Središnje EU tijelo za zaštitu podataka (EDPB, European Data Protection Board), nakon završenog javnog savjetovanja, izradilo je i objavilo službene Smjernice o obradama osobnih podataka u izvršavanju ugovora u kontekstu online usluga.

Izdvajamo:

- ako organizacija koja nudi online usluge mora za pružanje istih sklopiti ugovor s pojedincem, ima pravo i tražiti određen nužan skup osobnih podataka tog pojedinca, i tu se ne primjenjuje privola

- ako organizacija koja nudi online usluge želi prikupljati osobne podatke, a ne postoji ugovorni odnos s pojedincem ili je ugovoro nezakonit ili prikupljanje određenih osobnih podataka nije nužno za sklapanje ugovora, tada se obrada takvih podataka mora raditi temeljem druge pravne osnove, najčešće privole pojedinca

- Primjer: online trgovina prodaje pojedincu proizvod, i pojedinac želi platiti kreditnom karticom i da mu se proizvod dostavi na kućnu adresu. Da bi izvršio ugovornu obvezu, trgovac mora uzeti i obrađivati osobne podatke - podatke o kreditnoj kartici, adresi isporuke računa i kućnoj adresi za isporuku proizvoda. Tu nema privole. To se mora. Ali, ako se pri tom traži npr. spol kupca, takav podatak se smije prikupljati samo privolom

- Primjer: ukoliko kupac online trgovini potvrdi da ne želi dostavu proizvoda na kućnu adresu već će ga sam pokupiti, tada trgovac ne može više obrađivati i zadržavati podatke o kućnoj adresi

- Primjer: Online trgovac želi izrađivati profile svojih kupaca na temelju njihovih prijašnjih odabira i kupnji te posjeta web trgovini. Izvršavanje kupnje kao ugovornog odnosa s kupcem ne ovisi o profilu kupca, pa se obrada podataka radi izrade profila kupca, odnosno, praćenje njegovih prijašnjih kupnji ili kretanja po web shopu ne može podvesti pod ugovornu obvezu, već je to u pravilu moguće samo privolom kupca

- Primjer: kupac podnosi prigovor trgovini zbog neispravnog proizvoda, trgovina obrađuje njegove podatke u svrhu rješavanja prigovora i ispunjenja ugovorne obveze, stoga ovdje nema nikakve privole. Jamstvo unutar ugovora o isporuci roba i usluga je stvar izvršavanja ugovorne obveze.

- Primjer: kupac je dobio svoj proizvod ili uslugu kupljenu online i platio račun i time prestaje ugovorni odnos s trgovcem. Trgovac nakon toga više nema temelja zadržavati puni skup osobnih podataka o tom kupcu i njegovim kupnjama, osim onih koji su nužni unutar samog računa, s obzirom na obvezu čuvanja računa još određen broj godina (u RH je to 11g)

- Primjer: Prije same kupnje online, trgovac traži poštanski broj kupca radi provjere isporučuje li svoje proizvode na tom području. To je valjana obrada i bez privole, jer se odnosi na podatke nužne za ispunjenje radnji prije sklapanja ugovora

- Primjer: online booking platforma bilježi prati sve prethodne bookinge pojedinca da bi procjenili njegovu platežnu moć i temeljem toga preporučili pojedincu hotel u tom cjenovnom rangu. Takvo profiliranje nije nužno za sklapanje ugovora s pojedincem, i ako se to radi autimatiziranim putem, potrebna je izričita privola za takvo profiliranje

Smjernice se nalaze na ovom linku:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf