Koja prava pojedinci imaju na temelju Opće uredbe o zaštiti podataka?

GDPR pruža sljedeća prava ispitanicima, tj. pojedincima čiji se podaci obrađuju:

  1. Pravo na informiranje
  2. Pravo na pristup
  3. Pravo na ispravak
  4. Pravo na brisanje (pravo na zaborav)
  5. Pravo na ograničenje obrade
  6. Pravo na prenosivost podataka
  7. Pravo na prigovor
  8. Pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi
     

Imajte na umu da se neka od tih prava ne primjenjuju u svim situacijama, za više informacija možete vidjeti prava ispitanika za svaku tablicu s pravnom osnovom.

Voditelj obrade podataka obvezan je odgovoriti na zahtjeve ispitanika koji ostvaruju svoja prava i mora olakšati ostvarivanje tih prava. Izvršitelj obrade mora pomoći voditelju obrade podataka u tom zadatku.

Kontrolni popis o tome što učiniti u vezi s pravima ispitanika:

  • Biudite spremni: Uspostavite sustave i postupke za odgovaranje na zahtjeve ispitanika i osposobite  zaposlenike  za integraciju zahtjeva za prava ispitanika u interne tijekove rada.
  • Olakšati ostvarivanje prava: Olakšajte ispitanicima da razumiju  koja su njihova prava i kako da stupe u kontakt s vama kako bi ih ostvarili  ostvarili.
  • Upoznajte svoje protoke podataka: Ažurirajte svoj registar kako biste brzo identificirali podatke koje obrađujete te kako biste učinkovito pronašli i dohvatili informacije.
  • Budite transparenti : Uvijek na jasan i razumljiv način obavijestite ispitanike o osobnim podacima koje obrađujete, prije obrade (na primjer u vašoj politici privatnosti) i tijekom obrade (na primjer pri ispunjavanju zahtjeva za pristup ispitanika).
  • Odgovor u roku od mjesec dana: Uvijek odgovorite na zahtjev ispitanika u roku od mjesec dana. Ako vam je potrebno dodatno vrijeme za odgovor ili ako ne možete ispuniti zahtjev: obavijestite ispitanika o tome u roku od mjesec dana.
  • Proslijedite informacije o rezultatu: : Kada primite zahtjev u vezi s osobnim podacima koje ste prenijeli drugim primateljima, ne zaboravite, ako je potrebno, obavijestiti primatelje o rezultatu zahtjeva.
  • Dokumentirajte: Pratite zahtjeve ispitanika i bilježite svoje odgovore, također pratite svoje razloge kada ne odgovorite na zahtjev.

Kako postupati sa zahtjevom za prava ispitanika

Transparentnost je ključna za zaštitu podataka općenito i, naravno, u kontekstu prava ispitanika.

Voditelj obrade podataka mora:

  • komunicirati s ispitanicima na jasnom i razumljivom jeziku (to je posebno važno u slučajevima kada se organizacija obraća djeci); i
  • olakšati ostvarivanje njihovih  prava, posebno elektroničkim putem. Na primjer, na svojoj internetskoj stranici možete osigurati internetski obrazac kojim se ispitanici mogu koristiti za jednostavno ostvarivanje svojih prava na zaštitu podataka.

Odgovorite u pisanom obliku

Opće je pravilo da bi organizacija trebala odgovoriti na zahtjev pojedinca za pristup na isti način na koji je zahtjev podnesen ili na način na koji je ispitanik posebno zatražio odgovor. Po mogućnosti, trebali biste odgovoriti u pisanom obliku, uključujući, prema potrebi, elektroničkim putem. Odgovor na zahtjev za pravo ispitanika može se dati usmeno, ali to se ne savjetuje jer morate moći dokazati da ste odgovorili na zahtjev.

 

Odgovorite u roku od mjesec dana

GDPR određuje u kojem roku voditelj obrade podataka mora odgovoriti na zahtjev i u kojim slučajevima može naplatiti naknade.

Ako ispitanici ostvaruju jedno od svojih prava, voditelj obrade mora odgovoriti u roku od mjesec dana. Ako je zahtjev previše složen i potrebno je više vremena za odgovor, vaša organizacija može produljiti rok za dodatna dva mjeseca, pod uvjetom da je ispitanik o tome obaviješten u roku od mjesec dana od primitka zahtjeva. Ako vaša organizacija može dokazati da je zahtjev očito neutemeljen ili pretjeran, posebno zbog njegova ponavljanja, možete naplatiti razumnu naknadu ili odbiti odobriti zahtjev.

Ako vaša organizacija ima opravdane sumnje u identitet osobe koja podnosi zahtjev (na primjer, zahtjev se podnosi s drugom e-adresom od one koju obično upotrebljava vaš klijent ili se podnosi izvan autentificiranog korisničkog računa), možete zatražiti dodatne informacije kako biste potvrdili identitet ispitanika prije odgovaranja.

Ako ne namjeravate postupiti u skladu s posebnim zahtjevom ispitanika, morate obavijestiti ispitanika u roku od mjesec dana od primitka zahtjeva o razlozima zbog kojih nećete udovoljiti zahtjevu (npr. zašto ne brišete tražene podatke). Osim toga, morate obavijestiti ispitanike o mogućnosti podnošenja pritužbe njihovu nacionalnom tijelu za zaštitu podataka i traženja pravnog lijeka.

 

Ne naplaćivati naknadu

Vaša organizacija ne može zahtijevati plaćanje od ispitanika koji želi ostvariti jedno od svojih prava. Međutim, možete naplatiti naknadu ako je zahtjev ispitanika očito neutemeljen ili pretjeran, posebno zbog njihova ponavljanja. Pri izračunu naknade moraju se uzeti u obzir administrativni troškovi odgovora na zahtjev za vašu organizaciju. Kako je prethodno objašnjeno, moguće je i odbiti zahtjev koji je očito neutemeljen ili pretjeran. U takvoj situaciji morate biti u stanju dokazati da je to slučaj.

U praksi

  • Ispitanik svaka dva mjeseca podnosi zahtjeve za pristup tesaru koji je izradio svoju tablicu. Stolar je u potpunosti odgovorio na prvi zahtjev. Budući da tesar ne obrađuje osobne podatke u okviru svoje osnovne djelatnosti i da nije pružio više od jedne usluge ispitaniku, malo je vjerojatno da je došlo do promjena u skupu podataka koji se odnosi na ispitanika. Ispitanik je pojasnio da se novi zahtjev odnosi na iste informacije kao i posljednji zahtjev. Stoga se taj zahtjev može smatrati pretjeranim zbog njegova ponavljanja.
  • Ako tesar odluči dati osobne podatke osobi čiji se podaci obrađuju, ali uz naknadu, preporučljivo je o tome unaprijed obavijestiti ispitanika, čime im se daje prilika da povuku zahtjev kako bi izbjegli naplatu. Umjesto toga, tesar može obavijestiti ispitanika o razlozima zbog kojih neće odgovoriti na taj zahtjev, kao i o mogućnosti podnošenja pritužbe tijelu za zaštitu podataka i traženja pravnog lijeka.

Pravo na obavješćivanje

Pravo na informiranje omogućuje ljudima da razumiju što će se učiniti s njihovim podacima, a time i da donose informirane odluke i imaju veću kontrolu nad svojim osobnim podacima. Svi ispitanici imaju pravo dobiti informacije kada obrađujete njihove podatke.

Kao organizacija koja djeluje kao voditelj obrade imate obvezu obavijestiti ispitanike.

 

Koje informacije?

Informacije koje treba pružiti razlikuju se ovisno o tome jeste li osobne podatke prikupili izravno od ispitanika (izravno prikupljanje, organizirano člankom 13. Opće uredbe o zaštiti podataka) ili ste ih prikupili iz drugog izvora (neizravno prikupljanje, organizirano člankom 14. Opće uredbe o zaštiti podataka). U sljedećim tablicama daje se pregled informacija koje morate pružiti ispitaniku:

Osim toga, GDPR zahtijeva od vaše organizacije da pruži sljedeće informacije kako bi se osigurala poštena i transparentna obrada:

Vaša organizacija mora ponovno navesti informacije iz ove druge tablice u slučaju daljnje obrade u novu kompatibilnu svrhu koja se razlikuje od izvorne svrhe. Te se informacije moraju dostaviti prije te daljnje obrade. U tom slučaju ispitaniku također morate pružiti objašnjenje o tome kako su nove i prethodne svrhe međusobno kompatibilne.

 

Kada bi informacije trebalo dostaviti?

Ako vaša organizacija prikuplja osobne podatke izravno od ispitanika, mora pružiti potrebne informacije u trenutku prikupljanja.

U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. Skraćuje se najdulje razdoblje od mjesec dana:

  • ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
  • ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.

Ni u kojem se slučaju ne može produljiti najdulje razdoblje od mjesec dana.

