Osobni podaci se moraju prikupljati i obrađivati u skladu s načelima GDPR. Kada se ta načela krše u pogledu smanjene količine podataka i ograničenja pohrane, tada govorimo o prekomjernoj obradi osobnih podataka. Za navedeno kršenje su predviđene najviše kazne uredbe GDPR. Najbolji primjer takvog kršenja je nedavni slučaj kada je H&M kažnjen s 35,3 milijuna eura, što je druga po veličini novčana kazna s kojom se pojedina tvrtka suočila prema EU GDPR pravilima.
Slijedom navedenog, svi obveznici primjene Opće Uredbe posebnu pozornost trebaju obratiti na svrhu prikupljanja i zakonitost obrade osobnih podataka. U ovom članku ćemo se dotaknuti dva primjera gdje često dolazi do takve prekomjerne obrade i kako ju izbjeći.
Pravni subjekti unutar radnog odnosa prikupljaju i obrađuju osobne podatke zaposlenika na temelju pravnih normi, ugovora i u rijetkim slučajevima privolom. Ako zapošljavate radnika na poslovima srednje stručne spreme, a isti ima završeno fakultetsko obrazovanje, možete pohranjivati njegovu srednjoškolsku svjedodžbu koja je uvjet za obavljanje posla. Ali, ako ste u njegov dosje pohranili i njegovu fakultetsku diplomu, dolazi do prekomjerne obrade osobnih podataka, jer ista nije nužna za obavljanje njegovog posla.
Na web stranici se često koristi kontakt obrazac putem kojeg se prikupljaju podaci u svrhu odgovaranja na upit i slanja newslettera. Pri tome je dovoljno za svrhu komunikacije zatražiti ime radi razlikovanja korisnika i e-mail adresa radi dostave odgovora ili newslettera. No, često se susrećemo s prikupljanjem prezimena što je u većini slučajeva prekomjerna obrada osobnog podataka (time i kršenje GDPR) jer nije nužan radi odgovaranja na upit i ne pridonosi kvaliteti pružanja usluge.
Zato je potrebno točno definirati zbog čega je potrebno prikupljanje određenog podatka i s time upoznati korisnike, najčešće putem Politike privatnosti te web stranice.
Treba naglasiti da za korištenje privole treba postojati točno određena svrha i mora biti potreban za izvršenje te svrhe. U suprotnom takva obrada onda nije zakonita.
Zaključno, subjekti su skloni prikupljati i obrađivati razne osobne podatke, što zbog unaprjeđenja poslovanja, a ponekad i „za svaki slučaj“. Ipak, za prikupljanje i obradu svakog osobnog podatka treba postojati svrha, bilo u pravnoj normi, ugovornoj obvezi ili u krajnjoj mjeri kroz privolu. Ako prikupljen i obrađen osobni podatak nije neophodan za ispunjenje svrhe, tada govorimo o prekomjernoj obradi osobnih podataka. Nepoštivanje načela obrade osobnih podataka neminovno dovodi svaki subjekt u rizik za najstrožim kažnjavanjem.
Ines i Marko Krečak, dpo Feralis
