Nemali broj aktivnosti obrada osobnih podataka se danas u brojnim organizacijama temelji na legitimnom interesu, kao pravnom temelju iz članka 6. stavka 1. točke f. GDPR-a.
Najčešće se taj pravni temelj koristi u slučajevima kad organizacija, odnosno, voditelj obrade, ima svoj interes prikupljati i dalje obrađivati određene kategorije osobnih podataka, ali mu nijedan važeći propis ili ugovor s pojedincima ne daju takvo pravo ili ne nameću takvu obvezu.
Da bi legitimni interes bio valjani pravni temelj za obradu osobnih podataka, moraju se ispuniti određeni preduvjeti:
- Da je obrada osobnih podataka NUŽNA za potrebe legitimnih interesa voditelja obrade ili treće strane
- Da postoje uvjerljivi legitimni razlozi za obradu osobnih podataka koji NADILAZE INTERESE, PRAVA I SLOBODE ISPITANIKA ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva, što se mora dokazati dokumentiranim i provedenim testom ravnoteže u kojem dokazuje da interes voditelja obrade prevladava u odnosu na interes odnosno prava i slobode ispitanika
- Da pojedinac čiji se osobni podaci obrađuju temeljem legitimnog interesa ima pravo podnijeti PRIGOVOR NA TAKVU OBRADU ILI TRAŽITI OGRANIČENJE takve obrade.
Odmah da otklonimo jednu čestu zabludu: ako neka organizacija ima određeni komercijalni interes obrađivati osobne podatke, to nikako ne znači da ima i valjani legitimni interes iz GDPR-a.
Također, zapamtimo da se obrada posebnih kategorija osobnih podataka (rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, genetski podaci, biometrijski podaci u svrhu jedinstvene identifikacije pojedinca, podaci koji se odnose na zdravlje, podaci o spolnom životu ili seksualnoj orijentaciji) u pravilu ne može temeljiti na legitimnom interesu.
Nezaobilazna je i odredba uvodne izjave 47. GDPR-a, koja kaže:
„Legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu. Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu osobnih podataka koju provode tijela javne vlasti, ta pravna osnova ne bi se smjela primjenjivati na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća. Obrada osobnih podataka koja je nužna u svrhe sprečavanja prijevara također predstavlja legitiman interes dotičnog voditelja obrade podataka. Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga.“
Također, kad su u pitanju korporacije i međunarodne grupacije, uvodna izjava 48. GDPR-a daje im pravo za dijeljenje osobnih podataka unutar grupacije:
„Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika.“
Legitimni je interes voditelja obrade da radi osiguranja zaštite imovine i sigurnosti ljudi često posežu za videonadzorom ili GPS nadzorom kretanja službenih vozila, kao i u sve prisutniju zaštitu sigurnosti informacijske mreže, sustava i samih informacija, kako to spominje i uvodna izjava 49. GDPR:
„Obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja sigurnosti mreže i informacija, odnosno sposobnosti mreže ili informacijskog sustava da se odupre, na danom stupnju povjerljivosti, slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka te sigurnost povezanih usluga koje nude ili koje su dostupne putem tih mreža i sustava, koju provode tijela javne vlasti, jedinice za hitne računalne intervencije (CERT-ovi), jedinice za računalne sigurnosne incidente (CSIRT-ovi), pružatelji elektroničkih komunikacijskih mreža i usluga te davatelji sigurnosnih tehnologija i usluga smatra se legitimnim interesom dotičnog voditelja obrade podataka.“
Kako to izgleda u stvarnom životu organizacija, pokazuje nam slučaj s Islanda, gdje je globalno poznata tvrtka za provođenje istraživanja javnog mnijenja (Gallup) pretraživala javno dostupne telefonske brojeve iz online baze www.ja.is i spremala ih u vlastitu bazu podataka o telefonskim brojevima kako bi mogla nazivati pojedince i pozivati ih na sudjelovanje u istraživanju javnog mnijenja.
Naravno, tu je bilo i pojedinaca koji se nisu mogli složiti s time da netko uzima njihove telefonske brojeve i koristi ih na taj način i koji su podnijeli prigovore nadzornom tijelu za zaštitu podataka tvrdeći da nikad nisu dali svoj pristanak na korištenje njihovih osobnih podataka niti da ih je Gallup obavijestio o tome.
Gallup je argumentirao svoj legitimni interes nužnošću osiguranja tražene kvalitete istraživanja javnog mnijenja i visokog odziva anketiranih u skladu s ciljevima omogućavanja svim punoljetnim građanima na jednako pravo sudjelovanja u istraživanjima na nacionalnoj razini.
Pri tom je Gallup osigurao da ne pozivaju pojedince koji su izrazili svoju želju da ne sudjeluju u istraživanjima u skladu s pravom na prigovor iz članka 21. GDPR-a te su ujedno naglasili da nisu postojale negativne posljedice prikupljanja telefonskih brojeva.
Islandsko nadzorno tijelo je odbacilo tužbe nezadovoljnih pojedinaca uz slijedeće obrazloženje:
- Kad bi tvrtka za svako pojedino istraživanje morala pretraživati telefonske brojeve u nacionalnom registru, trošilo bi se pretjerano vrijeme uz izglednu degradaciju kvalitete istraživanja
- Baza telefonskih brojeva služi i za evidentiranje pojedinaca koji su izrazili želju da ih se više ne poziva u svrhe sudjelovanja u istraživanjima
- Iz tih razloga je nadzorno tijelo utvrdilo da je stvaranje vlastite baze telefonskih brojeva nužno za ostvarenje svrhe i da je legitimni interes valjan
Više o slučaju s Islanda:
https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Iceland)_-_2021102040&mtc=today
Photo by Antoni Shkraba from Pexels
#gdprcroatia