U slučaju bilo kakvih naknadnih promjena u obradi (npr. novi primatelji, kompatibilna svrha, prijenos izvan EGP-a itd.), vaša organizacija mora o tome obavijestiti ispitanika u svakom slučaju prije nego što promjena počne proizvoditi učinke i trebali biste to učiniti dovoljno unaprijed. Što je promjena bitnija, vaša bi organizacija trebala obavijestiti ispitanika kako bi potonji imao razuman rok za razumijevanje učinka toga i ostvarivanje svojih  prava.

 

Kada vaša organizacija nije obvezna dostavljati informacije?

Vaša organizacija nije dužna obavijestiti ispitanika ako je ta osoba već primila potrebne informacije.

U slučaju neizravnog prikupljanja osobnih podataka primjenjuju se dodatne iznimke. U tom slučaju pružanje informacija nije potrebno ako:

  • pružanje takvih informacija nije moguće ili bi zahtijevalo nerazmjerne napore. Međutim, kriteriji za oslanjanje na ovu iznimku vrlo su visoki, što znači da se voditelj obrade može samo iznimno pozvati na taj kriterij;
  • pribavljanje ili otkrivanje podataka izričito je predviđeno zakonom;
  • osobni podaci moraju biti povjerljivi na temelju zakonske obveze čuvanja poslovne tajne.

U praksi

  • U nekim državama članicama nacionalno zakonodavstvo može obvezati porezna tijela da od poslodavaca zatraže određene informacije o zaposlenicima. Porezna tijela ne moraju o tome obavijestiti zaposlenika. Međutim, u okviru svoje obveze obavješćivanja, poslodavac će obavijestiti zaposlenika da je porezna uprava jedan od primatelja osobnih podataka.

 

Kako bi se informacije trebale pružiti ispitaniku?

Dobar način pružanja informacija je rad s različitim slojevima informacija. Time se izbjegava ispitanicima odjednom pružiprekomjerna količina informacija, što može štetiti transparentnosti i ugušiti ispitanika informacijama. Primjena slojevitog pristupa slijedi zahtjev sažetosti i zahtjev za pružanje svih potrebnih informacija. To ne samo da pojednostavnjuje zadatak voditelja obrade, već i omogućuje ispitaniku da brzo i učinkovito shvati bitne informacije. Prikaz informacija mogao bi biti kako slijedi:

  • Prvi sloj osnovnih informacija
    • ŠTO? Organizacija pruža sažetak osnovnih informacija koje su ispitaniku potrebne za procjenu učinka i opsega obrade (tj. identitet voditelja obrade, svrhe obrade, kategorije primatelja, izvor podataka, prava ispitanika...).
    • KAKO? Na primjer, u obliku tablice, na jasno vidljivom mjestu s naslovom „Osnovne informacije o zaštiti podataka” ili skočnim prozorima u kojima se navode objašnjenja pri prikupljanju osobnih podataka. Ako se obrada temelji na privoli, poželjno je navesti te informacije na mjestu na kojem ispitanik mora dati privolu (blizu gumba „privola”).
  • Drugi sloj dodatnih i detaljnijih informacija
    • ŠTO? U ovom se dijelu na razumljiv i sveobuhvatan način navode preostale informacije koje organizacija mora dostaviti u skladu s člancima 13. i 14. Opće uredbe o zaštiti podataka.
    • KAKO? Dodatne informacije mogu se pružiti na nekoliko načina, primjerice putem poveznica uključenih u osnovne informacije ili preuzimanjem dokumenta. Pružanjem tih dodatnih informacija trebala bi se osigurati ravnoteža između sažetosti s jedne strane i potpunosti i točnosti s druge strane. Informacije bi trebale biti strukturirane tako da su lako čitljive. Ne zaboravite prilagoditi informacije ciljnoj skupini (na primjer: ako je vaša usluga usmjerena na djecu, napišite informacije na način koji mogu razumjeti).

Pravo na pristup

Ostvarivanjem prava na pristup ispitanici mogu provjeriti zakonitost svake aktivnosti obrade koja se na njih odnosi.

