Ovim postom želimo pomoći svima onima koji ovu temu nisu do sada uspjeli popratiti na GDPR Croatia.
Potaknuti smo današnjim živim slučajem s kojim smo se susreli, kada jedna tvrtka uzima privole od klijenata iako te osobe u stvari nemaju mogućnost izbora, odnosno, nemaju punu slobodu odlučivanja hoće li dati svoje osobne podatke tvrtki ili ne.
Samim time je takva privola nezakonita a prikupljeni podaci su nezakonito obrađivani.
Privola je primjenjiva samo ukoliko je pojedinac od kojeg se traži privola u mogućnosti izbora, prihvaćanja ili odbijanja davanja privole bez ikakvih posljedica - vrlo jednostavno objašnjenje kojim svatko od nas može istestirati valjanost primjene privole.
Primjer: ako se privolom traži uzimanje osobnih podataka da bi se pružila usluga, takva privola nije slobodna ni bezuvjetna, već se radi o ugovornoj obvezi. Npr. Hallo Pizza i davanje adrese dostave. Nema privole, slažemo se.
Ukoliko pojedinac nema pravo na odabir, tada privola nije zakonita.
Privola je zakonita samo:
# ako je dana slobodnom voljom,
# ako je pojedinac informiran zašto je treba dati,
# ako je za konkretnu specificiranu svrhu,
# ako je dana jasnom potvrdnom aktivnom radnjom pojedinca
Privola, ili kako mnogi pišu "suglasnost" ne može i ne smije biti dio nekog ugovora na način da sklapanjem ugovora pojedinac daje svoju suglasnost ili privolu za obradu njegovih osobnih podataka.
Drugim riječima, ukoliko Voditelj obrade želi obrađivati neke osobne podatke pojedinca koji su povezani s izvršenjem ugovora, isporukom neke usluge ili proizvoda, tada se takvi podaci ne smiju prikupljati privolom.
Primjer: web stranica zahtijeva da posjetitelj klikne "Prihvaćam kolačiće" kako bi uopće mogao pristupiti stranici. Takva privola nije zakonita jer nije predmetom slobodnog odabira. Stranica se mora moći koristiti i bez privole za neophodne kolačiće i takvi se kolačići tada ne smiju koristiti.
Tijela javne vlasti i javna tijela u pravilu nemaju temelja tražiti privolu, već se trebaju oslanjati na svoje službene i javne ovlasti utvrđene propisima.
Zaposlenici u pravili teško mogu dati privolu slobodnom voljom te se privola u odnosu poslodavca i zaposlenika u pravilu treba izbjegavati, osim u iznimnim slučajevima kada poslodavac može dokazati da je zaposlenik imao slobodu odabira bez posljedica. Primjer: snimanje filma o tvrtki i pravo na odabir zaposlenika da ne bude u kadru, ili korištenje biometrijskih podataka za svrhe vođenja evidencije radnog vremena.
U tekstu privole mora se navesti:
- TKO je voditelj obrade koji je traži
- KOJA je svrha obrade za koju se traži privola
- KOJI podaci se prikupljaju putem privole
- postojanje PRAVA na povlačenje privole u svakom trenutku (besplatno) i da je obrada podataka temeljem privole zakonita do trenutka njenog povlačenja
- postojanje AUTOMATIZIRANOG ODLUČIVANJA, uključujući PROFILIRANJE temeljem danih osobnih podataka
- postojanje PRIJENOSA osobnih podataka u treće zemlje izvan EU/EEA koje ne jamče primjerenu zaštitu osobnih podataka
Privola mora biti pisana jednostavnim, razumljivim, nepravničkim jezikom.
Privola mora biti jasno izdvojena iz ostatka teksta, lako prepoznatljiva i uočljiva.
Privola se mora dati za pojedinu specifičnu svrhu a ne za više zasebnih svrha jednim pristankom.
Prikupljenu privolu Voditelj obrade mora moći dokazati. Može biti dana i usmeno, ali je treba dokazati. Npr. svjedocima.
Povlačenje privole mora biti izvedivo na jednako jednostavan način kako se privola i daje. Ako se daje riječju OK putem emaila, tada se ne smije tražiti osobni dolazak u prijemni ured svakog petog utorka u mjesecu od 11:00-11:30 (šalimo se).
Nakon povlačenja privole, Voditelj obrade mora zaustaviti daljnju obradu tako prikupljenih podataka i ako nema zakonitog temelja za zadržavanje podataka, mora ih brisati.
Izvor: Smjernice EDPB (European Data Protection Board) o privoli, donesene 04. svibnja 2020. možete pročitati na ovom linku:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf