Легитимни интерес као правни основ за обраду података о личности
За сваку обраду података о личности која се врши, у целини или делимично, на аутоматизован начин, као и за неаутоматизовану обраду података о личности који чине део збирке података или су намењени збирци података, мора постојати одговарајући правни основ. Легитимни интерес руковаоца или треће стране је један од шест могућих правних основа које предвиђа Закона о заштити података о личности (у даљем тексту: Закон, или ЗЗПЛ), који се, сажето речено, огледа у стварној, конкретној и правно допуштеној користи руковаоца или треће стране, за чије остваривање је неопходна обрада одређених података о личности и над којом не претежу интереси или основна права и слободе лица на које се подаци односе.
ЗЗПЛ, поред тога, као могући правни основ обраде предвиђа и:
- пристанак - лице на које се односе подаци који се обрађују даје пристанак за једну или више посебно одређених сврха обраде;
- уговор – обрада је неопходна за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев лица на које се подаци односе, пре закључења уговора;
- правну обавезу руковаоца - обрада је неопходна у циљу поштовања прописаних обавеза руковаоца;
- животно важне интересе - обрада је неопходна у циљу заштите животно важних интереси лица на које се подаци односе или другог физичког лица;
- јавни интерес - обрада је неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца.
Како би обрада података била законита, у смислу ЗЗПЛ, руковалац треба да се у сваком конкретном случају определи за онај правни основ обраде који одговара специфичним околностима под којима се обрада врши.
Руковалац, међутим, треба да води рачуна о томе да се законитост одређене обраде не своди само на избор одговарајућег правног основа за обраду, већ укључује поштовање свих начела обраде која су утврђена чланом 5. ЗЗПЛ, као и извршавање свих обавеза прописаних тим законом, као што су, примера ради: вођење евиденције радњи обраде, одређивање лица за заштиту података, омогућавање лицима чији се подаци обрађују да остваре своја права у вези са обрадом и др.
Члан 12. став 1. Закона о заштити података о личности (у даљем тексту: Закон, или ЗЗПЛ) прописује да је обрада законита само ако је испуњен један од услова из тачке 1) до 6) тог става, па између осталог, и ако је обрада:
„неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице“ (тачка 6).
Сагласно цитираној одредби Закона, услови који треба да буду испуњени да би легитимни интерес био законит правни основ обраде података о личности су:
- постојање одређеног легитимног интереса руковаоца/треће стране;
- неопходност обраде;
- претежност легитимног интереса над интересима или основним правима и слободама лица на које се подаци односе;
Према томе, легитимни интерес не треба аутоматски узимати као правни основ за обраду у ситуацији у којој други правни основ није применљив, нити је за његову примену довољна само констатација да за одређену обраду постоји легитимни интерес руковаоца/треће стране, већ, да би обрада која се заснива на легитимном интересу била законита са становишта ЗЗПЛ, потребно је пре отпочињања намераване обраде утврдити да су за ту обраду испуњени (горе наведени) Законом прописани услови.
Уз то, како би руковалац био у могућности да, у складу са начелом „законитости, поштења и транспарентности“ и начелом „одговорности за поступање“ из члана 5. Закона, предочи да се обрада заснована на легитимном интересу врши у складу са Законом, потребно је да испуњеност наведених услова буде документована.
Практично, ово значи да, иако таква обавеза није изричито прописана, руковалац, пре започињања намераване обраде података о личности, треба да изврши пажљиву процену испуњености услова за примену легитимног интереса као правног основа за обраду и тек након тога донесе одлуку о могућности отпочињања обраде. Када се руковалац одлучи да врши обраду на основу легитимног интереса потребно је да о претходно извршеној процени легитимног интереса сачини писани акт. Не постоји обавезујућа форма у којој поменути акт треба да буде сачињен.
Руковалац који је, у складу са Законом, донео акт о процени утицаја обраде на заштиту података о личности, нема обавезу да сачини и посебан акт о процени легитимног интереса, с обзиром на то да акт о процени утицаја мора да садржи и опис легитимног интереса, ако се обрада заснива на том правном основу.
Шта се може сматрати легитимним интересом?
Први корак руковаоца приликом процене испуњености услова за примену легитимног интереса као правног основа за обраду је да утврди специфичан циљ који жели да оствари намераваном обрадом, односно позитиван исход који би проистекао као резултат намераване обраде. Тај циљ се може огледати у одређеној користи за самог руковаоца, или за трећу страну, тј. за одређеног појединца, организацију, или јавност уопште.
