Izričita privola za obradu osobnih podataka

GDPR na tri mjesta predviđa izričitu privolu, kao zaseban oblik privole u slučajevima kada je potrebna pojačana pažnja u svezi obrade osobnih podataka.

Navedeni slučajevi razlikuju se od ostalih u okolnostima rizika za zaštitu osobnih podataka, potrebi visoke razine individualnog nadzora, te potrebi davanja eventualnih dodatnih upozorenjima ispitanicima. 

Svaka privola, pa tako i izričita, mora biti ispravno prezentirana ispitaniku, mora biti dobrovoljno dana, ne smije biti uvjetovana ili dvosmislena te ispitanik mora biti informiran o značaju davanja privole, kao i posljedicama. Definicija privole prema Uredbi glasi: svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

1. Posebne kategorije osobnih podataka:

Uvodna odredba u točki 51 navodi da su to osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode, odnosno radi se o obradi podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca (...) Pritom primjerice obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one u biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.

Ako je ispitanik dao izričitu privolu za obradu posebne kategorije osobnih podataka za jednu ili više određenih svrha neće se primjenjivati zabrana obrade posebnih kategorija osobnih podataka (članak 9.st.1. i 2. GDPR).

2. Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

Ako je ispitanik dao izričitu privolu na njega će se primjenjivati odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu (članak 22. st. 2).

3. Prijenos podataka trećim zemljama ili međunarodnim organizacijama ako ne postoje odgovarajuće zaštitne mjere

Radi se o slučaju prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju u kojima ne postoje odgovarajuće zaštitne mjere, te ispitanik može izričito pristati na predloženi prijenos samo nakon što je bio obaviješten o mogućim rizicima takvih prijenosa zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera (članak 49.st.1.) ;

Načini davanja izričite privole:

Izraz izričita odnosi se na način kojim ispitanik izražava privolu. To znači da ispitanik mora dati izričitu izjavu privole. Očit način za osiguravanje izričite privole bio bi izričito potvrđivanje privole pisanom izjavom. Prema mišljenju WP Article 29 mogući su i sljedeći oblici: ispunjavanje elektroničkog obrasca, slanje poruke e-pošte, učitavanje skeniranog dokumenta s potpis ispitanika ili upotreba elektroničkog potpisa, te čak i usmeno ili telefonsko pribavljanje privole pod određenim okolnostima.