DPO PRAKSA: DALJNJE SVRHE OBRADE PODATAKA

Dnevnik jednog službenika (DPO) – primjeri i mišljenja iz prakse

Nedavno smo se susreli s Politikom privatnosti u kojoj je za sve osobne podatke za koje zakon nije propisao određen rok čuvanja a niti ima druga valjana osnova za njihovu obradu, propisan rok pohrane 5 godina – bez obzira što se ti podaci više  ne obrađuju i što se ispunila svrha za koju su se prikupljali.

Takav rok nam je  djelovao pretjerano i  zato smo od voditelja obrade zatražili šire obrazloženje. U obrazloženju koji smo dobili stoji da je takav rok određen temeljem članka 225. Zakona o obveznim odnosima kojim se određuje opći zastari rok za tražbine. Međutim, prava koja proizlaze za svakog pojedinca temeljem GDPR nije „tražbina ili potraživanje“.

Tražbina ili potraživanje je zahtjev vjerovnika (zaštićen obveznim pravom) da mu dužnik izvrši određenu činidbu. Zahtjev za određeno davanje ili činjenje može se odnositi i na trpljenje ili propuštanje. Tražbine se smatraju tekućom imovinom poduzeća, ako su naplative u roku od godine dana (tu se ubrajaju potraživanja od kupaca, izdani depoziti i kaucije, različite kratkoročne tražbine od povezanih poduzeća i pridruženih poduzeća, izdani financijski krediti s rokom otplate do godine dana, potraživanja od državnih organa, od radnika i sl.), u suprotnom spadaju u stalnu imovinu. Enciklopedija Iz definicije vidimo da pravo na zaštitu osobnih podataka nije „tražbina/potraživanje“ da bi se mogli pozivati na zakon/druge propise kojima se uređuju pitanja potraživanja a onda niti na rokove kojima se uređuju takvi odnosi.

 
GDPR propisuje obvezu da se podaci čuvaju u obliku koji omogućuje identifikaciju osobe samo onoliko dugo koliko je to potrebno u svrhe radi kojih se osobni podaci obrađuju (osim ako se radi o arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe). Zato kada nas neki od zakona ne obvezuje na čuvanje osobnih podataka a niti imamo drugu zakonitu osnovu za njihovu obradu (time i pohranu), potrebno je voditi računa da se takvi podaci ne zadržavaju duže nego je to potrebno za svrhu za koju su prikupljeni. 
 
PRIMJER: OBRADA OSOBNIH PODATAKA PRIKUPLJENIH PUTEM “KONTAKT” OBRASCA NA WEB STRANICI

Na jednoj web stranici (više) za npr. pružanje frizerskih usluga putem „kontakt“ obrasca prikuplja se ime/prezime i  e-mail adresa radi odgovaranja na upit. Nakon što je zainteresirana osoba postavila upit, dostavom našeg odgovora ne ostvaruje se poslovna suradnja i time prestaje daljnji kontakt. U ovom slučaju ništa ne obvezuje na čuvanje imena/prezimena i e-mail adrese te eventualno osobnih podataka dostavljenih u samoj poruci a svrha prikupljanja (postavljanje upita) je odgovorom na postavljen upit – ispunjena.

  Za takve podatke nema više osnove za njihovu daljnju obradu i zato ih je potrebno uklonit iz sustava pohrane.
No, u praksi nam se vrlo često javlja pitanje na koji način zadržati osobne podatke onda kada nemamo valjanu osnovu za njihovu daljnju obradu, kada je svrha za koju su se prikupljali ispunjena a svejedno ih iz određenog razloga želimo zadržat i mogu biti od koristi.
U takvom slučaju nema niti univerzalnog, niti brzog odgovora.
Ovisiti će sve o konkretnoj situaciji.
Ponekad će biti moguće da se svrhe i načini prikupljanja “pregrupiraju” i drugačije organiziraju, ponekad da se utvrditi legitimni interes, ponekad da se koristiti privola a ponekad daljnje zadržavanje prikupljenih podataka  i njihova obrada ipak neće biti moguća.
 

VRATIMO SE NA PRIMJER

Pretpostavimo da vlasnica tog frizerskog salona želi zadržati osobne podatke dostavljene putem tog “kontakt” obrasca.
Uzmimo primjer da se radilo o upitu za bojenje izrasta kose rijetkom bojom na tržištu. Frizerski salon inače ima traženu boju u ponudi ali sada je nema i zbog promjene dobavljača salon nije niti siguran da li će je više ponovno imati.  Na taj način se je i odgovorio na postavljeni upit. Ovdje onda imamo situaciju da je na upit odgovoreno, nema daljnjeg pružanja usluge niti se traži bilo kakvo obavještavanje u slučaju dolaska boje te osoba odlazi izrast obojiti u drugi salon.
Podatke koje smo putem kontakt obrasca u ovom slučaju prikupili, bilo bi potrebno obrisat i  dalje ne obrađivat.