Подразумева се да циљ који није правно допуштен, или није у складу са професионалним стандардима одређеног сектора/гране/области не може представљати легитимни интерес за обраду података о личности.
Уз то, потребно је да руковалац буде јасан и одређен у погледу конкретног циља намераване обраде, уместо позивања на неки уопштен пословни интерес као свој легитимни интерес за обраду података о личности (као што је, примера ради, повећање профита компаније).
Ради идентификације циља обраде, руковаоцу ће помоћи да одговори на питања о томе:
- зашто жели да обрађује одређене податке;
- коју непосредну корист очекује да оствари намераваном обрадом;
- да ли би још неко имао користи од намераване обраде;
- да ли би обрада била корисна за ширу заједницу;
- колико су важне користи које се могу остварити обрадом;
- која би била последица одустајања од намераване обраде и сл.
Појам „легитимни интерес” не треба поистовећивати са појмом „сврха“. Наиме, „легитимни интерес”, у контексту ЗЗПЛ, представља шири појам и односи се на шири смисао или разлог обраде података. Примера ради, интерес јавног предузећа да са клијентима и/или партнерима изгради односе засноване на поверењу може бити легитимни интерес, у смислу ЗЗПЛ, за објављивање података о зарадама лица на руководећим местима у том јавном предузећу, док би сврха обраде података у том случају могла да буде промовисање транспарентности и одговорности у раду.
Како проценити да ли је обрада неопходна?
Следећи корак је утврђивање неопходности намераване обраде за остваривање циља који је претходно идентификован.
Руковалац, полазећи од околности конкретног случаја, треба нарочито да процени:
- да ли обрада заиста омогућава постизање циља;
- да ли се циљ може остварити без обраде података о личности (нпр. обрадом анонимизованих података);
- да ли се циљ може остварити обрадом мањег броја података или обрадом на мање инвазиван начин.
Ако обрада није нужна за остварење циља, или се циљ обраде може постићи без обраде података о личности или на мање инвазиван начин по приватност лица (нпр. обрадом мање количине података, друге врсте података и сл.), онда намеравана обрада није неопходна, и не може се сматрати да је испуњен овај услов из члана 12. став 1. тачка 6) Закона.
Како утврдити претежност интереса?
Након утврђивања циља и неопходности намераване обраде, следећи корак је провера претежности интереса.
У овој фази, најпре је потребно размотрити врсте података чија се обрада намерава, а нарочито:
- да ли се ради о подацима који спадају у посебну врсту података о личности;
- да ли се ради о подацима који се односе на кривичне пресуде, кажњива дела и мере безбедности;
- да ли се ради о другим подацима који се уобичајено сматрају поверљивим (као што су подаци о стању на банковном рачуну физичког лица и сл.);
- да ли су у питању подаци о малолетним лицима или о појединцима који припадају другим осетљивим друштвеним групама, као што су, примера ради, незапослена лица, старији, самохрани родитељи и др;
- да ли се подаци односе на појединца у његовом личном или професионалном капацитету.
Што подаци чија се обрада намерава више задиру у приватност лица на које се односе, већа је вероватноћа да ће њихова обрада подразумевати већи ризик за права и слободе лица, те да ће потреба заштите тих права бити претежнија у односу на корист коју руковалац намерава да оствари.
Затим, потребно је објективно размотрити да ли просечна особа може разумно очекивати да ће руковалац вршити обраду њених података у датим околностима. Ово зато што, уколико је обрада неочекивана, појединци губе контролу над својим подацима, што може довести, између осталог, и до онемогућавања остваривања њихових права.
У том смислу, релевантни фактори могу бити:
- да ли руковалац већ врши обраду података о одређеном лицу и по ком правном основу;
- да ли су руковалац и лице на које се односе подаци у односу који по својој природи подразумева виши степен поверљивости (примера ради: лекар-пацијент);
- да ли су подаци прикупљени непосредно од лица на које се односе, или из другог извора;
- које информације у вези са обрадом је руковалац дао физичком лицу приликом прикупљања података, или накнадно, уколико подаци нису прикупљени од лица на које се односе;
- колико је времена протекло од прикупљања података;
- да ли су циљ и начин намераване обраде уобичајени;
- да ли руковалац намерава да уведе нешто ново или иновативно;
- да ли је руковалац, путем анкете, упитника, или на други начин прикупио податке о очекивањима физичких лица;
- да ли постоје други показатељи који указују на то да у датим околностима лица очекују, односно не очекују обраду својих података.
Коначно, руковалац треба да узме у обзир и процени последице које намеравана обрада може да проузрокује по интересе и основна права и слободе лица о чијим је подацима реч.
