POVERENIK
ZA INFORMACIJE OD JAVNOG ZNAČAJA
I ZAŠTITU PODATAKA O LIČNOSTI

logo novi


POVERENIK
ZA INFORMACIJE OD JAVNOG ZNAČAJA
I ZAŠTITU PODATAKA O LIČNOSTI



logo novi

POVERENIK
ZA INFORMACIJE OD JAVNOG ZNAČAJA I ZAŠTITU PODATAKA O LIČNOSTI

Čitaj mi

Legitimni interes kao pravni osnov za obradu podataka o ličnosti

Za svaku obradu podataka o ličnosti koja se vrši, u celini ili delimično, na automatizovan način, kao i za neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka, mora postojati odgovarajući pravni osnov. Legitimni interes rukovaoca ili treće strane je jedan od šest mogućih pravnih osnova koje predviđa Zakona o zaštiti podataka o ličnosti (u daljem tekstu: Zakon, ili ZZPL), koji se, sažeto rečeno, ogleda u stvarnoj, konkretnoj i pravno dopuštenoj koristi rukovaoca ili treće strane, za čije ostvarivanje je neophodna obrada određenih podataka o ličnosti i nad kojom ne pretežu interesi ili osnovna prava i slobode lica na koje se podaci odnose.

           ZZPL, pored toga, kao mogući pravni osnov obrade predviđa i:

  • pristanak - lice na koje se odnose podaci koji se obrađuju daje pristanak za jednu ili više posebno određenih svrha obrade;
  • ugovor – obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
  • pravnu obavezu rukovaoca - obrada je neophodna u cilju poštovanja propisanih obaveza rukovaoca;
  • životno važne interese - obrada je neophodna u cilju zaštite životno važnih interesi lica na koje se podaci odnose ili drugog fizičkog lica;
  • javni interes - obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.

            Kako bi obrada podataka bila zakonita, u smislu ZZPL, rukovalac treba da se u svakom konkretnom slučaju opredeli za onaj pravni osnov obrade koji odgovara specifičnim okolnostima pod kojima se obrada vrši.

Rukovalac, međutim, treba da vodi računa o tome da se zakonitost određene obrade ne svodi samo na izbor odgovarajućeg pravnog osnova za obradu, već uključuje poštovanje svih načela obrade koja su utvrđena članom 5. ZZPL, kao i izvršavanje svih obaveza propisanih tim zakonom, kao što su, primera radi: vođenje evidencije radnji obrade, određivanje lica za zaštitu podataka, omogućavanje licima čiji se podaci obrađuju da ostvare svoja prava u vezi sa obradom i dr.

Član 12. stav 1. Zakona o zaštiti podataka o ličnosti (u daljem tekstu: Zakon, ili ZZPL) propisuje da je obrada zakonita samo ako je ispunjen jedan od uslova iz tačke 1) do 6) tog stava, pa između ostalog, i ako je obrada:

„neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice“ (tačka 6).

Saglasno citiranoj odredbi Zakona, uslovi koji treba da budu ispunjeni da bi legitimni interes bio zakonit pravni osnov obrade podataka o ličnosti su:

  • postojanje određenog legitimnog interesa rukovaoca/treće strane;
  • neophodnost obrade;
  • pretežnost legitimnog interesa nad interesima ili osnovnim pravima i slobodama lica na koje se podaci odnose;

Prema tome, legitimni interes ne treba automatski uzimati kao pravni osnov za obradu u situaciji u kojoj drugi pravni osnov nije primenljiv, niti je za njegovu primenu dovoljna samo konstatacija da za određenu obradu postoji legitimni interes rukovaoca/treće strane, već, da bi obrada koja se zasniva na legitimnom interesu bila zakonita sa stanovišta ZZPL, potrebno je pre otpočinjanja nameravane obrade utvrditi da su za tu obradu ispunjeni (gore navedeni) Zakonom propisani uslovi.

Uz to, kako bi rukovalac bio u mogućnosti da, u skladu sa načelom „zakonitosti, poštenja i transparentnosti“ i načelom „odgovornosti za postupanje“ iz člana 5. Zakona, predoči da se obrada zasnovana na legitimnom interesu vrši u skladu sa Zakonom, potrebno je da ispunjenost navedenih uslova bude dokumentovana.

Praktično, ovo znači da, iako takva obaveza nije izričito propisana, rukovalac, pre započinjanja nameravane obrade podataka o ličnosti, treba da izvrši pažljivu procenu ispunjenosti uslova za primenu legitimnog interesa kao pravnog osnova za obradu i tek nakon toga donese odluku o mogućnosti otpočinjanja obrade. Kada se rukovalac odluči da vrši obradu na osnovu legitimnog interesa potrebno je da o prethodno izvršenoj proceni legitimnog interesa sačini pisani akt. Ne postoji obavezujuća forma u kojoj pomenuti akt treba da bude sačinjen.

Rukovalac koji je, u skladu sa Zakonom, doneo akt o proceni uticaja obrade na zaštitu podataka o ličnosti, nema obavezu da sačini i poseban akt o proceni legitimnog interesa, s obzirom na to da akt o proceni uticaja mora da sadrži i opis legitimnog interesa, ako se obrada zasniva na tom pravnom osnovu.

Šta se može smatrati legitimnim interesom?

Prvi korak rukovaoca prilikom procene ispunjenosti uslova za primenu legitimnog interesa kao pravnog osnova za obradu je da utvrdi specifičan cilj koji želi da ostvari nameravanom obradom, odnosno pozitivan ishod koji bi proistekao kao rezultat nameravane obrade. Taj cilj se može ogledati u određenoj koristi za samog rukovaoca, ili za treću stranu, tj. za određenog pojedinca, organizaciju, ili javnost uopšte.

Podrazumeva se da cilj koji nije pravno dopušten, ili nije u skladu sa profesionalnim standardima određenog sektora/grane/oblasti ne može predstavljati legitimni interes za obradu podataka o ličnosti.

Uz to, potrebno je da rukovalac bude jasan i određen u pogledu konkretnog cilja nameravane obrade, umesto pozivanja na neki uopšten poslovni interes kao svoj legitimni interes za obradu podataka o ličnosti (kao što je, primera radi, povećanje profita kompanije).

Radi identifikacije cilja obrade, rukovaocu će pomoći da odgovori na pitanja o tome:

  • zašto želi da obrađuje određene podatke;
  • koju neposrednu korist očekuje da ostvari nameravanom obradom;
  • da li bi još neko imao koristi od nameravane obrade;
  • da li bi obrada bila korisna za širu zajednicu;
  • koliko su važne koristi koje se mogu ostvariti obradom;
  • koja bi bila posledica odustajanja od nameravane obrade i sl.

Pojam „legitimni interes” ne treba poistovećivati sa pojmom „svrha“. Naime, „legitimni interes”, u kontekstu ZZPL, predstavlja širi pojam i odnosi se na širi smisao ili razlog obrade podataka. Primera radi, interes javnog preduzeća da sa klijentima i/ili partnerima izgradi odnose zasnovane na poverenju može biti legitimni interes, u smislu ZZPL, za objavljivanje podataka o zaradama lica na rukovodećim mestima u tom javnom preduzeću, dok bi svrha obrade podataka u tom slučaju mogla da bude promovisanje transparentnosti i odgovornosti u radu.

Kako proceniti da li je obrada neophodna?

Sledeći korak je utvrđivanje neophodnosti nameravane obrade za ostvarivanje cilja koji je prethodno identifikovan.

Rukovalac, polazeći od okolnosti konkretnog slučaja, treba naročito da proceni:

  • da li obrada zaista omogućava postizanje cilja;
  • da li se cilj može ostvariti bez obrade podataka o ličnosti (npr. obradom anonimizovanih podataka);
  • da li se cilj može ostvariti obradom manjeg broja podataka ili obradom na manje invazivan način.

Ako obrada nije nužna za ostvarenje cilja, ili se cilj obrade može postići bez obrade podataka o ličnosti ili na manje invazivan način po privatnost lica (npr. obradom manje količine podataka, druge vrste podataka i sl.), onda nameravana obrada nije neophodna, i ne može se smatrati da je ispunjen ovaj uslov iz člana 12. stav 1. tačka 6) Zakona.

Kako utvrditi pretežnost interesa?

Nakon utvrđivanja cilja i neophodnosti nameravane obrade, sledeći korak je provera pretežnosti interesa.

