15. studeni 2019.

GDPR savjeti: Što treba sadržavati VALJANA privola 

 foto Getty Images/istockphoto

PIŠE: Natalija Parlov Una 

Kako bi se razumjele neophodne stavke za formiranje valjane privole, važno je prvo razumjeti što se podrazumijeva pod pojmom 'obrada' osobnih podataka.

Prema Općoj uredbi o zaštiti podataka (GDPR), 'obrada' znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. 

Što sadrži valjana privola - Da bi privola bila valjana, mora zadovoljiti sljedeće uvjete:
  • mora biti dobrovoljno dana;
  • mora biti informirana;
  • mora biti dana za specifičnu svrhu;
  • svi razlozi za obradu moraju biti jasno navedeni;
  • mora biti izričita i dana nekom potvrdnom radnjom (primjer: opt-in opcija u elektroničkom obliku ili potpis na obrascu);
  • mora biti pisana jasnim i jednostavnim jezikom te je jasno vidljiva;
  • mora biti ponuđena i objašnjena mogućnost povlačenja privole (primjer: poveznica za odjavu s newsletter pretplate).

Ukoliko ne postoji zakonska osnova ili legitimni interes za obradu osobnih podataka, morat ćete koristiti privolu. No oprez, prema smjernicama AZOP-a, voditelj obrade ne može mijenjati zakonite osnove za privolu što znači da nije dopušteno naknadno upotrijebiti osnovu legitimnog interesa za obradu ako je bilo problema s valjanošću privole. Iz tog razloga važno je razumjeti što sve podrazumijeva valjana privola. 

Privola je dobrovoljna kada ispitanik može slobodno odabrati želi li ili ne želi dati privolu i pri tome ne trpi nikakvu štetu te ukoliko danu privolu može povući u bilo kojem trenutku. Privola nije dobrovoljna ako se od ispitanika traži davanje privole za obradu nepotrebnih osobnih podataka kao preduvjeta ispunjenja ugovora ili usluge.

Primjer iz smjernica Europskog odbora za zaštitu podataka (EDPB): Mobilna aplikacija za uređivanje fotografija traži od korisnika aktivaciju GPS lociranja za korištenje njezinim uslugama. Aplikacija isto tako obavješćuje svoje korisnike da će se prikupljeni podaci koristiti u biheviorističke promidžbene svrhe. Za pružanje usluge uređivanja fotografija nije nužno ni geolociranje niti biheviorističko internetsko oglašavanje te se time prelaze okviri pružanja osnovne usluge. S obzirom na to da korisnici ne mogu upotrebljavati aplikaciju bez davanja privole u te svrhe, privola se ne može smatrati dobrovoljnom.

Privola je informirana, ako je ispitanik upoznat sa:
  • podacima o voditelju obrade i, ukoliko je primjenjivo - službenikom za zaštitu osobnih podataka,
  • točnom svrhom ili više odvojenih svrha prikupljanja podataka,
  • kategorijama podataka koji se obrađuju,
  • ako mu je ponuđena mogućnost povlačenja privole,
  • ako je to primjenjivo, činjenicom da će se podaci upotrebljavati isključivo za automatizirano odlučivanje uključujući izradu profila,
  • ako je privola povezana s međunarodnim prijenosom podataka, mogućim rizicima prijenosa podataka u treće zemlje koje nisu vezane Komisijinom odlukom o primjerenosti i gdje nema odgovarajućih zaštitnih mjera.

Što s privolama prikupljenima prije ere GDPR-a? Agencija za zaštitu osobnih podataka u svojem odgovoru ističe da se u 171. uvodnoj izjavi GDPR-a navodi da, ukoliko se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz GDPR-a, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene GDPR-a.

Autorica: Natalija Parlov Una

doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti (ISO 27001), sustava upravljanja kvalitetom (ISO 9001) te sustava upravljanja za suzbijanje podmićivanja (ISO 37001) najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn.