Agencija za zaštitu osobnih podataka zaprimila je Zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka u kojemu podnositeljica zahtjeva navodi da je na svoj telefonski broj zaprimila poziv društva x iako se njen broj nalazi u Registru „Ne zovi“ te nikada nije dala privolu za kontaktiranje. U provedenom postupku utvrđeno je kako je društvo obrađivalo osobne podatke podnositeljice bez postojanja pravne osnove iz članka 6. Opće uredbe o zaštiti podataka ne vodeći brigu da se broj nalazi u Registru „Ne zovi“.
Naime, društvo koje je kontaktiralo podnositeljicu zahtjeva u svom očitovanju navelo je kako je djelatnik s ciljem anketiranja osobe nazvao na predmetni telefonski broj te da društvo nema informaciju na koga se sporni broj odnosi i da u svojoj bazi imaju evidentirani sporni broj i grad bez bilo kakvih osobnih podataka (ime, prezime i sl). Također navode da je pravna osnova za obradu osobnih podataka legitiman interes društva kao voditelja obrade, a u slučaju da je osoba pristala na provođenje ankete tada bi se daljnja obrada temeljila na privoli ispitanika te da je broj svojevremeno prikupljen iz telefonskog imenika. Naglašavaju da se pozivanje osoba s ciljem provođenja ankete ne smatra promidžbom ili prodajom proizvoda ili usluga. Naposljetku navode da rade provjeru u Registru Ne zovi, ali da je u konkretnom slučaju riječ o ljudskoj greški i da sporni broj nije dostavljen trećoj osobi.
Člankom 6. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.
Člankom 17. stavak 1. Opće uredbe propisano je kako ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te da voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta: (a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; (b) ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu; (c) ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2.; (d) osobni podaci nezakonito su obrađeni; (e) osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade; (f) osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1.
Člankom 14. propisano je da ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije: (a)identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;(b)kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosa iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:(a)razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;(b)postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;(c)ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;(d)pravo na podnošenje prigovora nadzornom tijelu;(e) izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora; (f) postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
Voditelj obrade pruža informacije iz stavaka 1. i 2. navedenog zakona između ostaloga, unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca uzimajući u obzir posebne okolnosti obrade osobnih podataka, ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi puta otkriveni.
Stavkom 4. istog članka propisano je da ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2. članka 14.Opće uredbe Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega, u skladu s člankom 6. stavkom 1. točkom (e) ili (f), uključujući izradu profila koja se temelji na tim odredbama.
Voditelj obrade više ne smije obrađivati osobne podatke osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom. Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito mora skrenuti pozornost na pravo iz stavaka 1. i 2. te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije (članak 21.)
Na temelju utvrđenog činjeničnog stanja Agencija navodi da društvo x kao voditelj obrade nije imalo zakonitu pravnu osnovu za obradu osobnih podataka, konkretno telefonskog broja, podnositeljice zahtjeva. Naime, navođenje da je pravna osnova za obradu osobnih podataka podnositeljice zahtjeva legitiman interes u smislu članka 6. stavka 1. točke f. Opće uredbe o zaštiti podataka nema svoje pravno uporište u konkretnom slučaju budući da nije utvrđeno da je podnositeljica zahtjeva korisnik/ klijent navedenog voditelja.
Također pozivanje voditelja obrade na legitiman interes nije dovoljno već ga voditelj obrade mora moći dokazati provedenim testom ravnoteže u kojem dokazuje da interes voditelja obrade prevladava u odnosu na interes odnosno prava i slobode ispitanika, a u konkretnom slučaju isti nije dostavljen.
Isto tako, kao odlučna činjenica u ovoj upravnoj stvari cijenjena je okolnost da je broj podnositeljice zahtjeva upisan u Registar „Ne zovi“ prije kontaktiranja od strane navedenog društva tako da legitiman interes ne može biti valjana pravna osnova u konkretnom slučaju.
Navedeno društvo također nije dokazalo da se broj nalazi u telefonskom imeniku , a činjenica da je priznalo da je do pozivanja broja koji se nalazi u Registru „Ne zovi“ došlo ljudskom pogreškom dokazuje da navedeno društvo kao voditelj obrade ne poduzima odgovarajuće mjere zaštite kako bi obrada osobnih podataka bila zakonita i poštena što predstavlja povredu
odredbi članka 5. i 6. Opće uredbe o zaštiti podataka. Osim toga, iz opisanog postupanja proizlazi da podnositeljica zahtjeva nije na adekvatan način bila informirana o obradi osobnih podataka na način kako to nalaže članak 14. Opće uredbe o zaštiti podataka.
Budući da je predmetno društvo obrađivalo osobne podatke podnositeljice bez postojanja pravne osnove iz članka 6. Opće uredbe o zaštiti podataka ne vodeći brigu da se broj nalazi u Registru „Ne zovi“ naloženo je brisanje osobnih podatka podnositeljice zahtjeva iz svojih baza podataka (sustava pohrane) budući da sukladno članku 17. Opće uredbe o zaštiti podataka ne postoji jači legitimni razlozi za daljnju obradu osobnih podataka, a osobni podaci su ujedno nezakonito obrađeni.