Kada vam je doista potrebna privola?

Jedna od najčešćih zabluda vezanih uz GDPR (Opću uredbu o zaštiti podataka) je ideja da je potrebno dobiti privolu ispitanika kada god obrađujemo osobne podatke.

Privolu i njene specifičnosti se toliko često spominjalo po medijima u istom kontekstu s Općom uredbom da velikom broju građana koji nisu imali priliku detaljnije pročitati zakonski tekst, nije jasno da je riječ o samo jednoj od 6 mogućih pravnih osnova obrade podataka.

U praksi to dovodi do niza bizarnih situacija u kojima poslovni subjekti krše GDPR, uništavaju vlastiti poslovni ugled te se izlažu kaznama od strane nadzornog tijela jer koriste potpuno krivu pravnu osnovu za obradu određene vrste osobnih podataka – čime ispitanicima daju lažni osjećaj izbora i kontrole, koji bi privola trebala podrazumijevati.

U ovom članku ćemo zato navesti sve pravne osnove za obradu podataka, primjere konkretnih svrha za koje vam je privola doista potrebna, kao i one za koje pravnu osnovu obrade treba potražiti drugdje.

Pravne osnove obrade podataka

Uredba u članku 6. navodi sljedeće pravne osnove:

1. Privola
2. Izvršavanje ugovornih obveza ili radnji prije sklapanja ugovora
3. Pravna obveza
4. Zaštita životno važnih interesa
5. Izvršavanje zadaće od javnog interesa
6. Legitimni interes

Kao što vidimo, privola je tek jedna od šest mogućih pravnih osnova, a niti jedna od njih nije važnija od drugih – ovisno o konkretnoj situaciji trebate shvatiti koja je pravna osnova najprigodnija za vašu svrhu obrade, ako ona uopće postoji. Pravna osnova mora odgovarati vašem odnosu s pojedincem čije podatke obrađujete te konkretnoj svrsi obrade.

Privola ima toliko specifičnosti da se u praksi uglavnom koristi tek ako ne postoji niti jedna druga pravna osnova.

Kakva privola treba biti – prema GDPR-u

Članak 4. stavak 11. Uredbe daje nam definiciju: privola ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Uredba izričito zahtjeva da privola bude: tražena odvojeno od drugih pitanja, dana dobrovoljno i jasnom potvrdnom radnjom, nedvosmislena, tražena na transparentan način, dokumentirana, jednostavna za povući te bez disbalansa u odnosu ispitanika i voditelja obrade. Dokazivanje da je ispitanik dao privolu je uvijek na voditelju obrade, što znači da morate voditi i evidenciju privola.

Davanje valjane privole nije isto što i davanje mogućnosti ispitaniku da naknadno bude isključen iz obrade podataka (tzv. opt out sistem). Također, tišina ili unaprijed označene kućice s privolom ne čine valjanu privolu.

Privola je primjerena pravna osnova kada korisnicima možete ponuditi pravi izbor i kontrolu nad korištenjem njihovih osobnih podataka te pritom želite povećati njihovo povjerenje i eprinterakciju. Ako prilikom neke obrade ne možete ponuditi pravu mogućnost izbora, privola nije primjerena osnova.

Situacije kada doista trebate privolu

E-mail marketing

Poslovni subjekti koji ne prikupljaju valjane privole za marketing mogu se dovesti u situaciju da uporno šalju marketinšku komunikaciju pojedincima koji ne žele primati takav sadržaj – što može rezultirati pravnim posljedicama, kao i štetom za poslovni ugled.

Direktiva o privatnosti i elektroničkim komunikacijama (ePrivacy direktiva) detaljnije regulira područje zaštite osobnih podataka prilikom elektroničke komunikacije, a Republika Hrvatska je u nacionalno zakonodavstvo implementirala donošenjem Zakona o elektroničkim komunikacijama. Zakon u dijelu koji se tiče neželjenih elektroničkih komunikacija naglašava da u ovoj situaciji postoji izuzetak kada ne trebate unaprijed tražiti privolu – samo ako su ispunjeni sljedeći uvjeti:

• Mail adresu ispitanika ste dobili u svrhu prodaje proizvoda ili usluga
• Direktni marketing šaljete isključivo za izravnu promidžbu i prodaju sličnih vlastitih proizvoda ili usluga
• Pojedinci imaju jasnu i jednostavnu mogućnost isključivanja s mailing liste, odnosno odbijanja primanja mailova u budućnosti

Važno je uzeti u obzir i činjenicu da čak i kada imate valjanu privolu za e-mail marketing, pojedincima je treba biti jednostavno povući u bilo kojem trenutku.

Cookieji (Kolačići) na web stranicama

Strašno velik broj poslovnih subjekata još uvijek krši Opću uredbu o zaštiti podataka, ali i ePrivacy direktivu, načinom na koji traže privolu za kolačiće na svojim web stranicama.

