Osobni podaci svugdje su oko nas. Kupujemo li u web shopu, koristimo li društvene mreže poput Facebook-a ili Instagrama, predajemo li zahtjev za ostvarivanje nekog našeg prava ili pak ulazimo u perimetar nadzorne kamere, sve su mjesta gdje ostavljamo naše osobne podatke. U većini slučajeva znamo tko će i na koji način koristiti naše podatke te koja su naša prava u vezi toga.
Međutim, što je sa situacijama kada sami objavimo svoje osobne podatke kao primjerice, onda kada koristimo društvene mreže kao što su Facebook, LinkedIn ili kada podatke o sebi objavimo na svojoj web stranici u svrhu prezentacije našeg rada ili ih pak objavi naš poslodavac?
Često vlada uvjerenje da osobne podatke koji su nam javno dostupni možemo nesmetano koristiti za svoje poslovne potrebe a to nije tako. Čak i kada sami objavimo svoje osobne podatke imamo pravo na njihovu zaštitu.
Podaci koje sami objavljujemo mogu biti najrazličitiji. Na društvenim mrežama tako možemo vidjeti kako se objavljuju osobni podaci kao što su datum rođenja, završeno školovanje, podaci o bračnom statusu, o zaposlenju, članovima obitelji ili pak koje knjige i filmove je osoba pogledala i slično. Kada govorimo o objavi osobnih podataka na web stranicama u svrhu prezentacije posla kojim se bavimo to će najčešće biti naša fotografija i uz nju naše ime i prezime, funkcija, kontakt telefon, e-mail adresa ali često i određene reference, sposobnosti ili specijalizacije i certifikati koje posjedujemo.
Točno je da samo takve podatke sami učinili dostupnima široj javnosti ili u slučaju da su osobni podatci javno dostupni uz naše dopuštenje i razumijevanje, to i dalje ne znači da bilo koja tvrtka, organizacija ili drugi voditelj obrade koji imaju pristup tim osobnim podatcima mogu sami, za vlastite potrebe, obraditi te podatke – oni moraju imati odvojenu pravnu osnovu.
Takva pravna osnova najčešće će biti u našem pristanku. Valjana pravna osnova za obradu naših podataka koji su javno objavljeni često može biti i legitimni interes tvrtke ili drugog voditelja obrade, no tada moramo takvu obradu moći pretpostaviti, o tome biti na ispravan način informirani te imati mogućnost prigovora.
Primjerice, možemo pretpostaviti da će marketinška agencija koristiti e-mail adresu koju smo objavili na našoj web stranici na kojoj promoviramo svoj rad i tvrtku kako bi nam ponudila svoje promotivne usluge. Kod dobivanja takve ponude najčešće ćemo odmah dobiti i informacije na koji način je naša e-mail adresa prikupljena te informacije o obradi osobnih podataka ili gdje ih možemo potražiti. Ukoliko ne želimo dobivati više takve ponude ili ih želimo dobivati u ograničenom opsegu, možemo istaknuti prigovor jer se e-mail adresa s naše web stranice prikupila i obrađivala temeljem legitimnog interesa te marketinške agencije.
Međutim, ukoliko bi neka tvrtka ili drugi voditelj obrade htio prikupiti ime i prezime te funkciju zaposlenika koji su objavljeni na web stranicama različitih tvrtki na nekom području, kako bi se ocjenjivala usluga koju isti pružaju npr. uslugu službenika za zaštitu podataka, za to bi tvrtka trebala prikupiti privolu svakog pojedinog zaposlenika kojeg se želi ocjenjivati. Takvo prikupljanje osobnih podataka ne bi se moglo temeljiti na legitimnom interesu tvrtke koja ih prikuplja je osobe čiji se podaci prikupljaju nemaju razloga pretpostaviti da bi neki voditelj obrade prikupljao i obrađivao njihove podatke u svrhu ocjenjivanja usluge koje pružaju. Bitna element valjanosti legitimnog interesa kao temelja za prikupljanje i obradu osobnih podataka je opravdana pretpostavka da osoba može očekivati takvu obradu svojih osobnih podataka.
Ovim smo prikazali samo dva najčešća zakonita temelja koja se koriste prilikom obrade osobnih podataka koji su javno dostupni. To je naš pristanak i legitimni interes voditelja obrade. Neovisno koji je zakoniti temelj moramo biti upoznati da netko obrađuje naše osobne podatke u svoje poslovne svrhe bez obzira što smo osobne podatke učinili sami javno dostupnima.
Stoga, bitno je imati na umu da svaka tvrtka, organizacija ili drugi voditelj obrade kako bi prikupili i obrađivali osobne podatke, mora imati jedan od šest zakonitih temelja predviđenih Općom uredbom, informirati o obradi osobe čije podatke obrađuje i omogućiti ostvarivanje njihovih prava čak i onda kada su ti podaci javno objavljeni.
Na to posebno skreće pozornost Europski odbor za zaštitu podataka u svojim Smjernicama 4/2019 o članku 25.Tehnička i integrirana zaštita podataka te je nužno podići svijest da bez obzira što su nam određeni podaci javno dostupni, isti se ne mogu koristiti ako nemamo valjanu osnovu za njihovo korištenje i ne postupamo u skladu sa zahtjevima GDPR.