Kada ostvaruju svoje pravo na pristup, ispitanici bi trebali dobiti potvrdu voditelja obrade o tome obrađuju li se njihovi osobni podaci. Ako je to slučaj, ispitanici imaju pristup svojim osobnim podacima i sljedećim informacijama:

  • svrhe obrade;
  • kategorije predmetnih osobnih podataka;
  • primateljima (ili kategorijama primatelja) osobnih podataka;
  • razdoblje čuvanja osobnih podataka ili kriterije upotrijebljene za određivanje tog razdoblja;
  • postojanje prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili pravo na prigovor na takvu obradu;
  • postojanje prava na podnošenje pritužbe tijelu za zaštitu podataka;
  • izvor podataka (kada se osobni podaci ne prikupljaju izravno od ispitanika);
  • postojanje automatiziranog donošenja odluka, uključujući izradu profila, smislene informacije o logici o kojoj je riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika;
  • kada se osobni podaci prenose iz Europske unije, sve odgovarajuće zaštitne mjere uspostavljene (u skladu s člankom 46. Opće uredbe o zaštiti podataka koji se odnosi na prijenos podataka).

Nadalje, osoba ima pravo (besplatno) dobiti kopiju osobnih podataka koji se na njih odnose, a koje vaša organizacija obrađuje. Ako osoba zatraži dodatne preslike, vaša organizacija može odlučiti naplatiti razumnu naknadu koja se izračunava na temelju administrativnih troškova izrade preslika. Imajte na umu da se u većini slučajeva od pojedinaca ne može zahtijevati plaćanje naknade za pristup svojim osobnim podacima.

Ako je zahtjev podnesen elektroničkim putem, vaša bi organizacija trebala dostaviti tražene informacije u uobičajenom elektroničkom obliku, osim ako pojedinac zatraži drukčije.

Važno je napomenuti

Prije nego što dostavite kopiju osobnih podataka, morate provjeriti da to neće utjecati na prava i slobode drugih (npr. ako se informacije koje se odnose na više od jedne osobe obrađuju u istoj datoteci ili informacije koje se odnose na poslovne tajne i intelektualno vlasništvo).

Pravo na ispravak

Ispitanik ima pravo zatražiti i dobiti od voditelja obrade ispravak netočnih podataka i dopunu nepotpunih podataka. Ako je vaša organizacija proslijedila osobne podatke trećim stranama, morate ih obavijestiti o ispravku, osim ako se to pokaže nemogućim ili zahtijeva nerazmjerne napore.

U praksi

  • Klijent obavještava vašu organizaciju da je preselio u drugi grad. Morate promijeniti njegovu adresu u svojoj bazi podataka klijenata.

Pravo na brisanje (pravo na zaborav)

Osoba čiji se podaci obrađuju može zatražiti da organizacija izbriše osobne podatke koji se na njega odnose u sljedećim situacijama:

  • osobni podaci više nisu potrebni u svrhu za koju su prikupljeni
  • organizacija obrađuje osobne podatke nezakonito
  • organizacija mora izbrisati osobne podatke zbog zakonske obveze
  • ispitanik povlači privolu i obrada nema drugu pravnu osnovu
  • ispitanik je uspješno iskoristio pravo na prigovor
  • maloljetnici koji su dali privolu za korištenje internetske usluge uvijek mogu zatražiti brisanje takvih osobnih podataka (bez obzira na njihovu trenutačnu dob).

Ako su osobni podaci koje treba izbrisati prethodno preneseni drugim organizacijama, morate obavijestiti te primatelje da je ispitanik zatražio brisanje, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjerne napore.

Kada je vaša organizacija dužna izbrisati osobne podatke koje je objavila, mora poduzeti sve razumne korake kako bi obavijestila druge voditelje obrade koji obrađuju te podatke da je ispitanik zatražio brisanje svih poveznica na te osobne podatke ili kopiju tih osobnih podataka.

Vaša organizacija može odbiti brisanje osobnih podataka samo u ograničenom broju slučajeva, kao što su:

  • ostvarivanje prava na slobodu izražavanja i informiranja;
  • uspostavu, ostvarivanje ili obranu pravnih zahtjeva;
  • usklađenost s pravnom obvezom kojoj podliježe organizacija ili izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti povjerene organizaciji;
  • razlozima javnog interesa u području javnog zdravlja;
  • svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe (pod posebnim uvjetima).

U praksi

  • Zaposlenik iz vaše organizacije je otpušten. Zaposlenik traži da se njegovi osobni podaci izbrišu iz njegove osobne datoteke. Međutim, zakonom o radu propisano je da tijekom određenog razdoblja morate čuvati nekoliko dokumenata u području ljudskih resursa (registar članova osoblja, preslike platnih isprava itd.). Za te dokumente morate odbiti zahtjev za brisanje podataka.
  • Bivši klijent više ne želi primati marketinške poruke e-pošte od vaše organizacije i zahtijeva da izbrišete njihove podatke za kontakt. Budući da ne postoje uvjerljivi razlozi za nastavak obrade podataka za kontakt, morate ih izbrisati.

