara, ciljano oglašavanje ili bilo koju drugu svrhu povezanu s poslovnim modelom vaše organizacije. U takvim slučajevima mogu biti dostupne i druge pravne osnove, kao što su privola ili legitimni interes, pod uvjetom da su ispunjeni relevantni kriteriji.
Zakonodavstvima se također može propisati obrada osobnih podataka, čak i nakon raskida ugovora (na primjer, vođenje evidencije u računovodstvene svrhe).
Naravno, ugovor mora biti valjan i prema mjerodavnom pravu.
U praksi
- Vi ste tvrtka koja prodaje odjeću, kako na internetu tako i u trgovini, možda ćete morati obraditi neke od osobnih podataka vaših klijenata, kao što su podaci o kreditnoj kartici, kako biste mogli obraditi kupnje vaših kupaca.. U tom slučaju obrada osobnih podataka kupaca može biti nužna za izvršenje ugovora.
- Tvrtka se bavi uslugama osiguranja doma. Potencijalni kupac zatražio je ponudu za osiguranje kuće.U ovom slučaju, neki od njegovih osobnih podataka mogu biti potrebni kako biste ga informirali o pružili točnoj cijeni za osiguranje njegove kuće.
- Vaša tvrtka prodaje knjige, koje su neki od vaših kupaca kupili. Kada su ti kupci kupili ove knjige, možda ste prikupili neke od njihovih osobnih podataka, što je bilo potrebno za obradu transakcije. Sada želite obraditi osobne podatke tih kupaca, uključujući podatke o njihovim prethodnim kupnjama, kako biste preporučili druge knjige koje bi im se mogle svidjeti. Ne možete se osloniti na obradu osobnih podataka za izvršenje ugovora kao pravnu osnovu jer obrada podataka klijenata u svrhu oglašavanja drugih knjiga nije potrebna za izvršenje ugovora.
Stoga će vaša tvrtka morati zatražiti pristanak kupaca kako bi im mogla oglašavati druge knjige ili se, ovisno o okolnostima, može osloniti na svoj legitimni interes.
Poštovanje pravne obveze voditelja obrade
Općom uredbom o zaštiti podataka predviđena je druga pravna osnova, a to su: to je nužno radi poštovanja pravne obveze kojoj podliježe voditelj obrade podataka.
Na tu se pravnu osnovu može osloniti ako se postupak obrade organizaciji nameće zakonodavstvom EU-a ili nacionalnim zakonodavstvom. Konkretnije, moraju biti ispunjena četiri uvjeta:
- pravna obveza mora biti definirana pravom EU-a ili nacionalnim pravom kojem podliježe voditelj obrade;
- tim se pravnim odredbama mora utvrditi jasna i konkretna obveza obrade tih osobnih podataka;
- te odredbe moraju barem definirati svrhu obrade;
- tu bi obvezu trebalo nametnuti voditelju obrade, a ne ispitanicima.
Ako ti uvjeti nisu ispunjeni, postupak obrade ne može se temeljiti na pravnoj obvezi i mora se tražiti druga pravna osnova.
GDPR predviđa mnogo različitih okolnosti u kojima su voditelji obrade zakonski obvezni obrađivati osobne podatke svojih klijenata ili klijenata. Na primjer, poslodavci obično trebaju obrađivati osobne podatke svojih zaposlenika u svrhu socijalne sigurnosti ili poduzeće često mora obrađivati osobne podatke svojih klijenata u porezne svrhe.
Pročitaj više
Vitalni interesi pojedinca
Na obradu podataka radi zaštite vitalnih interesa pojedinca može se osloniti samo u rijetkim i posebnim slučajevima. To može biti slučaj, na primjer, ako trebate obrađivati osobne podatke kako biste zaštitili nečiji život. Međutim, na temelju Opće uredbe o zaštiti podataka ta je pravna osnova vrlo ograničenog opsega i na nju se može osloniti samo u hitnim slučajevima.
U praksi
Vaša organizacija nudi rafting izlete. Tijekom jednog od putovanja koje ste organizirali, jedan od sudionika je teško ozlijeđen. Kao rezultat toga, sudionik je u nesvijesti i mora dobiti hitnu medicinsku skrb u bolnici. Kao organizacija možda ćete trebati priopćiti (= obraditi) osobne podatke tog pojedinca bolnici koja ga treba liječiti kako bi se spasio život te osobe. U tom kontekstu, možda ćete biti u mogućnosti obraditi podatke o tom pojedincu kako biste zaštitili njegov vitalni interes.
Javni interes
U nekim posebnim slučajevima vaša organizacija može obrađivati osobne podatke pojedinaca za zadaću koja se obavlja u javnom interesu. U tom slučaju obrada mora biti utemeljena na pravu EU-a ili nacionalnom pravu. Njegova svrha mora biti utvrđena u toj pravnoj osnovi ili nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti dodijeljene voditelju obrade podataka. Stoga ta pravna osnova može biti relevantna posebno za postupke obrade koje provode tijela javne vlasti u svrhu obavljanja svojih zadaća.
U praksi
Vaša organizacija je zdravstvena ustanovakoja uključuje stomatologa i liječnika opće prakse. Možda ćete morati obraditi osobne podatke stomatologa i liječnika opće prakse kako biste osigurali da njihove kvalifikacije, moralno i etičko ponašanje zadovoljavaju standarde utvrđene u zemlji u kojoj se nalazi vaša zdravstvena ustanova.
Legitimni interes
Vaša organizacija može obrađivati podatke pojedinaca u pitanjima od legitimnih interesa, pod uvjetom da ti interesi (komercijalni, zaštita vaše imovine itd.) ne stvaraju neravnotežu na štetu prava i interesa pojedinaca.
