Kad se mogu obrađivati osobni podaci?

Odgovor

Vaše društvo/organizacija može obrađivati osobne podatke samo u sljedećim okolnostima:

• s privolom dotičnih pojedinaca;
• kada postoji ugovorna obveza (ugovor između vašeg društva/organizacije i klijenta);
• da udovolji pravnoj obvezi iz zakonodavstva EU-a ili nacionalnog zakonodavstva;
• kad je obrada nužna za izvršavanje zadaće od javnog interesa iz zakonodavstva EU-a ili  nacionalnog zakonodavstva;
• da zaštiti životno važne interese pojedinca;
• radi legitimnih interesa vaše organizacije, ali samo nakon što provjerite da obrada nema ozbiljan utjecaj na temeljna prava i slobode osobe čije podatke obrađujete. Ako prava osobe nadilaze vaše interese, tada se ne može obrađivati podatke na temelju legitimnih interesa. Procjena kako bi se utvrdilo ima li vaše društvo/organizacija legitimni interes za obradu interese dotične osobe ovisi o pojedinačnim okolnostima slučaja.

Primjeri

Privola
Vaše društvo/organizacija nudi glazbenu aplikaciju i tražite privolu građana za obradu njihovih glazbenih preferencija kako biste im predlagali pjesme i moguće koncerte koji udovoljavaju njihovim preferencijama.

Ugovorna obveza
Vaše društvo/organizacija prodaje robu na internetu. Može obrađivati podatke koji su nužni za djelovanje na zahtjev pojedinca prije sklapanja ugovora te za provedbu ugovora. Stoga možete obrađivati ime, adresu za dostavu, broj kreditne kartice (ako se plaća karticom) itd.

Pravna obveza
Vlasnik ste društva i imate svoje zaposlenike. Da biste svoje zaposlenike socijalno osigurali, zakonom ste obvezani dostaviti osobne podatke (primjer: tjedna primanja svojih zaposlenika) relevantnom nadležnom tijelu.

Javni interes
Primjer: strukovno udruženje, poput odvjetničke ili liječničke komore, koje ima službene ovlasti to činiti, može provoditi disciplinske postupke protiv nekih svojih članova.

Životno važni interesi osobe
Bolnica u kojoj se liječi pacijent nakon ozbiljne prometne nezgode ne treba njegovu privolu za traženje osobnog identifikacijskog broja kako bi se provjerilo postoji li ta osoba u bazi podatka bolnice radi pronalaska prethodne anamneze ili obavještavanja najbliže rodbine.

Legitimni interesi vaše organizacije
Vaše društvo/organizacija osigurava svoju mrežnu sigurnost praćenjem uporabe IT uređaja svojih zaposlenika. Vaše društvo/organizacija osobne podatke u tu svrhu može legitimno obrađivati samo ako odabere najmanje nametljivu metodu u pogledu prava na privatnost i prava na zaštitu podataka svojih zaposlenika, primjerice, ograničavanjem dostupnosti određenih mrežnih stranica. (Imajte na umu da se ovo ne može raditi u zemljama članicama EU u kojima su nacionalnim pravom propisana stroža pravila u kontekstu zapošljavanja).

Upućivanja

• Članak 6. i uvodne izjave (40) do (49) OUZP-a
• Mišljenje 06/2014 Radne skupine iz članka 29. o pojmu legitimnih interesa voditelja obrade u skladu s člankom 7. Direktive 95/46/EZ

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E