Prečesto se susrećemo s izjavama pojedinaca koji smatraju da slobodno skidaju osobne podatke s web i javnih registara i objavljuju ih na svojim web stranicama ili ih koriste za izravni marketing i prodaju, samo zato jer smatraju da su to tzv. "javni podaci".
GDPR-a nigdje, baš nigdje ne spominje termin "javni podaci", već utvrđuje pravila postupanja s osobnim podacima ma gdje oni bili i kako se objavljivali.
U slučaju iz Belgije, pružatelj internetske platforme (voditelj obrade) je bez pristanka masovno prikupljao javno dostupne kontaktne podatke više desetaka tisuća liječnika. Ti su podaci zatim objavljeni na internetskoj platformi voditelja obrade.
Platforma je razlikovala „slobodne profile” od „platnih profila” liječnika. Što se tiče platnih profila, liječnici i nadzornik imali su sklopljen ugovor, što nije slučaj sa slobodnim profilima.
Skupina liječnika, koja nije imala ugovor s online platformom, podnijela je platformi zahtjeve za brisanje na temelju članka 17. stavka 1. GDPR-a.
Nakon toga su podnositelji pritužbe podnijeli žalbu belgijskom nadzornom tijelu za zaštitu podataka.
Online platforma, kao voditelj obrade tvrdio je da u pogledu „slobodnih profila” ima pravnu osnovu na temelju članka 6. stavka 1. točke (f) GDPR-a jer ima legitimne interese za obradu podataka, pozivajući se na slobodu izražavanja i informiranja i na ekonomski interes koji se temelji na slobodi poduzetništva.
Nadzorno tijelo je utvrdilo da, kada je riječ o procjeni ravnoteže interesa, u skladu sa sudskom praksom EUCJ (slučaj C-708/18, ECLI:EU:C:2019:1064, t. 56.) voditelj obrade mora uzeti u obzir razumna očekivanja ispitanika da se njihovi osobni podaci neće obrađivati ako ne mogu razumno očekivati daljnju obradu.
U ovom slučaju je nadzorno tijelo zaključilo da podnositelji pritužbe, odnosno liječnici sa "slobodnih profila" koji nisu imali ugovorni odnos sa platformom, nisu mogli razumno očekivati da će se njihovi podaci dalje obrađivati u druge svrhe, s obzirom na to da su njihovi kontaktni podaci bili objavljeni, uz njihov pristanak, na internetskoj stranici njihove ordinacije ili bolničke internetske stranice.
Nadalje, tijelo za zaštitu osobnih podataka naglasilo je da sloboda poduzetništva nije neograničena i prestaje kada započnu druga temeljna prava, kao što je pravo na zaštitu osobnih podataka. Nakon toga je utvrđeno da interesi koje je istaknuo nadzornik nisu nadjačali interese podnositelja pritužbe. Stoga se voditelj obrade nije mogao pozvati na legitimni interes jer interesi podnositelja pritužbe nadilaze interese voditelja obrade ili treće strane.
Na kraju je online platformi kao voditelju obrade izrečena novčana kazna u iznosu od 10.000 EUR.
Slučaj iz Belgije:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_DOS-2021-07350&mtc=today
Image from FreePik
#gdprcroatia