Iako su Općom uredbom o zaštiti podataka i relevantnom sudskom praksom Suda Europske unije navedeni primjeri legitimnih interesa, ne postoji iscrpan popis.
Međutim, morate osigurati da se tim interesom poštuje određeni broj zahtjeva:
- mora biti zakonita, jasna, stvarna i prisutna;
- obrada mora biti nužna za ostvarivanje tog interesa;
- legitimni interes mora uzeti u obzir prava pojedinca na zaštitu podataka, koja se ne mogu poništiti. U kontekstu tog zahtjeva voditelj obrade mora odvagnuti svoj legitimni interes i interese ili temeljna prava i slobode pojedinaca te također razmotriti što mogu razumno očekivati. To odvagivanje mora se provesti s obzirom na konkretne uvjete u kojima se te operacije obavljaju.
U praksi
Vodite tvrtku za obnovu. Jedan od vaših kupaca osporava kvalitetu obnove kuhinjei odbija platiti račun u cijelosti. Kao prvi korak, podatke o klijentu prenosite svom odvjetniku kako biste s klijentom pregovarali o nagodbi. Budući da kupac još uvijek odbija platiti, angažirate agenciju za naplatu potraživanja. Osobne podatke potrebne za postupak prenosite samo agenciji za naplatu potraživanja, a agencija provodi samo ograničene provjere kako bi potvrdila podatke za kontakt klijenta i pokrenula sudski postupak.
Iako prvi korak i dalje može biti obuhvaćen obradom potrebnom za izvršenje ugovora, daljnje poduzete mjere, kao što je angažiranje agencije za naplatu potraživanja, mogle bi se smatrati u okviru legitimnog interesa voditelja obrade. Budući da radnje koje poduzima agencija nisu previše nametljive i da je učinak na klijenta ograničen, legitimni interes mogao bi biti odgovarajuća pravna osnova.
Obrada osjetljivih osobnih podataka
Dodatni zahtjevi primjenjuju se ako namjeravate obrađivati podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obradu genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji fizičke osobe. Te posebne kategorije podataka obično se nazivaju „osjetljivi podaci”.
Obrada osjetljivih podataka općenito je zabranjena, osim u sljedećim posebnim slučajevima.
- Pojedinac je dao izričitu privolu za obradu svojih osjetljivih podataka.
- Obrada osjetljivih podataka nužna je kako bi voditelj obrade podataka ispunio svoje obveze, posebno u kontekstu zapošljavanja, socijalne sigurnosti i socijalne zaštite. Na primjer, voditelj obrade podataka možda će morati obraditi osjetljive podatke osobe kako bi mogao utvrditi ima li pravo na određene naknade socijalne sigurnosti ili stipendije za zapošljavanje.
- Obrada osjetljivih podataka nužna je kako bi se zaštitili vitalni interesi osobe ako pojedinac fizički ili pravno nije u mogućnosti dati privolu. Na primjer, ako je pojedinac ostao bez svijesti kao posljedica nesreće i zahtijeva hitnu medicinsku skrb, njegove posebne kategorije osobnih podataka možda će biti potrebno obraditi kako bi se pružila odgovarajuća medicinska skrb.
- Obrada osjetljivih podataka provodi se u kontekstu legitimnih aktivnosti zaklade, udruge ili druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem i samo za obradu osobnih podataka njihovih članova, bivših članova ili osoba koje su s njima u redovitom kontaktu.
- Osjetljive podatke očito su objavili pojedinci.
- Obrada osjetljivih podataka nužna je u kontekstu sudskih postupaka.
- Obrada osjetljivih podataka nužna je za pitanja od znatnog javnog interesa.
- Obrada osjetljivih podataka nužna je u kontekstu preventivne medicine ili medicine rada. Na primjer, procjena osjetljivih podataka pojedinca, kao što su zdravstveni podaci, može biti potrebna kako bi se utvrdila njihova radna sposobnost zaposlenika.
- Obrada osjetljivih podataka nužna je za pitanja javnog zdravlja na temelju prava EU-a ili nacionalnog prava. Na primjer, obrada osjetljivih podataka pojedinaca može biti potrebna kako bi se osigurala visoka kvaliteta zdravstvene skrbi i visoka kvaliteta medicinskih proizvoda ili kako bi se suzbile ozbiljne prijetnje zdravlju, kao što su virusi.
- Obrada osjetljivih podataka nužna je u svrhe arhiviranja u javnom interesu ili u znanstvene, statističke, povijesne ili istraživačke svrhe. Na primjer, obrada osjetljivih podataka može biti potrebna za pružanje točnih statističkih podataka o stanju zemlje u određenom području.
Kontrolni popis za obradu osjetljivih osobnih podataka
- Zapitajte se trebate li obraditi posebne kategorije osobnih podataka pojedinca za predviđenu obradu.
- Utvrditi pravnu osnovu (= pravno opravdanje) za obradu osobnih podataka pojedinca. Treba se osvrnuti na članak 6. Opće uredbe o zaštiti podataka.
- Utvrditi poštuju li se dodatni uvjeti za obradu osjetljivih podataka. Trebali biste se osvrnuti na članak 9. Opće uredbe o zaštiti podataka.
- Utvrdite rizike i zaštitne mjere za zaštitu podataka, kao što su tehničke i organizacijske mjere, koje će vaša organizacija možda trebati uspostaviti pri obradi posebnih kategorija osobnih podataka pojedinaca.
- Ne zaboravite voditi evidenciju o svojim razlozima za obradu posebnih kategorija osobnih podataka pojedinca, o rizicima koje to može podrazumijevati i o mjerama koje ste poduzeli kako biste ublažili te rizike.