Međutim, u svojoj Politici privatnosti salon pruža obavijest o prikupljanju i obradi osobnih podataka putem te stranice gdje se, između ostaloga, navodi da podatke dostavljene putem „kontakt“ obrasca, frizerski salon pohranjuje na rok od 30 dana u kojem je moguće očekivati njihov kontakt kada se ocijeni da to može biti u njihovom interesu.

Navodi se da takvu osnovu obrade salon ima u svom legitimnom interesu za koji je prethodno proveo utvrđivanje i test ravnoteže. Pruža jasnu informaciju zbog čega se može očekivati daljnja obrada tih podataka i na koji način se omogućuje pravo prigovora osobi koja ne želi da se njezini podaci na takav način dalje obrađuju. Pri tom navodeći da onda kada nije istaknut prigovor, da se u tom roku može očekivati obrada podatka i kontakt samo kada frizerski salon može opravdano pretpostaviti da bi s obzirom na postavljeni upit, to moglo biti od  interesa za tu osobu.

Drugim riječima, ako frizerski salon u narednih 30 dana dobije traženu boju za kosu, onda će osobu kontaktirati i obavijestiti o tome osim u slučaju ako je ta osoba istaknula prigovor na legitimni interes salona. Tada, bez obzira što je boja došla, zbog uloženog prigovora osoba se neće se kontaktirati. Potrebno je imati na umu da se osobu ne kontaktira za bilo što drugo a što nije važno ili u vezi s postavljenim upitom i na način kao što je to navedeno u politici npr. da je se ne kontaktira radi informiranja o  promotivnoj akciji na uslugu šišanja kose.
BITNO JE NAGLASITI DA SE OSOBAMA ČIJI SE PODACI OBRAĐUJU TREBA PRUŽITI SVE POTREBNE INFORMACIJE O OBRADI NJIHOVIH OSOBNIH PODATAKA (time i o njihovoj pohrani) VEĆ PRI SAMOM PRIKUPLJANJU.

U praksi to znači da ne bi mogli obrađivati prikupljene podatke po jednoj osnovi  te onda kada takve osnove više nema, odrediti drugu osnovu  i nastaviti s obradom.

Razlog tome je što GDPR zahtjeva da je svatko upoznat s određenim informacijama o obradi svojih osobnih podataka i to prije same obrade.

Onda ako smo podatke prikupili radi jedne svrhe i pri tome pružili sve potrebne informacije ali nismo pružili i informacije i o  nekoj mogućoj daljnjoj obradi i drugim svrhama te pružili mogućnost (kada je to primjenjivo) da se na takvu obradu istakni prigovor i onemogući daljnja obrada, takvo rješenje i nastavak obrade kao u navedenom primjeru, ipak neće biti moguće.

U našem primjeru frizerskog salona to bi značilo da se utvrđeni legitimni interes ne može primijeniti za one podatke koji su prikupljeni prije njegovog utvrđivanja i pružanja svih potrebnih obavijesti o takvoj obradi. Odnosno, ako je identičan upit o boji postavila neka druga osoba i kojoj je uslijedio identičan odgovor samo dan ranije nego su pružene obavijesti o našem legitimnom interesu, onda se tu osobu, u ovom  našem slučaju ne bi moglo kontaktirati radi dolaska tražene boje za kosu.

Svi elementi ovog primjera, kao i rok od 30 dana, uzeti su isključivo samo kao jednostavan primjer „stvaranja uvjeta“ za valjanu obradu i zadržavanje osobnih  podataka onda kada nismo više imali osnovu za obradu i pohranjivanje osobnih podataka. Pri tome se iskoristila prilika za skrenuti pozornost na neke od bitnih elemenata legitimnog interesa  koje se često  izgubiti iz vida (npr. razlog zbog kojeg osoba može opravdano očekivati daljnju obradu svog osobnog podatka onda kada je svrha prikupljanja ispunjena ili provođenje testa ravnoteže).

I NA KRAJU ALI NE I MANJE BITNO

Što ako netko obrađuje ili smo mi ti koji obrađujemo i pohranjujemo osobne podatke za čiju obradu  više nemamo valjanu osnovu? Ili pak imamo valjanu osnovu ali nismo o tome jasno i pravovremeno informirali osobu čije podatke obrađujuno?

U tom slučaju može se podnijeti zahtjev nadzornom tijelu (AZOP) radi zaštite osobnih podataka kao i ostvariti pravo na naknadu štete

(članak 8. GDPR).