I u konkretnom slučaju je postupila zakonito.

Fizička osoba s članskom iskaznicom jedne teretane bila je isključena zbog nedopustivog ponašanja u teretani, vjerojatno je prekršio bitne odredbe uvjeta korištenja ili članstva u teretani.

No, bivši član teretane se namjeravao ponovno upisati, pa je upotrijebio „znanje“ iz GDPR-a i prvo zatražio od teretane da izbriše apsolutno sve njegove osobne podatke prema članku 17 GDPR-a.

U ovom konkretnom slučaju, nakon što je teretana zabranila članu daljnji pristup teretani, imala je i valjani legitimni interes zadržati nužan skup osobnih podataka (ime, prezime, datum rođenja) kako bi spriječila da se neželjen gost ponovno upiše u članstvo i na taj način zaobiđe zabranu pristupa, nakon čega bi mogao ponoviti ponašanje zbog kojeg mu je pristup zabranjen. Neki oblik „crne liste“.

Ta neželjena fizička osoba se požalila slovenskom nadzornom tijelu za zaštitu osobnih podataka (Informacijski Pooblaščenec), koje je odbilo pritužbu neželjenog pojedinca, obrazlažući putem tri ključna pitanja opravdanost legitimnog interesa teretane kao pravnog temelja za njeno postupanje:

- Jel teretana ima legitimni interes? Da, za opravdane svrhe sigurnosti i zaštite svojih zaposlenika i drugih članova.

- Jel takvo zadržavanje osobnih podataka neophodno za ispunjenje svrhe? Da, nužan skup osobnih podataka se trebao zadržati radi sprječavanja ponovnog učlanjenja neželjenog člana

- Nadilazi li legitimni interes teretane prava samog pojedinca? Da, s obzirom na zadržavanje stvarno najnužnijeg skupa osobnih podataka i s obzirom na svrhu zabrane pristupa.

Za točku 3. treba svakako izraditi Test razmjernosti legitimnog interesa radi dokazivanja nadzornom tijelu.

Više o slovenskom slučaju: 

https://gdprhub.eu/index.php?title=IP_(Slovenia)_-_0602-44/2025/6&mtc=today

Image from Freepik

#gdprcroatia