Интереси и основна права и слободе лица примарно се тичу права на заштиту података о личности и права на приватност, али тичу се и права на: слободу изражавања, слободу мисли, савести и вероисповести, слободу кретања, слободу окупљања, забрану дискриминације и других основних људских права и слобода.
Руковалац, дакле, треба да размотри могуће узроке, тј. могуће изворе одређених последица, као и вероватноћу и озбиљност њиховог настанка, а нарочито могуће изворе, вероватноћу и озбиљност било ког вида штете (материјалне и нематеријалне) по интересе, права и слободе лица, до којих би могло доћи услед намераване обраде података о личности.
Ови узроци зависе од околности сваке обраде и могу се појављивати услед: својстава опреме која се користи приликом обраде, начина обраде, лица која врше обраду и/или имају приступ подацима, правног оквира за обраду, друштвених вредности, јавног мњења и др.
За сваки препознати могући узрок руковалац треба да процени вероватноћу његовог појављивања и озбиљност штете коју може нанети по интересе, права и слободе лица о чијим се подацима ради.
У том смислу, примера ради, руковалац треба да узме у обзир могућност да одређени узрок допринесе:
- отежавању или онемогућавању остваривања права и слобода лица;
- губитку контроле над подацима;
- материјалном губитку;
- настанку било ког вида економске или социјалне дискриминације лица и сл.
На основу анализе вероватноће појављивања одређеног узрока и озбиљности штете која услед тога може настати врши се процена нивоа ризика по интересе, права и слободе лица о чијим се подацима ради (нпр. није релевантно/низак/умерен/висок).
Полазећи од резултата извршене анализе, руковалац треба да процени да ли је у конкретном случају заштита права лица пропорционална очекиваној користи, или штета по права лица превазилази могућу корист, у ком случају легитимни интерес, највероватније, неће бити адекватан правни основ намераване обраде.
Руковалац, такође, може да размотри предузимање додатних мера заштите које ће применити како би умањио могућност настанка штете и/или ублажио њене последице по права лица.
Да ли лице има право да се успротиви обради заснованој на легитимном интересу?
Уколико се обрада података о личности врши у складу са чланом 12. став 1. тачка 6) ЗЗПЛ, лице о чијим подацима је реч има право да у сваком тренутку руковаоцу поднесе приговор на обраду његових података, у складу са чланом 37. Закона.
Подношење приговора има за последицу то да је руковалац дужан да прекине са обрадом података о лицу које је поднело приговор, осим ако је предочио да постоје законски разлози за обраду који претежу над интересима, правима или слободама лица на које се подаци односе или су у вези са подношењем, остваривањем или одбраном правног захтева.
Уколико руковалац одбије приговор, дужан је да, у складу са Законом, о разлозима одбијања, као и о праву на подношење притужбе Поверенику, односно тужбе суду, обавести подносиоца приговора.
Наведено намеће додатан опрез руковаоцима, и говори у прилог томе да они не би требало олако да се опредељују за овај правни основ обраде података о личности.
Да ли органи власти могу користити легитимни интерес као правни основ за обраду података о личности?
Чланом 12. став 2. ЗЗПЛ прописано је да се став 1. тачка 6) тог члана не примењује на обраду коју врши орган власти у оквиру своје надлежности.
Дакле, законодавац је искључио могућност примене легитимног интереса као правног основа за обраду података о личности од стране органа власти у случају када се обрада врши у оквиру надлежности органа.
Да ли се легитимни интерес може користити као правни основ за обраду података о личности деце?
Закон не искључује ту могућност. Међутим, субјектима који намеравају да овај правни основ користе за обраду података о личности деце намеће се додатан опрез и пажња како би се осигурало да је циљ који се жели постићи допуштен, да је намеравана обрада неопходна за постизање циља и да су интереси и права деце заштићени, посебно имајући у виду осетљивост ове категорије лица, као и последице које обрада података о њима може да проузрокује.
Да ли се легитимни интерес може користити као правни основ за обраду посебних врста података о личности из члана 17. ЗЗПЛ?
Законом није апсолутно искључена могућност примене легитимног интереса у случају обраде посебних врста података о личности из члана 17. Закона, а то је обрада којом се открива: расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, генетски подаци, биометријски подаци у циљу јединствене идентификације лица, подаци о здравственом стању, подаци о сексуалном животу или сексуалној оријентацији физичког лица.
Међутим, с обзиром на то да је обрада посебних врста података начелно забрањена Законом и допуштена само као изузетак до кога може доћи у случајевима који су таксативно наведени у члану 17. став 2. Закона, руковалац који намерава да обраду посебних врста података врши на основу легитимног интереса, има обавезу и да докаже да се у конкретној ситуацији ради о одговарајућем случају из члана 17. став 2. Закона.