U ovoj fazi, najpre je potrebno razmotriti vrste podataka čija se obrada namerava, a naročito:

  • da li se radi o podacima koji spadaju u posebnu vrstu podataka o ličnosti;
  • da li se radi o podacima koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti;
  • da li se radi o drugim podacima koji se uobičajeno smatraju poverljivim (kao što su podaci o stanju na bankovnom računu fizičkog lica i sl.);
  • da li su u pitanju podaci o maloletnim licima ili o pojedincima koji pripadaju drugim osetljivim društvenim grupama, kao što su, primera radi, nezaposlena lica, stariji, samohrani roditelji i dr;
  • da li se podaci odnose na pojedinca u njegovom ličnom ili profesionalnom kapacitetu.

Što podaci čija se obrada namerava više zadiru u privatnost lica na koje se odnose, veća je verovatnoća da će njihova obrada podrazumevati veći rizik za prava i slobode lica, te da će potreba zaštite tih prava biti pretežnija u odnosu na korist koju rukovalac namerava da ostvari.

Zatim, potrebno je objektivno razmotriti da li prosečna osoba može razumno očekivati da će rukovalac vršiti obradu njenih podataka u datim okolnostima. Ovo zato što, ukoliko je obrada neočekivana, pojedinci gube kontrolu nad svojim podacima, što može dovesti, između ostalog, i do onemogućavanja ostvarivanja njihovih prava.

U tom smislu, relevantni faktori mogu biti:

  • da li rukovalac već vrši obradu podataka o određenom licu i po kom pravnom osnovu;
  • da li su rukovalac i lice na koje se odnose podaci u odnosu koji po svojoj prirodi podrazumeva viši stepen poverljivosti (primera radi: lekar-pacijent);
  • da li su podaci prikupljeni neposredno od lica na koje se odnose, ili iz drugog izvora;
  • koje informacije u vezi sa obradom je rukovalac dao fizičkom licu prilikom prikupljanja podataka, ili naknadno, ukoliko podaci nisu prikupljeni od lica na koje se odnose;
  • koliko je vremena proteklo od prikupljanja podataka;
  • da li su cilj i način nameravane obrade uobičajeni;
  • da li rukovalac namerava da uvede nešto novo ili inovativno;
  • da li je rukovalac, putem ankete, upitnika, ili na drugi način prikupio podatke o očekivanjima fizičkih lica;
  • da li postoje drugi pokazatelji koji ukazuju na to da u datim okolnostima lica očekuju, odnosno ne očekuju obradu svojih podataka.

Konačno, rukovalac treba da uzme u obzir i proceni posledice koje nameravana obrada može da prouzrokuje po interese i osnovna prava i slobode lica o čijim je podacima reč.

Interesi i osnovna prava i slobode lica primarno se tiču prava na zaštitu podataka o ličnosti i prava na privatnost, ali tiču se i prava na: slobodu izražavanja, slobodu misli, savesti i veroispovesti, slobodu kretanja, slobodu okupljanja, zabranu diskriminacije i drugih osnovnih ljudskih prava i sloboda.

Rukovalac, dakle, treba da razmotri moguće uzroke, tj. moguće izvore određenih posledica, kao i verovatnoću i ozbiljnost njihovog nastanka, a naročito moguće izvore, verovatnoću i ozbiljnost bilo kog vida štete (materijalne i nematerijalne) po interese, prava i slobode lica, do kojih bi moglo doći usled nameravane obrade podataka o ličnosti.

Ovi uzroci zavise od okolnosti svake obrade i mogu se pojavljivati usled: svojstava opreme koja se koristi prilikom obrade, načina obrade, lica koja vrše obradu i/ili imaju pristup podacima, pravnog okvira za obradu, društvenih vrednosti, javnog mnjenja i dr.

Za svaki prepoznati mogući uzrok rukovalac treba da proceni verovatnoću njegovog pojavljivanja i ozbiljnost štete koju može naneti po interese, prava i slobode lica o čijim se podacima radi.

U tom smislu, primera radi, rukovalac treba da uzme u obzir mogućnost da određeni uzrok doprinese:

  • otežavanju ili onemogućavanju ostvarivanja prava i sloboda lica;
  • gubitku kontrole nad podacima;
  • materijalnom gubitku;
  • nastanku bilo kog vida ekonomske ili socijalne diskriminacije lica i sl.

Na osnovu analize verovatnoće pojavljivanja određenog uzroka i ozbiljnosti štete koja usled toga može nastati vrši se procena nivoa rizika po interese, prava i slobode lica o čijim se podacima radi (npr. nije relevantno/nizak/umeren/visok).

Polazeći od rezultata izvršene analize, rukovalac treba da proceni da li je u konkretnom slučaju zaštita prava lica proporcionalna očekivanoj koristi, ili šteta po prava lica prevazilazi moguću korist, u kom slučaju legitimni interes, najverovatnije, neće biti adekvatan pravni osnov nameravane obrade.

Rukovalac, takođe, može da razmotri preduzimanje dodatnih mera zaštite koje će primeniti kako bi umanjio mogućnost nastanka štete i/ili ublažio njene posledice po prava lica.

Da li lice ima pravo da se usprotivi obradi zasnovanoj na legitimnom interesu?

Ukoliko se obrada podataka o ličnosti vrši u skladu sa članom 12. stav 1. tačka 6) ZZPL, lice o čijim podacima je reč ima pravo da u svakom trenutku rukovaocu podnese prigovor na obradu njegovih podataka, u skladu sa članom 37. Zakona.

Podnošenje prigovora ima za posledicu to da je rukovalac dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koje se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.

Ukoliko rukovalac odbije prigovor, dužan je da, u skladu sa Zakonom, o razlozima odbijanja, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu, obavesti podnosioca prigovora.

Navedeno nameće dodatan oprez rukovaocima, i govori u prilog tome da oni ne bi trebalo olako da se opredeljuju za ovaj pravni osnov obrade podataka o ličnosti.

Da li organi vlasti mogu koristiti legitimni interes kao pravni osnov za obradu podataka o ličnosti?

Članom 12. stav 2. ZZPL propisano je da se stav 1. tačka 6) tog člana ne primenjuje na obradu koju vrši organ vlasti u okviru svoje nadležnosti.

Dakle, zakonodavac je isključio mogućnost primene legitimnog interesa kao pravnog osnova za obradu podataka o ličnosti od strane organa vlasti u slučaju kada se obrada vrši u okviru nadležnosti organa.

Da li se legitimni interes može koristiti kao pravni osnov za obradu podataka o ličnosti dece?

Zakon ne isključuje tu mogućnost. Međutim, subjektima koji nameravaju da ovaj pravni osnov koriste za obradu podataka o ličnosti dece nameće se dodatan oprez i pažnja kako bi se osiguralo da je cilj koji se želi postići dopušten, da je nameravana obrada neophodna za postizanje cilja i da su interesi i prava dece zaštićeni, posebno imajući u vidu osetljivost ove kategorije lica, kao i posledice koje obrada podataka o njima može da prouzrokuje.

Da li se legitimni interes može koristiti kao pravni osnov za obradu posebnih vrsta podataka o ličnosti iz člana 17. ZZPL?

Zakonom nije apsolutno isključena mogućnost primene legitimnog interesa u slučaju obrade posebnih vrsta podataka o ličnosti iz člana 17. Zakona, a to je obrada kojom se otkriva: rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, genetski podaci, biometrijski podaci u cilju jedinstvene identifikacije lica, podaci o zdravstvenom stanju, podaci o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.

Međutim, s obzirom na to da je obrada posebnih vrsta podataka načelno zabranjena Zakonom i dopuštena samo kao izuzetak do koga može doći u slučajevima koji su taksativno navedeni u članu 17. stav 2. Zakona, rukovalac koji namerava da obradu posebnih vrsta podataka vrši na osnovu legitimnog interesa, ima obavezu i da dokaže da se u konkretnoj situaciji radi o odgovarajućem slučaju iz člana 17. stav 2. Zakona.

Ipak, osetljiva priroda posebnih vrsta podataka i Zakonsko opredeljenje da se osigura visok nivo njihove zaštite, podrazumevaju veći rizik po interese, prava i slobode lica o čijim podacima je reč, te se može očekivati i da će rezultat procene pretežnosti interesa češće biti u korist interesa lica čije zdravstvene, genetske, sindikalne i dr. podatke iz člana 17. Zakona rukovalac želi da obrađuje.

S druge strane, kada je u pitanju obrada posebnih vrsta podataka o ličnosti u velikom obimu, rukovalac mora imati u vidu obavezu da, pre nego što započne sa obradom, izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti, utvrđenu odredbama člana 54. Zakona.

