Središnje EU tijelo za zaštitu podataka (EDPB, European Data Protection Board), nakon završenog javnog savjetovanja, izradilo je i objavilo službene Smjernice o obradama osobnih podataka u izvršavanju ugovora u kontekstu online usluga.
Izdvajamo neke korisne upute koje smo nadopunili:
- ako trgovac koji nudi online usluge mora za pružanje istih sklopiti ugovor s pojedincem, ima pravo i tražiti određen nužan skup osobnih podataka tog pojedinca i u tom slučaju se ne traži privola
- ako trgovac koji nudi online usluge želi prikupljati osobne podatke, a ne postoji ugovorni odnos s pojedincem ili je ugovor nezakonit ili prikupljanje određenih osobnih podataka nije nužno za sklapanje ugovora, tada se obrada takvih podataka mora raditi temeljem druge pravne osnove, tada je potrebna privola pojedinca, koja mora biti neuvjetovana, slobodna, informirana, specificirana i mora se moći povući u svakom trenutku bez posljedica
Primjer 1:
Online trgovina prodaje pojedincu proizvod, pojedinac želi platiti kreditnom karticom i da mu se proizvod dostavi na kućnu adresu. Da bi izvršio ugovornu obvezu, trgovac mora uzeti i obrađivati osobne podatke - podatke o kreditnoj kartici, adresi isporuke računa i kućnoj adresi za isporuku proizvoda. Tu nema privole. To se mora. Ali, ako se pri tom traži npr. spol kupca, takav podatak se smije prikupljati samo privolom
Primjer 2:
Ukoliko kupac online trgovini potvrdi da ne želi dostavu proizvoda na kućnu adresu već će ga sam pokupiti, tada trgovac ne može više obrađivati i zadržavati podatke o kućnoj adresi
Primjer 3:
Online trgovac želi izrađivati profile svojih kupaca na temelju njihovih prijašnjih odabira i kupnji te posjeta web trgovini. Izvršavanje kupnje kao ugovornog odnosa s kupcem ne ovisi o profilu kupca, pa se obrada podataka radi izrade profila kupca, odnosno, praćenje njegovih prijašnjih kupnji ili kretanja po web shopu ne može podvesti pod ugovornu obvezu, već je to moguće samo privolom kupca
Primjer 4:
Kupac podnosi prigovor trgovini zbog neispravnog proizvoda, trgovina obrađuje njegove podatke u svrhu rješavanja prigovora i ispunjenja ugovorne obveze, stoga ovdje nema nikakve privole. Jamstvo unutar ugovora o isporuci roba i usluga je stvar izvršavanja ugovorne obveze.
Primjer 5:
Kupac je dobio svoj proizvod ili uslugu kupljenu online i platio račun te time prestaje ugovorni odnos s trgovcem. Trgovac nakon toga više nema temelja zadržavati puni skup osobnih podataka o tom kupcu i njegovim kupnjama, osim onih koji su nužni unutar samog računa, s obzirom na obvezu čuvanja računa još određen broj godina (u RH je to 11g) i osim ukoliko se radi o registriranom kupcu čiji se podaci zadržavaju do trenutka kada kupac zatraži uklanjanje registracije, svoj računa i svojih podataka.
Primjer 6:
Prije same kupnje online, trgovac traži poštanski broj kupca radi provjere isporučuje li svoje proizvode na tom području. To je valjana obrada i bez privole, jer se odnosi na podatke nužne za ispunjenje radnji prije sklapanja ugovora.
Primjer 7:
Online booking platforma bilježi prati sve prethodne bookinge pojedinca da bi procjenili njegovu platežnu moć i temeljem toga preporučili pojedincu hotel u tom cjenovnom rangu. Takvo profiliranje nije nužno za sklapanje ugovora s pojedincem, i ako se to radi automatiziranim putem, potrebna je izričita privola za takvo profiliranje.
Smjernice se nalaze na ovom linku:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf