ZAKONITE OSNOVE ZA OBRADU OSOBNIH PODATAKA
Općom Uredbom u članku 6. propisane su zakonite osnove obrade osobnih podataka. Podaci se mogu obrađivati kada postoji jedna od sljedećih osnova:
1. Privola
Ispitanik je dao privolu za obradu podataka u jednu ili više posebnih svrha.
2. Ugovor/usluga
Obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
3. Pravne obaveze
Obrada je nužna radi poštovanja pravnih obveza voditelja obrade.
4. Zaštita ključnih interesa ispitanika
Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe.
5. Javni interes i službene ovlasti
Obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
6. Legitimni interes
Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
UGOVOR/USLUGA
„obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora“ – obuhvaća dvije različite situacije.
Obuhvaća situacije u kojima je obrada nužna za izvršavanje ugovora/usluge u kojem je stranka osoba čiji se podaci obrađuju. To može uključivati, na primjer, obradu adrese osobe čiji se podaci obrađuju radi dostave proizvoda kupljenih na internetu ili obradu podataka o kreditnoj kartici radi izvršenja plaćanja. U kontekstu zaposlenja na temelju te osnove bila bi dopuštena, na primjer, obrada podataka o plaćama i bankovnim računima u svrhu isplate plaća. Međutim, činjenica da su neke vrste obrade podataka obuhvaćene ugovorom ne znači automatski da je obrada nužna za izvršavanje ugovora. Radna skupina iz članka 29. navodi primjer kako nije odgovarajuća pravna osnova za izradu profila o ukusima i načinu života korisnika na temelju web-mjesta koje posjećuje i robe koju kupuje. To je zato što voditelj obrade nije angažiran za izvršavanje profiliranja, nego za isporuku određenih vrsta robe i usluga, na primjer. Čak i ako su te aktivnosti obrade posebno navedene sitnim slovima u ugovoru, to ne znači da su „potrebne” za izvršavanje ugovora.
Ovdje postoji jasna veza između ocjenjivanja nužnosti i usklađenosti s načelom ograničenja svrhe. Važno je odrediti točnu logičku osnovu ugovora odnosno njegovu bit i temeljni cilj jer će se u odnosu na to ispitivati je li obrada podataka nužna za njegovo izvršavanje.
U nekim graničnim situacijama može biti sporno ili može biti potrebno pronaći više činjenica kako bi se utvrdilo je li obrada nužna za izvršavanje ugovora. Na primjer, u nekim se situacijama može smatrati nužnim uspostaviti internu bazu podataka o zaposlenicima poduzeća u kojoj su sadržani ime, poslovna adresa, telefonski broj i adresa e-pošte svih zaposlenika kako bi zaposlenici mogli kontaktirati s kolegama u cilju izvršenja govora, ali bi također moglo biti zakonito ako se pokaže da postoji prevladavajući interes voditelja obrade odnosno njegov legitimni interes i da su poduzete sve potrebne mjere, uključujući primjerice odgovarajuće savjetovanje predstavnika zaposlenika.
Obuhvaća obradu koja se provodi prije nego što ugovor stupi na snagu ili nastupi izvršavanje tražene usluge. Isto obuhvaća predugovorne odnose, uz uvjet da su koraci poduzeti na zahtjev osobe čiji se podaci obrađuju, a ne na inicijativu voditelja obrade. Na primjer, ako osoba zatraži od trgovca da pošalje ponudu za proizvod, na toj bi pravnoj osnovi bila primjerena obrada u te svrhe, kao što je čuvanje pojedinosti o adresi i podataka o tome što je traženo, na ograničeno vrijeme. Slično tomu, ako osoba zatraži ponudu osiguravatelja za svoj automobil, osiguravatelj može obraditi potrebne podatke, na primjer, marku i starost automobila te ostale važne i razmjerne podatke radi pripreme ponude. Međutim, detaljne provjere kao što su obrada podataka o liječničkim pregledima prije nego što osiguravatelj podnositelju ponudi uslugu zdravstvenog ili životnog osiguranja ne bi se smatrale nužnim koracima koji se obavljaju na zahtjev osobe čiji se podaci obrađuju. Provjere solventnosti prije davanja kredita također se ne obavljaju na zahtjev osobe čiji se podaci obrađuju u skladu ugovorom, nego u skladu sa temeljem legitimnog interesa banke.