LEGITIMNI INTERES

Pošalji dokument na e-mail

E-mail pošiljaoca (*):
E-mail primaoca (*):
Komentar:

LEGITIMNI INTERES

(član 8. stav (1) tačka f)

 

Legitimni interes je jedan od pravnih osnova za obradu ličnih podataka u skladu sa Zakonom, koji glasi:

Ako je obrada neophodna zbog legitimnih interesa, kontrolora ili treće strane, osim kada nad tim interesima pretežu interesi ili osnovna prava i slobode nosioca podataka, a koji zahtijevaju zaštitu ličnih podataka, posebno ako je nosilac podataka dijete. Ova tačka se ne primjenjuje na obradu koju rade javni organi pri obavljanju svojih poslova.“

Da bi legitimni interes kontrolora podataka ili treće strane, bio primijenjen kao pravni osnov za obradu ličnih podataka treba da se ispune sljedeći uslovi:

  • postojanje određenog legitimnog interesa kontrolora podataka/treće strane;
  • neophodnost obrade;
  • pretežnost legitimnog interesa nad interesima ili osnovnim pravima i slobodama nosilaca podataka;

Ukoliko nakon izvršene procjene kontrolor podataka odluči da započne obradu ličnih podataka  primjenom legitimnog interesa kao pravnog osnova, potrebno je da akt o izvršenoj procjeni sačuva u dokumentaciji, kao i da u obavještenje o obradi, koje je dužan pružiti nosiocu podataka, unese i podatke o legitimnom interesu na kome se zasniva obrada u konkretnom slučaju.

Prema tome, legitimni interes ne treba automatski uzimati kao pravni osnov za obradu u situaciji u kojoj drugi pravni osnov nije primjenljiv, niti je za njegovu primjenu dovoljna samo konstatacija da za određenu obradu postoji legitimni interes kontrolora podataka ili treće strane. Da bi obrada koja se zasniva na legitimnom interesu bila zakonita sa stanovišta Zakona o zaštiti ličnih podataka, potrebno je prije otpočinjanja namjeravane obrade utvrditi da su za tu obradu ispunjeni (gore navedeni) Zakonom propisani uslovi.

U namjeri da se kontrolorima podataka pomogne da izvrše navedenu procjenu, sačinjen je obrazac akta o procjeni legitimnog interesa, koji je dostupan na kraju ovog teksta.

Primjena ovog obrasca nije obavezna, već predstavlja jedan od mogućih načina procjene i dokumentovanja usklađenosti obrade sa Zakonom.

Kako bi kontrolor podataka bio u mogućnosti, u skladu sa načelom „zakonitosti, pravičnosti i transparentnosti“ i načelom „pouzdanosti“ iz člana 7. Zakona, dokazati da je obrada zasnovana na legitimnom interesu koju vrši u skladu sa Zakonom, potrebno je da ispunjenost navedenih uslova bude dokumentovana.

Praktično, ovo znači da, iako takva obaveza nije izričito propisana, kontrolor podataka, prije početka namjeravane obrade ličnih podataka, treba da izvrši pažljivu procjenu ispunjenosti uslova za primjenu legitimnog interesa kao pravnog osnova za obradu i tek nakon toga donese odluku o mogućnosti obrade. Kada se kontrolor podataka odluči da vrši obradu na osnovu legitimnog interesa potrebno je da o prethodno izvršenoj procjeni legitimnog interesa sačini pisani akt. Ne postoji obavezujuća forma u kojoj pomenuti akt treba da bude sačinjen.

Kontrolor podataka koji je, u skladu sa Zakonom, donio akt o procjeni uticaja obrade na zaštitu ličnih podataka, nema obavezu da sačini i poseban akt o procjeni legitimnog interesa, s obzirom na to da akt o procjeni uticaja mora da sadrži i opis legitimnog interesa, ako se obrada zasniva na tom pravnom osnovu.

❄ Šta se može smatrati legitimnim interesom?

Prvi korak kontrolora podataka prilikom procjene ispunjenosti uslova za primjenu legitimnog interesa, kao pravnog osnova za obradu, je da utvrdi specifičan cilj koji želi da ostvari namjeravanom obradom. Taj cilj se može ogledati u određenoj koristi za samog kontrolora podataka, ili za treću stranu, tj. za određenog pojedinca, organizaciju, ili javnost uopšte.

Podrazumijeva se da cilj koji nije pravno dopušten, ili nije u skladu sa profesionalnim standardima određenog sektora/grane/oblasti, ne može predstavljati legitimni interes za obradu ličnih podataka.

Nadalje, potrebno je da kontrolor podataka bude jasan i određen u pogledu konkretnog cilja namjeravane obrade, umjesto pozivanja na neki uopšten poslovni interes kao svoj legitimni interes za obradu ličnih podataka (primjer: povećanje profita kompanije).

Radi identifikacije cilja obrade, kontroloru podataka će pomoći da odgovori na sljedeća pitanja:

  • zašto želi da obrađuje određene podatke;
  • koju neposrednu korist očekuje da ostvari namjeravanom obradom;
  • da li bi još neki drugi subjekt imao koristi od namjeravane obrade;
  • da li bi obrada bila korisna za širu zajednicu;
  • koliko su važne koristi koje se mogu ostvariti obradom;
  • koja bi bila posljedica odustajanja od namjeravane obrade i sl.

Pojam „legitimni interes” ne treba poistovjećivati sa pojmom „svrha“. Naime, „legitimni interes”, u kontekstu Zakona o zaštiti ličnih podataka, predstavlja širi pojam i odnosi se na širi smisao ili razlog obrade podataka. Primjera radi, interes javnog preduzeća da sa klijentima i/ili partnerima izgradi odnose zasnovane na povjerenju može biti legitimni interes, u smislu Zakona, za objavljivanje podataka o zaradama rukovodilaca u tom javnom preduzeću, dok bi svrha obrade podataka u tom slučaju mogla da bude promovisanje transparentnosti i odgovornosti u radu.

Primjer: legitimni interes vlasnika nekretnine da postavi video nadzor u svrhu zaštite svoje imovine.

 

❄ Kako procijeniti da li je obrada neophodna?

Sljedeći korak je utvrđivanje neophodnosti namjeravane obrade za ostvarivanje cilja koji je prethodno identifikovan.

Kontrolor podataka polazeći od okolnosti konkretnog slučaja, treba naročito da procjeni:

  • da li obrada zaista omogućava postizanje cilja;
  • da li se cilj može ostvariti bez obrade ličnih podataka  (npr. obradom anonimiziranih podataka);
  • da li se cilj može ostvariti obradom manjeg broja podataka ili obradom na manje invazivan način.

Ako obrada nije nužna za ostvarenje cilja, ili se cilj obrade može postići bez obrade ličnih podataka ili na manje invazivan način po privatnost lica (npr. obradom manje količine podataka, druge vrste podataka i sl.), onda namjeravana obrada nije neophodna, i ne može se smatrati da je ispunjen ovaj uslov iz člana 8. stav (1). tačka f) Zakona o zaštiti ličnih podataka.

❄ Kako utvrditi pretežnost interesa?

Nakon utvrđivanja cilja i neophodnosti namjeravane obrade, sljedeći korak je provjera pretežnosti interesa.

U ovoj fazi, najprije je potrebno razmotriti vrste podataka koji se namjeravaju obrađivati, a posebno:

  • da li se radi o podacima koji spadaju u posebnu kategoriju ličnih podataka;
  • da li se radi o podacima koji se odnose na krivične presude, kažnjiva djela i mjere bezbjednosti;
  • da li se radi o drugim podacima koji se uobičajeno smatraju povjerljivim (kao što su podaci o stanju na bankovnom računu fizičkog lica i sl.);
  • da li su u pitanju podaci o nosiocima podataka koji su maloljetna lica ili lica koji pripadaju drugim osjetljivim društvenim grupama, kao što su, npr. nezaposlena lica, stariji, samohrani roditelji i dr;
  • da li se podaci odnose na nosioca podataka u njegovom ličnom ili profesionalnom kapacitetu.

Ukoliko podaci čija se obrada namjerava više zadiru u privatnost nosioca podataka, veća je vjerovatnoća da će njihova obrada podrazumijevati veći rizik za prava i slobode lica, te da će potreba zaštite tih prava biti pretežnija u odnosu na korist koju kontrolor namjerava da ostvari.