Određeno vrijeme mnoge su velike kompanije tvrdile da se taj dio smatra „sivom“, nedovoljno jasno definiranom zonom – no presuda Suda Europske Unije br. C-673/17 od 1. listopada 2019. otklonila je sve eventualne dvojbe.

Ovo su najvažniji dijelovi presude:

• Bilo kakva presumpcija privole korisnika koja nije izričita, nedvosmislena, aktivna i zasebna, nije valjana – privola se ne može smatrati valjanom ako se radi o unaprijed danoj kvačici koju korisnik mora ukloniti kako bi odbio pristanak na pohranu podataka. Aktivna privola treba biti dana jasnom potvrdnom radnjom.
• Druge aktivnosti na internetu, poput čitanja stranice ili gledanja videa, ne mogu biti dio radnje davanja privole.
• Privola mora biti posebna, odvojena za svaku pojedinu svrhu obrade.
• Informacije o prikupljanju i pohrani kolačića moraju biti razumljive prosječnom potrošaču te se moraju odnositi i na trajanje kolačića, kao i na pitanje imaju li treće strane pristup kolačićima.

Na navedenu presudu se pozvao i hrvatski HAKOM u svom rješenju iz studenog 2019. koju je donio nakon provedenog postupka inspekcijskog nadzora nad web stranicama neimenovanog hrvatskog trgovačkog društva. Rješenjem je ustvrdio da tvrtka krši Zakon o elektroničkim komunikacijama i Opću uredbu o zaštiti podataka – postavljanjem cookieja na uređaje posjetitelja bez njihove privole, a prekršitelju je zaprijetio novčanom kaznom u iznosu od 50.000 kuna ako nastavi s neispunjavanjem zakonskih obveza.

Naglasili bismo kako posjetitelj web stranice (ispitanik u smislu obrade podataka) mora imati dostupnu informaciju o korištenju cookieja te nakon što je dobio tu informaciju pristati na njihovo pokretanje – prije nego što su pokrenuti i postavljeni na uređaj posjetitelja.

Obrada podataka za nove svrhe

Ako ste osobne podatke prikupili za određenu svrhu, za koju ste imali valjanu pravnu osnovu obrade, te iste podatke odlučite naknadno obrađivati za neku drugu svrhu koja nije u skladu s onom prvobitnom – za tu novu svrhu obrade morate dobiti privolu ispitanika.

Kao učestali primjer iz prakse možemo navesti nagradne igre: tvrtka objavi da za sudjelovanje u nagradnoj igri koju organiziraju, pojedinci trebaju dati svoje ime te mail adresu za kontakt u slučaju da nešto osvoje. Za takvu obradu tvrtka ima jasnu svrhu te valjanu pravnu osnovu. No, kad bi na mail adrese svih osoba koje su se prijavile za nagradnu igru odlučili slati promotivne ponude u obliku newslettera, za tu svrhu trebali bi dobiti valjanu privolu pojedinca.

Posebna kategorija podataka (rasni, politički, vjerski, zdravstveni…)

Prema Uredbi, posebne kategorije podataka su: podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

Treba razumjeti da Uredba načelno zabranjuje obradu ovih kategorija podataka, osim ako ne ispunjavate neki od uvjeta iz članka 9. stavka 2.: jedan od tih uvjeta je upravo i izričita privola ispitanika za jednu ili više određenih svrha.

Automatizirano donošenje odluka i profiliranje

Članak 22. Uredbe nam kaže kako ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.

Da bude jasnije o čemu se radi, primjer automatiziranog donošenja odluke je kada tvrtka koristi softver koji obrađuje prikupljene podatke o produktivnosti radnika, kako bi prema njima automatski odredio plaću radnika. Drugi primjer može biti online servis za posudbu novca koji koristi različite algoritme kojima obrađuje dostupne podatke, kako bi automatski odlučio hoće li korisniku odobriti tu posudbu ili ne.

Kao što možemo primijetiti u spomenutom članku, takvo donošenje odluka načelno je zabranjeno, no postoje izuzeci – jedan od njih upravo je izričita privola ispitanika.

Čak i kada postoji izričita privola, ispitaniku je u ovoj situaciji potrebno omogućiti osnovne mjere zaštite prava i sloboda: pravo na ljudsku intervenciju voditelja obrade, pravo izražavanja vlastitog stajališta te pravo na osporavanje donesene odluke.

Situacije kada je privola pogrešna pravna osnova

Ako biste svejedno obrađivali osobne podatke kada ne biste dobili privolu

Ovdje je riječ o „iluziji slobode“ – pojedincu se daje izbor kojeg zapravo nema.