Pravo na ograničenje obrade

U određenim okolnostima ispitanici mogu zatražiti ograničenje obrade svojih podataka. Kao rezultat toga, vaša organizacija može zadržati osobne podatke, ali mora prestati sa svim ostalim aktivnostima obrade.

Ispitanik ima pravo ishoditi ograničenje obrade podataka kada:

  • ispitanik osporava točnost osobnih podataka;
  • obrada je nezakonita: umjesto brisanja podataka, osoba čiji se podaci obrađuju može umjesto toga zatražiti ograničenje uporabe osobnih podataka;
  • organizaciji više nisu potrebni osobni podaci, ali su podaci i dalje nužni kako bi ispitanik mogao ostvariti pravni zahtjev;
  • ispitanik je ostvario pravo na prigovor. Ograničenje se primjenjuje onoliko dugo koliko je potrebno kako bi se provjerilo imaju li legitimni razlozi organizacije prednost pred razlozima ispitanika.

Ako ispitanik uspješno iskoristi svoje pravo na ograničenje obrade, Vaša organizacija može koristiti podatke samo u određenim posebnim okolnostima, na primjer uz pristanak ispitanika ili za obranu pravnih zahtjeva. Jeste li prethodno proslijedili „ograničene” podatke drugim primateljima? Zatim morate obavijestiti te primatelje o ograničenju obrade, osim ako se to pokaže nemogućim ili zahtijeva nerazmjerne napore.

Prije ukidanja ograničenja svakako obavijestite ispitanika o svojoj namjeri da to učinite.

Pravo na prenosivost podataka

Pravo na prenosivost podataka omogućuje ispitanicima da svoje osobne podatke dobiju u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu. Na taj način mogu jednostavno ponovno upotrijebiti podatke i, ako to žele, prenijeti svoje podatke drugom voditelju obrade podataka. Pravo na prenosivost podataka može se ostvariti samo ako su istodobno ispunjena ta tri uvjeta:

  • obrada se temelji na privoli ili ugovoru;
  • obrada je automatizirana (tj. nema papirnatih dokumenata);
  • a ispitanici su sami dostavili podatke. To uključuje i sve podatke koje je vaša organizacija primijetila na temelju ponašanja ispitanika (npr.uporabom povezanih uređaja).

Stoga se ovo pravo ne odnosi na podatke koje sama organizacija stvara na temelju gore navedenih podataka.

Konkretnije, ispitanici imaju pravo:

  • za dobivanje svojih osobnih podataka u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu. Format mora omogućiti ispitaniku ponovnu uporabu osobnih podataka za drugu uslugu.
    Primjer: XML, JSON i CSV uobičajeni su formati koji ispunjavaju taj kriterij. Metapodaci se također moraju dostaviti kako bi se podaci mogli upotrebljavati na drugoj platformi. PDF format nije dovoljan.
  • da se njihovi osobni podaci izravno prenesu drugom voditelju obrade. Vaša bi organizacija to trebala učiniti samo ako je takav izravan prijenos tehnički moguć.
     

U praksi

  • Vaša organizacija pruža usluge internetskog prijenosa glazbe. Vaši klijenti mogu zatražiti prijenos svojih popisa pjesama na drugu uslugu za streaming glazbe.
  • Vi ste MSP koji nudi uslugu internetske pošte. Ako vaš klijent koji ima račun e-pošte za isključivo osobne potrebe ili potrebe kućanstva to zatraži, morate prenijeti popis adresa i e-pošte na drugu uslugu web-pošte pod uvjetom da je to tehnički izvedivo. Ako to nije moguće, morate kupcu dostaviti popis adresa i e-poštu u digitalnom formatu koji se može ponovno upotrijebiti.

Pravo na prigovor

Osobe čiji se podaci obrađuju mogu uložiti prigovor na obradu osobnih podataka koji se na njih odnose „zbog njihove posebne situacije”. Pravo na prigovor može se ostvariti samo ako se obrada temelji na jednoj od sljedećih pravnih osnova:

  • legitimni interes organizacije ili treće strane; ili
  • izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti.