Ипак, осетљива природа посебних врста података и Законско опредељење да се осигура висок ниво њихове заштите, подразумевају већи ризик по интересе, права и слободе лица о чијим подацима је реч, те се може очекивати и да ће резултат процене претежности интереса чешће бити у корист интереса лица чије здравствене, генетске, синдикалне и др. податке из члана 17. Закона руковалац жели да обрађује.
С друге стране, када је у питању обрада посебних врста података о личности у великом обиму, руковалац мора имати у виду обавезу да, пре него што започне са обрадом, изврши процену утицаја предвиђених радњи обраде на заштиту података о личности, утврђену одредбама члана 54. Закона.
Да ли привредно друштво, у сврху непосредног оглашавања, може користити легитимни интерес као правни основ за обраду података о личности у складу са ЗЗПЛ?
Не. Законом о оглашавању („Службени гласник РС“, бр. 6/16 и 52/19 – др. закон), у члану 63. утврђено је да је за директно оглашавање (упућивање огласне поруке) према физичким лицима потребна њихова претходна сагласност, која се може опозвати у сваком моменту, а оглашивач, односно преносилац огласне поруке, мора то да омогући. Утврђено је, такође, да се директно оглашавање према физичким лицима врши у складу са правилима о оглашавању путем средстава комуникације на даљину у складу са прописом који уређује заштиту потрошача.
Чланом 38. Закона о заштити потрошача („Службени гласник РС“, бр. 62/14, 6/16 – др. закон и 44/18 – др. закон) утврђено је да је забрањено непосредно оглашавање телефоном, факсом, електронском поштом, и другим средствима комуникације на даљину, без претходног пристанка потрошача.
Сходно томе, правни основ за обраду података о личности у сврху директног маркетинга јесте пристанак лица на које се односе подаци који се обрађују.
Иако је такво решење строжије од захтева Опште уредбе о заштити података, у чијој преамбули, у тачки 47), поред осталог, стоји да се може сматрати да постоји легитиман интерес код обраде података о личности за потребе директног маркетинга, оно није у супротнсти са Општом уредбом из разлога што је тим прописом ЕУ примена легитимног интереса као правног основа за обраду података о личности у сврху директног маркетинга предвиђена као могућност, те свака држава може да уреди то питање и на другачији начин у складу са својим правним системом, водећи рачуна и о другим правним актима ЕУ који регулишу одговарајуће области друштвених односа.
Да ли послодавац, на основу легитимног интереса, може од лица са којим намерава да закључи уговор о раду, или да га на други начин радно ангажује, тражити извод из казнене евиденције, односно уверење да то лице није осуђивано и да се против њега не води кривични, односно истражни поступак?
Сагласно одредбама члана 19. став 1. ЗЗПЛ, обрада података о личности који се односе на кривичне пресуде, кажњива дела и мере безбедности може се вршити на основу члана 12. став 1. тог закона, али само под надзором надлежног органа или, ако је обрада допуштена законом, уз примену одговарајућих посебних мера заштите права и слобода лица на које се подаци односе.
Обрада података о личности у области рада и запошљавања, међутим, представља један од посебних случајева обраде, па је тако у члану 91. став 1. Закона прописано да се на обраду у тим областима примењују одредбе закона којима се уређује рад и запошљавање и колективни уговори, уз примену одредаба тог закона.
Сагласно цитираним одредбама Закона, послодавац, као руковалац, у сврху закључења уговора о раду, односно у сврху радног ангажовања одређеног лица, може прикупљати и даље обрађивати само оне податке који се односе на то лице чија обрада представља обавезу или овлашћење послодавца предвиђено законом којим се уређује рад, односно запошљавање.
Ово значи да, од шест могућих правних основа за обраду података о личности који су предвиђени чланом 12. став 1. Закона, послодавац, у сврху закључења уговора о раду, односно у сврху радног ангажовања одређеног лица, може вршити обраду која је неопходна у циљу поштовања правних обавеза руковаоца, у смислу тачке 3), или обраду која је неопходна у циљу извршења законом прописаних овлашћења руковаоца, у смислу тачке 5) наведеног члана Закона.
Сходно томе, послодавац не би требало да прибегава коришћењу легитимног интереса руковаоца или треће стране, у смислу члана 12. став 1. тачка 6) Закона, за обраду података о личности у сврху закључења уговора о раду, односно у сврху радног ангажовања одређеног лица.