22. studeni 2019.

GDPR savjeti: Što znači ‘poštena obrada podataka‘ i kako povući privolu

Piše: Natalija Parlov Una

Nakon što je proces formiranja privole sa svim propisanim stavkama gotov, pravi posao tek počinje. S obzirom da za vrstu podataka koju obrađujete niste uspjeli identificirati zakonsku osnovu ili legitimni interes, privola kao zadnje preostalo sredstvo za sobom nosi obvezu administriranja uvođenjem novih procesa u svrhu osiguravanja svih propisanih prava ispitanicima.

Kako proces administracije privola uključuje sve korake od njihovog prikupljanja, obrade, arhiviranja pa sve do njihovog povlačenja, važno je ponoviti da, prema smjernicama AZOP-a, voditelj obrade ne može mijenjati zakonite osnove za privolu što znači da nije dopušteno naknadno upotrijebiti osnovu legitimnog interesa za obradu ako je bilo problema s valjanošću privole.

Imperativ administriranja osobnim podacima prema bilo kojoj od identificiranih osnova je poštena i transparentna obrada podataka te je organizacija dužna informirati ispitanike o svim obradama i postojanju procesa koji su im na raspolaganju u ostvarivanju njihovih prava.

Primjer iz smjernica Europskog odbora za zaštitu podataka (EDPB)

Ulaznice za glazbeni festival prodaju se preko internetskog posrednika. Za svaku internetsku prodaju ulaznica zahtijeva se privola za upotrebu kontaktnih podataka u marketinške svrhe. Za izražavanje privole u tu svrhu, kupci mogu odabrati „Ne” ili „Da”. Voditelj obrade obavješćuje kupce da imaju mogućnost povlačenja privole. To mogu obaviti besplatnim nazivanjem pozivnog centra radnim danom od 8.00 do 17.00 sati. U tom se primjeru voditelj obrade ne pridržava članka 7. stavka 3. GDPR-a. Za povlačenje privole u navedenom slučaju zahtijeva se telefonski poziv tijekom radnog vremena, a taj je postupak složeniji od jednog klika mišem potrebnog za davanje privole preko internetskog prodavatelja, koji je uvijek dostupan.

Što podrazumijeva poštena i transparentna obrada

Ispitaniku mora biti osigurana poštena i transparentna obrada podataka koja podrazumijeva i davanje sljedećih informacija u trenutku prikupljanja podataka: razdoblje pohranjivanja osobnih podataka, postojanje svih prava koje mu GDPR-om pripadaju, postojanje prava na povlačenje privole bez posljedica, pravo na podnošenje prigovora nadzornom tijelu, pravna osnova obrade podataka, informacija o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže te informacije o logici i mogućim posljedicama kod automatizirane obrade podataka.

Prema smjernicama AZOP-a, jedan od modaliteta za ostvarivanje načela transparentnosti obrade osobnih podataka je i objava politike privatnosti organizacije na internetskih stranicama koja sadrži sve navedene informacije vezane uz poštenu i transparentnu obradu.

Povlačenje privole

GDPR propisuje da voditelj obrade mora osigurati ispitaniku da u svakom trenutku može povući privolu jednostavno kao što ju je i dao.

Ako se primjerice privola dobiva elektroničkim putem jednim klikom miša, ispitanici u praksi moraju moći povući tu privolu na jednako jednostavan način. Ako se privola dobiva putem korisničkog sučelja (internetska stranica, aplikacije, sučelja IoT uređaja ili e-maila), ispitanik također mora moći povući privolu putem istog elektroničkog sučelja jer bi prelazak na drugo sučelje isključivo radi povlačenja privole zahtijevao nepotreban napor. Voditelj obrade mora omogućiti ispitaniku da povuče svoju privolu bez štetnih posljedica, a to znači besplatno i bez snižavanja razine usluge.

Autorica: Natalija Parlov Una

Doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti (ISO 27001), sustava upravljanja kvalitetom (ISO 9001) te sustava upravljanja za suzbijanje podmićivanja (ISO 37001) najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn