Osnovna načela GDPR-a
APICURA Grupa – centralno mjesto za implementaciju međunarodnih ISO standarda upravljanja
poslovnim procesima i usklađivanja poslovanja s europskom pravnom regulativom
Opća uredba o zaštiti podataka – GDPR, počela je s primjenom 25. svibnja 2018. godine. Taj datum označio je apsolutnu prekretnicu u svim automatiziranim obradama podataka koji su svojim algoritmima imali mogućnost identifikacije pojedinca i samim time zadiranje u njegova temeljna prava i slobode.
Osim što sve europske tvrtke i institucije koje se u svom poslovnom procesu dotiču obrade osobnih podataka dokumentacijski i procesno moraju biti usklađene s odredbama ove Uredbe – i tvrtke koje pružaju proizvode i usluge direktno ili indirektno vezane uz obradu osobnih podataka europskih građana moraju u segmentima obrade njihovih podataka dokazati sukladnost s Uredbom bez obzira na njihovu geolokaciju ili sektor poslovanja.
Prema Uredbi, osobni podatak je svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi. To su: ime, adresa, e-mail adresa, telefonski broj, fotografija, video snimke pojedinaca, OIB, IP i MAC adresa, GPS lokacija, kolačići na web stranicama, RFID tagovi, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, zdravlju, seksualnoj orijentaciji, glas i bilo koji drugi podatak kojim se može utvrditi identitet pojedinca.
Pod pojmom utvrđivanje svakako se radi i o triangulaciji različitih podataka koja svojim načinom obrade dolazi do konkretne identifikacije pojedinca. Pojedinci (stručnom terminologijom Ispitanici), Uredbom imaju osigurana svoja prava na zaštitu podataka koja podrazumijevaju dolje navedeno.
PRAVA ISPITANIKA
Početak primjene Uredbe iz perspektive marketinških aktivnosti imat će snažan utjecaj na učinak kampanja jer modaliteti direktnog marketinga i profiliranja više neće biti opsežni kao prije te će se samim time i ključni faktori uspjeha (KSF) morati redefinirati. GDPR je striktno definirao prava kupaca odnosno ispitanika i propisalo nove odgovornosti za sve voditelje obrade odnosno osobe zadužene za prikupljanje, obradu i arhiviranje prikupljenih osobnih podataka postojećih ili potencijalnih kupaca. U tom smislu voditelju obrade nema mogućnost kreiranja i automatske obrade profila ispitanika bez njihove eksplicitne privole.
Pravo na informiranje o obradi i pristup osobnim podacima
Transparentnost je jedno od temeljnih načela Uredbe. Uredba također obvezuje voditelje obrade da jasno i jednostavnim rječnikom informiraju ispitanika ili pojedinca na koji način se obavlja obrada njihovih osobnih podataka.
Prema Recitalu 60. Uredbe „voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila.“
Pravo na informiranost omogućava uvid u identitet i kontaktne podatke voditelja obrade; kontaktne podatke službenika za zaštitu podataka; svrhu obrade i pravnu osnovu za obradu; legitimne interese voditelja obrade ili treće strane; primatelje ili kategorije primatelja osobnih podataka itd.
Prema čl. 15. Uredbe ispitanik ima pravo dobiti informaciju o bilo kojem osobnom podatku koji se koristi u svrhu profiliranja i izrade njegovog profila. Također, voditelj obrade mora omogućiti ispitaniku pristup kreiranom profilu i objasniti mu u koju svrhu obrade ga koristi. Ovaj dio se ne odnosi na pravo na prenosivost podataka kad je voditelj obrade samo dužan ispitaniku dati samo podatke koje je prikupio ali ne i profile koje je kreirao. Prema Recitalu 63. Uredbe voditelj obrade zaštićen je od davanja uvida ispitaniku izrađenih profila u slučajevima koji su povezani sa poslovnim tajnama ili intelektualnim vlasništvom. U tom slučaju propisano je da „to pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a osobito na autorsko pravo kojima je zaštićen računalni program. Ako je moguće, voditelj obrade trebao bi imati mogućnost omogućiti daljinski pristup zaštićenom sustavu koji bi ispitaniku omogućio izravan pristup njegovim osobnim podacima.“
Pravo na pristup podacima daje ispitaniku mogućnost da od voditelja obrade dobije odgovarajuću potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju mora mu biti omogućen pristup istima.
Pravo na ispravak
Pravom na ispravak ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Pravo na brisanje podataka
Pravom na zaborav ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja.
Pravo na ograničenje obrade
Pravom na ograničenje obrade ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade. Ako je obrada ograničena takvi osobni podaci smiju se obrađivati samo uz privolu ispitanika, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili države članice.
Pravo na prenosivost podataka
Pravom na prenosivost podataka ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi.
Pravo na prigovor
Prema čl. 21 st. 1. i 2. Uredbe voditelj obrade mora ispitaniku omogućiti mogućnost podnošenja prigovora te mu to jasno i nedvosmisleno predočiti. Voditelji obrade posebno su obavezni omogućiti ovo pravo ako se obrada provodi temeljem odredaba čl. 6. Uredbe . Kad ispitanik konzumira ovo pravo voditelj obrade mora odmah prestati s profiliranjem osim ako ne dokaže legitimni interes. GDPR ne objašnjava i ne propisuje točno čime se dokazuje legitimni interes. U tom se slučaju provodi test proporcionalnosti između poslovnog interesa voditelja obrade i mogućeg prigovora ispitanika na obradu. U provođenju testa voditelju obrade nije dovoljno samo navesti legitimni interes nego mora biti uvjerljiv i dokazati viši poslovni interes. Čl. 21. st. 2. daje ispitaniku bezuvjetno pravo na prigovor kad je u pitanju obrada podataka u svrhu direktnog marketinga i izrada njegovog profila u istu svrhu. Prema Recitalu 70. Uredbe „ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.“
Pravom na prigovor ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega. Voditelj obrade više ne smije obrađivati osobne podatke osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu.
Pravo na izuzeće pravnih odluka prilikom automatskog donošenja odluka i profiliranja (automated decision making and profiling)
Pravom na izuzeće od pravnih odluka prilikom automatskog donošenja odluka i profiliranja ispitanik ima pravo zatražiti da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.
PRIVOLA U MARKETINŠKE SVRHE
Čl. 4. st. 11. privolu definira kao: “svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.”
Osnovni koncept privole ostao je isti kao i u Direktivi 95/46/EC pa je po tome privola osnovno zakonsko sredstvo po kojem se osobni podaci smiju obrađivati kao što je propisano u čl. 6. Uredbe. Pored toga, gore navedena definicija privole nadopunjena je odredbama čl. 7. Uredbe te Recitalima 32., 33., 42. i 43. u smislu kako voditelj obrade mora definirati osnovne elemente privole. Također, posebna tumačenje i recitali Uredbe omogućuju pravo ispitanika da da i povuče privolu neograničen broj puta što isključivo ovisi o njemu samome..
Valjane privola u smislu čl. 4. st. 11. mora biti dana dobrovoljno, mora biti specifična, informirajuća i jasna, nedvosmislena za ispitanika kako i na koji način će se obrađivati i zašto će se koristiti njegovi osobni podaci.
Karakteristika dobrovoljna implicira da je ispitanik svojom voljom i neovisno dao privolu. Glavno pravilo koje Uredba propisuje i o kojem se mora voditi računa da bi se privola smatrala dobrovoljnom je da se ne postavljaju uvjeti korištenja usluge te da se ne uvjetuje pristanak na davanje osobnih podataka da bi se neka usluga koristila. Ako se dogodi da ponuditelj neke usluge uvjetuje korištenje iste davanjem suglasnosti za korištenje osobnih podataka onda privola nije dobrovoljna. O karakteru privole postoje osim smjernica Radne grupe iz čl. 29 i razni vodiči nacionalnih nadzornih tijela. U tom smislu zanimljivo je i praktično mišljenje (vodič) britanskog nadzornog tijela – Ureda povjerenika za informiranje (Information Commissioner’s Office) o karakteru privole.
Prema navedenim izvorima možemo zaključiti da prema Uredbi adekvatna privola treba biti partikularna (granularna), neuvjetovana, komunicirana jednostavnim jezikom, nedvosmislena i informirana
- Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom
- Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu
- Povezati privolu s obradom
- Ispitanik ima pravo u svakom trenutku povući svoju privolu.
- Povezati obradu s valjanošću privole (je li privola povučena?)
Uvjeti privole – kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Prema odredbama hrvatskog Zakona o provedbi Opće uredbe o zaštiti podataka privola za obradu osobnih podataka dobivena od djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.
Čl. 6. Uredbe točke: (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Recital 47. Uredbe – Legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi.
„Valjana privola u smislu čl. 4. st. 11. mora biti dana dobrovoljno, mora biti specifična, informirajuća i jasna, nedvosmislena za ispitanika kojom on ili ona izjavom ili jasnom afirmativnom radnjom, označava pristanak na obradu osobnih podataka koji se odnose na njega ili nju.“
Članak 19. Zakona o provedbi Opće uredbe o zaštiti podataka, NN 42/2018: „Prema odredbama članka 19. hrvatskog Zakona o provedbi Opće uredbe o zaštiti podataka. Obrada privola za obradu osobnih podataka dobivena od djeteta osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom . Ova odredba se primjenjuje na dijete čije je prebivalište u Republici Hrvatskoj.“
***
GDPR nalaže svim pravnim subjektima koji raspolažu osobnim podacima europskih građana (ma gdje se oni lokacijski nalazili) dokazivanje sukladnosti s propisanom zaštitom osobnih podataka tijekom cijelog procesa poslovanja. Uredbom je također propisano i da sve treće strane, odnosno i inozemni dobavljači europskih tvrtki, moraju dokazati svoju sukladnost GDPR-u u svim sferama dijeljenja ili protoka osobnih podataka europskih građana.
Recital 39. Uredbe jasno govori: svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Pojedincu su slijedom toga, i zakonski osigurana prava na informiranost, pristup podacima, ispravak, zaborav, ograničenje obrade, prenosivost podataka, prigovor i izuzeće pravnih odluka prilikom automatiziranog donošenja odluka i profiliranja.
Prijenosi podataka u treće zemlje ili međunarodne organizacije smiju se obavljati isključivo uz puno poštovanje Uredbe što znači da treće strane moraju osigurati punu zaštitu podataka propisanu Uredbom. Kod IoT i drugih aplikacija to znači da ti proizvođači ili pružatelji usluga više neće moći nuditi svoje usluge europskim građanima ukoliko nisu u mogućnosti osigurati im propisana prava. Sve su češći slučajevi IoT tvrtki da su obavijestili svoje europske korisnike kako im više nisu u mogućnosti pružati svoje usluge zbog nemogućnosti osiguravanja procesa kojima ti pojedinci mogu ostvariti svoja prava.
OBVEZE VODITELJA OBRADE
U točki a. propisano je da se osobni podaci moraju zakonito, pošteno i transparentno obrađivati s obzirom na ispitanika („zakonitost – lawful, poštenost – fairness i transparentnost – transparent”). Transparentnost obrade je temeljno načelo GDPR-a. U automatskoj obradi često se koriste metode profiliranja ispitanika koje njemu nisu vidljive. Prema čl. 21. st. 2. Uredbe voditelj obrade dužan je ispitaniku točno i precizno objasniti što i kako radi s njegovim osobnim podacima te mu omogućiti neometan i slobodan pristup procesu obrade podataka.
U točki b. stoji da podaci prikupljeni u posebne, izričite i zakonite svrhe se ne smiju dalje obrađivati na način koji nije u skladu s tim svrhama, a daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”). Drugim riječima, podaci koji su prikupljeni u točno određene svrhe ne smiju se koristiti u profiliranje ispitanika za neke druge svrhe obrade.
U točki c. propisano je da obrade moraju biti primjerene, relevantne i ograničene na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”). U modernom poslovanju postojanje mogućnosti da uz vrlo male troškove prikupljaju mnoštvo podataka koji im i jesu i nisu neophodni za odvijanje poslovnog procesa dalo je pojedinim poduzećima i velikim kompanijama ideju da ih prikupljaju po principu „za svaki slučaj“. Prema GDPR-u voditelj obrade mora se ograničiti na minimalno prikupljanje samo onih podataka u koji su potrebni da ispuni svrhu obrade koju trenutno provodi. Voditelj obrade također mora biti u mogućnosti u svakom trenutku jasno objasniti i opravdati svrhu obrade i razlog pohrane podataka te korištenje tih podataka u anonimiziranom ili pseudonimiziranom obliku kad je to od njih zatraženo.
U točki d. podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”).
Voditelj obrade dužan je na upit točno objasniti sve etape obrade koju provodi posebno kad prikuplja i analizira podatke, izrađuje profil ispitanika te kad te profile koristi u donošenju bilo kakvih odluka koje se tiču ispitanika. U tu svrhu voditelj obrade također mora potvrditi i osigurati da su podaci koje koristi iz postojećih baza točni i da su važeći. Ta mogućnost je bitna zbog jednostavnog razloga da ispitanik u bilo kojem trenutku obrade može provjeriti i verificirati svoje podatke.
U točki e. propisano je da se podaci moraju čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno da se osobni podaci obrade; osobni podaci mogu se pohraniti na dulja razdoblja ako će se obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”).
Algoritmi koji su dizajnirani da obrade i dovedu u vezu velike količine podataka omogućavaju poduzećima i organizacijama izradu vrlo detaljnog profila pojedinca. Iako postoje određene prednosti za voditelja obrade koje bi mu mogle koristiti u budućem poslovnom procesu mora i te kako povesti računa da obrada koju provodi na ovaj način odgovara minimalnoj potrebi za njenu provedbu i da prikupljene podatke ne pohranjuje dulje nego mu je potrebno.
U točki f. propisano je se podaci moraju obrađivati na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”).
AUTORSKI TEKST, Zabranjeno je prenošenje sadržaja ili dijela sadržaja bez izričite dozvole autora.
Izvori:
Parlov, Natalija (2018) MARKETING I SMART DATA, IOT, IOMT I MEDICINSKA ISTRAŽIVANJA POD LUPOM, IoT pod pritiskom; smartInfoTrend 208/2018/Q2. Dostupno na: http://bit.ly/2Ftf1ql
Parlov, Natalija; Sičaja, Željko, Katulić, Tihomir (2018) GDPR – INFLUENCE OF THE GENERAL DATA PROTECTION REGULATION ON DIGITAL MARKETING, Annals of Disaster Risk Sciences, 1(2), 105-116. Dostupno na: http://bit.ly/2FsukQf
Nikolić, G.; Sičaja, Željko; Parlov, Natalija; (2018) GDPR – ANALIZA PRIPREMLJENOSTI MALIH I SREDNJIH PODUZEĆA NA NOVU EUROPSKU REGULATIVU I NJEZIN UTJECAJ NA POSLOVANJE U BUDUĆNOSTI, International Leadership Conference Rijeka, 30-31.03.2018., Book of Abstracts, Scientific Paper
https://iapp.org/media/pdf/resource_center/W29-auto-decision_profiling_02-2018.pdf