Primjer: Kupac na vašem web-shopu želi da mu se proizvod dostavi na kućnu adresu. Da biste pružili tu uslugu, morate prikupiti njegove osobne podatke potrebne za dostavu – riječ je o izvršavanju ugovorne obveze kao pravnoj osnovi i traženje privole u toj situaciji bi bilo potpuno nepotrebno, pa i pogrešno.

Tražite privolu kao preduvjet pristupa servisu

Ako tražite privolu za obradu osobnih podataka kako biste dozvolili korisniku da uopće koristi vaš servis, a podaci nisu neophodni za korištenje servisa. Primjerice, za korištenje određene mobilne aplikacije tražite privolu za lokacijske podatke – koji uopće nisu potrebni za rad aplikacije – te pritom ne dopuštate korištenje aplikacije bez dane privole. Ako su određeni podaci neophodni za korištenje, privola tada sigurno neće biti pravna osnova koja vam je potrebna.

U poziciji ste moći u odnosu na pojedinca

Kada je voditelj obrade tijelo javne vlasti ili poslodavac koji obrađuje podatke zaposlenika – ispitanici u navedenim slučajevima na određen način ovise o uslugama koje pojedino tijelo nudi ili se boje mogućih posljedica, zbog čega imaju osjećaj da nemaju izbora nego dati svoju privolu. Treba razumjeti da ovo ne znači da tijelo javne vlasti ili poslodavac apsolutno nikada nisu u mogućnosti tražiti privolu – važno je samo da to bude u situaciji gdje ispitanik zaista ima realnu mogućnost izbora.

Obrada podataka zaposlenika

Upravo zato, kod poslodavaca će privola biti iznimno rijetko korištena pravna osnova za obradu podataka zaposlenika. Citiramo mišljenje AZOP-a: „…s obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik, nije vjerojatno da ispitanik može uskratiti svojem poslodavcu privolu za obradu podataka bez straha ili stvarnog rizika od štetnih učinaka zbog odbijanja. Nije vjerojatno da bi zaposlenik mogao slobodno odgovoriti na zahtjev svojeg poslodavca za privolu te je malo vjerojatno da će privola biti dobrovoljna.”

Osim u iznimnim situacijama, poslodavci će trebati računati na drugu pravnu osnovu.

Važno je znati da za sve obrade podataka zaposlenika koje su doista nužne, ionako postoje druge pravne osnove. Recimo, svaki poslodavac dužan je razmjenjivati osobne podatke svojih zaposlenika s nadležnim tijelima Republike Hrvatske (različitim inspektoratima, Hrvatskim zavodom za zapošljavanje, Poreznom upravom, Hrvatskim zavodom za mirovinsko osiguranje i dr.) u svrhu evidencije statusa zaposlenja radnika. Bila bi pogreška tražiti privolu od zaposlenika za takvu vrstu obrade, jer za nju postoji zakonska obveza te bi takav podatak morao biti obrađen čak i u slučaju da ispitanik ne da privolu.

Isto tako, određeni osobni podaci zaposlenika potrebni su za isplatu njegove plaće, što je obveza poslodavca iz ugovora o radu koji ima sklopljen sa zaposlenikom. Kada zaposlenik ne bi dao privolu za obradu tih podataka ili bi je naknadno povukao, poslodavac bi svejedno bio obvezan obraditi te podatke kako bi mu isplatio plaću.

Kako smo mogli vidjeli u ranijim primjerima, ovdje je riječ o klasičnim situacijama kod kojih je traženje privole – greška koja vas može skupo koštati.

Zaključak

Prikupljanje privole sukladno zahtjevima Uredbe znači da vaši korisnici imaju mogućnost izbora te kontrole nad tim kako koristite njihove podatke, čime osiguravate transparentnost svog rada te odgovorno poslovanje. GDPR izričito i detaljno definira niz pravila vezanih uz ispravno traženje, dokumentiranje te povlačenje privole, koja morate ispoštovati ako želite poslovati na zakonit način.

Činjenica da ovaj dio odrađujete pravilno može biti i presudna za pružanje kvalitetne usluge korisnicima: pokazuje da su vam korisnici u središtu pozornosti te povećava njihovo povjerenje. Također, pomaže da se odvojite od konkurencije koja taj dio ne radi ispravno.

Ako privolu koristite na krivi način, takva vrsta nezakonitog ponašanja može uništiti povjerenje u vaše poslovanje i učiniti štetu vašoj reputaciji – korisnici neće imati razloga da ulaze u poslovni odnos s vama ako ne mogu smatrati da su njihovi podaci sigurni.

Naravno, mogli biste biti izloženi i ozbiljnim kaznama od strane nadzornog tijela (u hrvatskoj je to AZOP – Agencija za zaštitu osobnih podataka): neke od najviših do sada dodijeljenih kazni za kršenje GDPR-a kao jedan od razloga kažnjavanja imaju i neispravan način traženja privole od korisnika – ili obradu podataka bez privole u situacijama kada je ona trebala biti tražena.