Naravno da ne smije bez pristanka samog korisnika, sasvim logično.
No tu logiku i GDPR obvezu nije razumjela tvrtka iz Belgije, koja je ušla u konflikt sa svojim korisnikom nakon što se isti požalio na primljeni račun.
Tvrtka je neoprezno odlučila javno objaviti konkretan račun izdan njenom korisniku s osobnim podacima, konkretno imenom i prezimenom i adresom s namjerom pojašnjenja svojim korisnicima o detaljima računa i principima obračuna svojih usluga.
Da bude stvar gora, nakon zahtjeva korisnika da tvrtka izbriše njegov javno objavljeni račun, ista je izbrisala samo njegovu adresu i blokirala tog korisnika na svojoj Facebook stranici.
Jao jao.
Gdje je tu pogreška te tvrtke?
Prvo je morala pronaći valjani pravni temelj za takvu obradu osobnih podataka korisnika, odnosno, javnu objavu na Facebook stranicama.
S obzirom da nije tražila korisnika za pristanak za takvu objavu, što on nikad ne bi ni pristao, mogla se eventualno uz određene uvjete pozvati na legitimni interes kao jedan od 6 valjanih pravnih temelja iz članka 6. GDPR-a.
No, kako kaže belgijsko nadzorno tijelo, da bi legitimni interes bio valjan moraju kumulativno biti ispunjena tri preduvjeta:
1. Postojanje stvarnog legitimnog interesa tvrtke kao voditelja obrade, npr. pojašnjenje obračuna svojim korisnicima radi podizanja transparentnosti i otvorenosti svojim korisnicima
2. Postojanje nužnosti takve obrade osobnih podataka za ispunjenje legitimnog interesa, gdje je jasno da nema "š" od šanse da je ovdje postojala nužnost objave ičijih osobnih podataka s računa korisnika. Ista svrha se mogla ispuniti bez objave ičijih osobnih podataka, štoviše, pojašnjenja obračuna se mogu poslati svim korisnicima uz njihove račune umjesto objave na Facebooku, ako već tvrtka želi dobro svojim korisnicima i dati im informacije. Nisu svi na Facebooku, niti je nužno da prate stranice tvrtke na toj društvenoj mreži. Ali primaju račune i pregledavaju sadržaj primljene kuverte.
3. Ispunjenje uvjeta da iznad interesa tvrtke temeljna prava i slobode predmet podataka nemaju prevagu (test ravnoteže), što je ovdje definitivno slučaj s obzirom da korisnik nije i ne može razumno očekivati ovakvu javnu objavu njegovih osobnih podataka.
Više o slučaju:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_158/2022&mtc=today
Image by wayhomestudio</a> on Freepik
#gdprcroatia