Koliko puta smo vidjeli ovakve odredbe u ugovorima ili uvjetima korištenja, u kojima se uz odredbe ugovora nužne za njegovo ispunjenje nalaze i umetnute odredbe kojima jednim potpisom pojedinac, bez mogućnosti prigovora ili izbora, pristaje da se njegovi osobni podaci koriste i za svrhe koje nisu nužne za ispunjenje ugovora.

I danas vidimo uvjete korištenja nekih loyalty programa pisane na način da se ulaskom vjernog korisnika u program uzima i lokacija njegovog kretanja.

Ili ugovore o radu u kojima svojim potpisom zaposlenik pristaje da se njegove fotografije koriste za marketing i objave na društvenim mrežama.

Ili pak razne ordinacije koje prilikom prikupljanja temeljnih i obveznih zdravstvenih informacija o pacijentu unutar obrasca navode da će se fotografije pacijenta koristiti i za javne objave.

 

Naravno da se u svim tim slučajevima radi o namjeri prikupljanja osobnih podataka pojedinaca u marketinške svrhe, kakva svrha ne može biti nužnost za ispunjenje same svrhe ugovora.

 

GDPR upravo tu štiti nas pojedince.

Kako? Definicijama pravnih temelja za obrade osobnih podataka.

 

Loyalty program ili ugovor s pojedincem predstavlja ugovorni odnos i GDPR u svom članku 5. stavku 1. točki c) utvrđuje obvezu da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je NUŽNO u odnosu na svrhe u koje se obrađuju.

 

Istovremeno, članak 6. GDPR-a jasno definira razliku između ugovora s pojedincem kao pravnog temelja za obradu osobnih podataka i privole:

 

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je NUŽNA za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

 

Lako je uočiti da smo naglasili ključnu riječ „NUŽNO“ ili „NUŽNA“. Tu je ključ.

Ako je neki osobni podatak NUŽAN za izvršavanje ugovora, tada se takav osobni podatak mora obrađivati.

A za sve ostalo mora postojati mogućnost da pojedinac sam odabere želi li ili ne da se njegovi neobvezni osobni podaci prikupljaju.

 

Privola je zakonita samo:

# ako je dana slobodnom voljom,

# ako je pojedinac informiran zašto je treba dati,

# ako je za konkretnu specificiranu svrhu,

# ako je dana jasnom potvrdnom aktivnom radnjom pojedinca

 

Privola, ili kako mnogi pišu, "suglasnost", ne može i ne smije biti dio nekog ugovora na način da sklapanjem ugovora pojedinac daje svoju suglasnost ili slobodnu privolu za obradu njegovih osobnih podataka. Mora biti jasno izdvojena i uključivati jasne informacije da se radi o posebnom pristanku na obradu osobnih podataka, kao predmetom slobodne volje pojedinca.

 

Takve slučajeve odlično su prikazale Smjernice EDPB (European Data Protection Board) o privoli, donesene 04. svibnja 2020. dostupne na ovom linku:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

 

Primjenjiv slučaj dolazi nam iz Njemačke, gdje je voditelj obrade pristupanje svom loyalty programu omogućio ispunjavanjem brošure na prodajnom mjestu ili putem online obrasca, na kojima se jednim potpisom pristupalo u loyalty program (ugovorni odnos) i neizdvojenom dodatnom kućicom pristajalo na „dodatne benefite“ bez navođenja da se ovdje radi o zasebnom pristanku, kao potpuno slobodnoj volji pojedinca, da se prikupljaju i obrađuju njegovi dodatni osobni podaci koji nisu nužni za samo konzumiranje loyalty programa.

Nadzorno tijelo je izreklo kaznu od 2 milijuna EUR, a naknadno je nadležni sud jasno utvrdio:

„Voditelj obrade pribavljanjem privole uz prijavu u program vjernosti te potvrdu općih uvjeta i politike privatnosti na web stranici i fizičkom obrascu nije ispunio zahtjev da se zahtjev za privolu jasno razlikuje od ostalih stvari prema članku 7(2) GDPR-a.“

„Što se tiče fizičke brošure, sud je smatrao da se postavljanjem polja za potpis na kraj fizičkog obrasca stvara dojam da je potpis bio za sudjelovanje u korisničkom programu, a ne za privolu. Tome je pridonijela i činjenica da je polje za datum, zamišljeno kao obavezno polje za registraciju, postavljeno neposredno uz polje za potpis. Sud se složio s nadzornim tijelom da korisnici ne bi aktivno shvatili da su zapravo dali pristanak na profiliranje zbog vizualnog dizajna izjave o pristanku. Suglasnost dobivena putem brošure stoga nije ispunila kriterije članka 7. stavka 2. GDPR-a.“

„Što se tiče web stranice, sud se složio s nadzornim tijelom da prosječni potrošač ne bi pretpostavio iz podebljanog naslova izjave o privoli "Uživajte u vlastitim osobnim pogodnostima" da se zapravo radi o dobivanju privole za profiliranje. Kvačice s da i ne također nisu sadržavale podatke o privoli, već samo o “isključivim pogodnostima”. Sud je smatrao da formulacija dovodi u zabludu jer bi osobe koje ne pristanu na profiliranje također trebale dobiti "ekskluzivne" pogodnosti nakon registracije. Činjenica da su ispitanici samo obaviješteni da se privola odnosi na profiliranje u Općim uvjetima i politici privatnosti, što prema ocjeni suda nije bilo dovoljno. Stoga je sud zaključio da voditelj obrade također nije ispunio zahtjeve članka 7. stavka 2. GDPR-a za njihovu web stranicu.“

 

Više o slučaju:

https://gdprhub.eu/index.php?title=BVwG_-_W256_2246230-1&mtc=today

 

Image from FreePik

#gdprcroatia