Da li privredno društvo, u svrhu neposrednog oglašavanja, može koristiti legitimni interes kao pravni osnov za obradu podataka o ličnosti u skladu sa ZZPL?

Ne. Zakonom o oglašavanju („Službeni glasnik RS“, br. 6/16 i 52/19 – dr. zakon), u članu 63. utvrđeno je da je za direktno oglašavanje (upućivanje oglasne poruke) prema fizičkim licima potrebna njihova prethodna saglasnost, koja se može opozvati u svakom momentu, a oglašivač, odnosno prenosilac oglasne poruke, mora to da omogući. Utvrđeno je, takođe, da se direktno oglašavanje prema fizičkim licima vrši u skladu sa pravilima o oglašavanju putem sredstava komunikacije na daljinu u skladu sa propisom koji uređuje zaštitu potrošača.

Članom 38. Zakona o zaštiti potrošača („Službeni glasnik RS“, br. 62/14, 6/16 – dr. zakon i 44/18 – dr. zakon) utvrđeno je da je zabranjeno neposredno oglašavanje telefonom, faksom, elektronskom poštom, i drugim sredstvima komunikacije na daljinu, bez prethodnog pristanka potrošača.

Shodno tome, pravni osnov za obradu podataka o ličnosti u svrhu direktnog marketinga jeste pristanak lica na koje se odnose podaci koji se obrađuju.

Iako je takvo rešenje strožije od zahteva Opšte uredbe o zaštiti podataka, u čijoj preambuli, u tački 47), pored ostalog, stoji da se može smatrati da postoji legitiman interes kod obrade podataka o ličnosti za potrebe direktnog marketinga, ono nije u suprotnsti sa Opštom uredbom iz razloga što je tim propisom EU primena legitimnog interesa kao pravnog osnova za obradu podataka o ličnosti u svrhu direktnog marketinga predviđena kao mogućnost, te svaka država može da uredi to pitanje i na drugačiji način u skladu sa svojim pravnim sistemom, vodeći računa i o drugim pravnim aktima EU koji regulišu odgovarajuće oblasti društvenih odnosa.

Da li poslodavac, na osnovu legitimnog interesa, može od lica sa kojim namerava da zaključi ugovor o radu, ili da ga na drugi način radno angažuje, tražiti izvod iz kaznene evidencije, odnosno uverenje da to lice nije osuđivano i da se protiv njega ne vodi krivični, odnosno istražni postupak?

Saglasno odredbama člana 19. stav 1. ZZPL, obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti može se vršiti na osnovu člana 12. stav 1. tog zakona, ali samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.

Obrada podataka o ličnosti u oblasti rada i zapošljavanja, međutim, predstavlja jedan od posebnih slučajeva obrade, pa je tako u članu 91. stav 1. Zakona propisano da se na obradu u tim oblastima primenjuju odredbe zakona kojima se uređuje rad i zapošljavanje i kolektivni ugovori, uz primenu odredaba tog zakona.

Saglasno citiranim odredbama Zakona, poslodavac, kao rukovalac, u svrhu zaključenja ugovora o radu, odnosno u svrhu radnog angažovanja određenog lica, može prikupljati i dalje obrađivati samo one podatke koji se odnose na to lice čija obrada predstavlja obavezu ili ovlašćenje poslodavca predviđeno zakonom kojim se uređuje rad, odnosno zapošljavanje.

Ovo znači da, od šest mogućih pravnih osnova za obradu podataka o ličnosti koji su predviđeni članom 12. stav 1. Zakona, poslodavac, u svrhu zaključenja ugovora o radu, odnosno u svrhu radnog angažovanja određenog lica, može vršiti obradu koja je neophodna u cilju poštovanja pravnih obaveza rukovaoca, u smislu tačke 3), ili obradu koja je neophodna u cilju izvršenja zakonom propisanih ovlašćenja rukovaoca, u smislu tačke 5) navedenog člana Zakona.

Shodno tome, poslodavac ne bi trebalo da pribegava korišćenju legitimnog interesa rukovaoca ili treće strane, u smislu člana 12. stav 1. tačka 6) Zakona, za obradu podataka o ličnosti u svrhu zaključenja ugovora o radu, odnosno u svrhu radnog angažovanja određenog lica.

Zbirni mesečni statistički podaci

na dan 31.10.2024.

U PROCEDURI: 16.095

OBRAĐENO: 165.773

Opširnije...