Potrebno je objektivno razmotriti da li prosječno lice može razumno očekivati da će kontrolor podataka vršiti obradu njegovih podataka u datim okolnostima. Ovo zato što, ukoliko je obrada neočekivana, lica gube kontrolu nad svojim podacima, što može dovesti, između ostalog, i do onemogućavanja ostvarivanja njihovih prava.

U tom smislu, relevantni faktori mogu biti:

  • da li kontrolor podataka već vrši obradu podataka o određenom licu i po kom pravnom osnovu;
  • da li su kontrolor podataka i nosilac podataka u odnosu koji po svojoj prirodi podrazumijeva viši stepen povjerljivosti (Primjer: doktor - pacijent);
  • da li su podaci prikupljeni neposredno od nosioca podataka, ili iz drugog izvora;
  • koje informacije u vezi sa obradom je kontrolor podataka dao nosiocu podataka prilikom prikupljanja podataka, ili naknadno, ukoliko podaci nisu prikupljeni od nosioca podataka;
  • koliko je vremena proteklo od prikupljanja podataka;
  • da li su cilj i način namjeravane obrade uobičajeni;
  • da li kontrolor podataka namjerava da uvede nešto novo ili inovativno;
  • da li je kontrolor podataka, putem ankete, upitnika, ili na drugi način prikupio podatke o očekivanjima nosilaca podataka;
  • da li postoje drugi pokazatelji koji ukazuju na to da u datim okolnostima nosioci podataka očekuju, odnosno ne očekuju obradu svojih podataka.

Na kraju, kontrolor podataka treba da uzme u obzir i procijeni posljedice koje namjeravana obrada može da prouzrokuje po interese i osnovna prava i slobode nosilaca podataka.

Interesi i osnovna prava i slobode lica primarno se tiču prava na zaštitu ličnih podataka  i prava na privatnost, ali tiču se i prava na: slobodu izražavanja, slobodu misli, savjesti i vjeroispovijesti, slobodu kretanja, slobodu okupljanja, zabranu diskriminacije i drugih osnovnih ljudskih prava i sloboda.

Dakle, kontrolor podataka  treba da razmotri moguće uzroke, tj. moguće izvore određenih posljedica, kao i vjerovatnoću i ozbiljnost njihovog nastanka, a naročito moguće izvore, vjerovatnoću i ozbiljnost bilo kog vida štete (materijalne i nematerijalne) po interese, prava i slobode lica, do kojih bi moglo doći zbog namjeravane obrade ličnih podataka.

Ovi uzroci zavise od okolnosti svake obrade i mogu se pojavljivati zbog: svojstava opreme koja se koristi prilikom obrade, načina obrade, lica koja vrše obradu i/ili imaju pristup podacima, pravnog okvira za obradu, društvenih vrijednosti, javnosti i dr.

Za svaki prepoznati mogući uzrok kontrolor podataka treba da procijeni vjerovatnoću njegovog pojavljivanja i ozbiljnost štete koju može nanijeti po interese, prava i slobode nosilaca ličnih podataka.

Primjer: kontrolor podataka treba da uzme u obzir mogućnost da određeni uzrok doprinese:

  • otežavanju ili onemogućavanju ostvarivanja prava i sloboda nosilaca ličnih podataka;
  • gubitku kontrole nad podacima;
  • materijalnom gubitku;
  • nastanku bilo kog vida ekonomske ili socijalne diskriminacije lica i sl.

Na osnovu analize vjerovatnoće pojavljivanja određenog uzroka i ozbiljnosti štete koja usljed toga može nastati vrši se procjena nivoa rizika po interese, prava i slobode nosilaca ličnih podataka (Primjer: nije relevantno/nizak/umjeren/visok).

Polazeći od rezultata izvršene analize, kontrolor podataka treba da procijeni da li je u konkretnom slučaju zaštita prava nosilaca podataka proporcionalna očekivanoj koristi, ili šteta po prava nosilaca podataka prevazilazi moguću korist, u kom slučaju legitimni interes, najvjerovatnije, neće biti adekvatan pravni osnov namjeravane obrade.

Kontrolor podataka, takođe, može da razmotri preduzimanje dodatnih mjera zaštite koje će primijeniti kako bi umanjio mogućnost nastanka štete i/ili ublažio njene posljedice po prava nosilaca podataka.