Na najkraći mogući način reći ćemo da to nije dozvoljeno, posebice ako s njima nemamo poslovni odnos.
To je sam izvadak iz stajališta belgijskog nadzornog tijela koje je s 5.000 EUR kaznilo vlasnika web stranice koji je objavio popis odvjetnika s njihovim imenima, telefonskim brojevima i adresama, bez ikakve informacije njima i bez ikakvog pravnog temelja.
Pokušat ćemo razjasniti.
Za svako postupanje s osobnim podacima mora postojati valjani pravni temelj iz članka 6. GDPR-a.
U slučaju ovakve objave popisa na web stranicama privatne tvrtke moguća su dva pravna temelja:
1. Privola osoba čije osobne podatke objavljujemo, ili
2. Legitimni interes, koji se mora dokazati valjanim putem testa razmjernosti interesa voditelja obrade i interesa pojedinca na zaštitu njegovih prava i sloboda.
Test razmjernosti je u obliku predloška javno objavio i AZOP na svojoj stranici:
https://azop.hr/wp-content/uploads/2021/04/Test-razmjernosti.docx
Tu možemo uočiti i neka ključna pitanja, npr:
- Postoji li koristi od obrade za treću stranu?
- Postoji li šira javna korist za obradu?
- Pridržavate li se industrijskih smjernica ili kodeksa prakse?
- Postoje li drugi etički problemi s obradom?
- Možete li istu svrhu postići obradom manje podataka ili obradom podataka na drugi očitiji ili manje nametljiv način?
- Imate li postojeći odnos s pojedincem?
- Kakva je priroda veze i kako ste koristili podatke u prošlosti?
Jeste li podatke prikupljali izravno od pojedinca? Što ste im tada rekli?
- Ako ste podatke dobili od treće strane, što je rečeno pojedincima o ponovnoj upotrebi od strane trećih strana u druge svrhe?
Belgijsko nadzorno tijelo izreklo je kaznu vlasniku web stranice nakon što je utvrdilo da vlasnik web stranice nema nikakav ugovorni odnos s tim odvjetnicima niti ih je na bilo koji način kontaktirao i obavijestio o namjeri javne objave kao preduvjetom za legitimni interes s pravom na prigovor svakog od njih.
Ovakav slučaj nismo vidjeli kod nas, ali postoje slični slučajevi kad su neki web portali objavljivali popise učenika na svojim web stranicama koje su skidali sa stranica škola bez ikakvog pitanja i ovlaštenja.
S druge strane postoje npr. laboratoriji dentalne medicine koji s obzirom na ugovorni poslovni odnos s ordinacijama imaju valjani legitimni interes javnost upoznati s kojim ordinacijama rade, što je svakako u interesu svih korisnika usluga ali i ordinacija.
Više o slučaju na:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_84-2022&mtc=today
Photo by Karolina Grabowska from Pexels