U drugim situacijama ispitanik ne može koristiti pravo na prigovor jer za druge pravne osnove postoje alternative za postizanje iste svrhe: u slučaju privole, ispitanik može jednostavno povući privolu. Ispitanik ne može uložiti prigovor na obradu propisanu zakonom.

Kada ispitanici ostvaruju svoje pravo na prigovor, vaša organizacija mora uravnotežiti interese obiju strana. Organizacija će prestati s obradom ovih osobnih podataka, osim ako može dokazati uvjerljive legitimne razloge koji nadilaze prava i slobode ispitanika (npr. pokreće sudski postupak). Vaša organizacija mora dokumentirati i priopćiti te razloge ispitaniku.

Važno je napomenuti

Kada se podaci obrađuju u marketinške svrhe, ispitanik ima pravo prigovora na ovu obradu bez navođenja bilo kakvih razloga. U tom slučaju razlozi zbog kojih vaša organizacija obrađuje te podatke nisu relevantni, umjesto toga prigovor mora dovesti do neposrednog završetka obrade u tu svrhu.

U praksi

  • Organizacija je malo marketinško poduzeće . Kada osoba kupi ulaznicu za koncert na internetu, dobiva oglase za druge slične koncerte. Ako osoba želi prestati primati ove oglase i prigovori na obradu svojih osobnih podataka u svrhu slanja oglasa , organizacija mora zaustaviti izravni marketing.
  • Organizacija je malo poduzeće iz sektora osiguranja. U toj su industriji osobni podaci potrebni u određenim situacijama kako bi se suzbile prakse pranja novca. Kao posrednik u osiguranju možete odbiti postupiti u skladu s pravom na prigovor jer vas vaši nacionalni zakoni o sprečavanju pranja novca obvezuju na obradu podataka.

Pravo ne podliježe odluci koja se temelji isključivo na automatiziranoj obradi

Osoba ima pravo ne biti predmet potpuno automatizirane odluke (tj. odluke bez ljudske intervencije prilikom postupka donošenja odluke) koja ima pravne učinke ili znatno utječe na dotičnu osobu.

Automatizirano donošenje odluka često je usko povezano s profiliranjem, koje je u Općoj uredbi o zaštiti podataka definirano kao „svaki oblik automatizirane obrade osobnih podataka koji se sastoji od upotrebe osobnih podataka za procjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskom situacijom, zdravljem, osobnim preferencijama, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem pojedinca” (članak 4. stavak 4. Opće uredbe o zaštiti podataka).

Kako bi se to pravo primijenilo, automatizirana obrada mora uključivati:

  • odluka se temelji isključivo na automatiziranoj obradi, bez ljudske intervencije. To znači da nijedna fizička osoba nema znatniji nadzor nad odlukom i ne može, na primjer, promijeniti ili poništiti odluku;
  • odluka proizvodi pravne učinke za ispitanike ili na njih znatno utječe.

U praksi

  • Primjer pravnih učinaka mogao bi biti automatski raskid ugovora o pružanju telefonskih usluga jer kupac nije platio mjesečni račun.
  • Odluka koja znatno utječe na osobu može se pronaći u sljedećim primjerima (iako se, naravno, kontekst uvijek mora uzeti u obzir pri procjeni je li učinak na ispitanika znatan):
    • odluke koje utječu na financijske okolnosti ljudi, kao što je njihova prihvatljivost za odobrenje kredita;
    • automatsko odbijanje podnositelja zahtjeva za posao koji se prijave putem internetske platforme;
    • diferencijacija cijena na temelju povijesti pregledavanja i kupovnih navika potrošača;
    • odluke koje utječu na nečiji pristup obrazovanju, na primjer upis na sveučilište.
       

Postoje tri situacije u kojima se automatizirana pojedinačna odluka još uvijek može donijeti:

  • ako je to dopušteno zakonom (npr. sprečavanje prijevare ili utaje poreza);
  • ako se odluka temelji na izričitoj privoli ispitanika; ili
  • ako je to potrebno za sklapanje ili izvršenje ugovora. Međutim, imajte na umu da u ovoj posljednjoj situaciji ona uvijek ovisi o procjeni pojedinačnih slučajeva. Čim za sklapanje ili izvršenje ugovora postoje manje invazivne metode kojima se štiti privatnost, automatizirana odluka više se ne smatra „nužnom”.

Ako su uključeni osjetljivi podaci, automatizirano donošenje odluka moguće je samo na temelju izričite privole ili znatnog javnog interesa u skladu s pravom Unije ili nacionalnim pravom.

Prava ispitanika za svaku pravnu osnovu