Agencija za zaštitu osobnih podataka (dalje u tekstu: AZOP)11 je zaprimila zahtjev za utvrđivanje povrede na zaštitu osobnih podataka maloljetnog djeteta, kojeg je podnijela djetetova majka (dalje u tekstu: Podnositeljica zahtjeva). U zahtjevu se navodi kako je Turistička zajednica u svojstvu voditelja obrade osobnih podataka22 (dalje u tekstu: Voditelj obrade) u svibnju 2022. organizirala na javnom gradskom trgu sportski dan, iako nije bilo obavijesti vezano uz obradu osobnih podataka sudionika, fotografiranje i slično. Nakon završetka događaja u raznim medijima, kao što su društvene mreže Facebook i Instagram grada na čijem trgu se predmetni događaj održao, objavljen je izvještaj o istom koji su pratile i fotografije, a na nekima od njih je bila i maloljetna kćer Podnositeljice zahtjeva.
U obrazloženju svog zahtjeva, Podnositeljica zahtjeva ističe kako je početkom svibnja 2023. Voditelj obrade objavio najavu da će se održati “događaj” i za najavu tog događaja upotrijebio fotografiju na kojoj se nalazi isključivo kćer podnositeljice zahtjeva i to u prvom planu bez da joj je zamagljeno lice. Podnositeljica zahtjeva navodi kako je sporna fotografija korištena u promotivne svrhe, bez dozvole Podnositeljice zahtjeva ili njezinog supruga, oca djeteta. Također ukazuje na to da je sporna fotografija objavljena i službenim mrežnim stranicama grada, kao i na društvenim mrežama Facebook i Instagram.
Podnositeljica zahtjeva je reagirala na prethodno navedeno i obratila se Voditelju obrade kao organizatoru događaja sa zahtjevom za uklanjanjem sporne fotografije, što je potom i učinjeno sa Facebook profila i službene mrežne stranice grada, ali ne i s Instagrama.
Sukladno svojim zakonskim ovlastima koje proizlaze iz Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (Opće uredbe o zaštiti podataka) i Zakona o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18), AZOP je povodom podnesenog zahtjeva Podnositeljice zatražila od Voditelja obrade očitovanje o navodima iz zaprimljenog zahtjeva, prvenstveno navođenje pravne osnove za objavu sporne fotografije maloljetnog djeteta. Uz navedeno, zatražene su informacije je li Voditelj obrade obavijestio posjetitelje predmetnog događaja o pravilima privatnosti, odnosno da predmetni događaj može biti sniman i da fotografije događaja mogu biti korištene od strane voditelja obrade, te je li isto napravljeno i za sportski događaj koji je bio u svibnju 2023. godine.
Nadalje, AZOP je zatražio informaciju o tome je li Voditelj obrade zaprimio zahtjev Podnositeljice i na koji način je po istom postupio, a posebno da dostavi podatak zašto predmetna fotografija nije uklonjena sa Instagram profila grada.
AZOP je zaprimio traženo očitovanje Voditelja obrade u kojem u bitnome navodi da je na dan događaja javnost nedvojbeno bila informirana putem pisane obavijesti o privatnosti u velikom formatu kako će se događaj snimati i fotografirati, a koja obavijest je bila postavljena na ulaz u poligon na obavijesnu ploču u blizini održavanja događanja. Što se tiče Instagram profila koji se spominje u zahtjevu Podnositeljice, Voditelj obrade se očitovao kako ne upravlja tim profilom pa ne može utjecati na njegov sadržaj.
Temeljem zaprimljenog zahtjeva za utvrđivanje povrede prava na zaštitu osobnih podataka, imajući u vidu navode podnositeljice zahtjeva, AZOP je proveo nadzorno postupanje nad voditeljem obrade osobnih podataka kako bi ispitao okolnosti potencijalne povrede te utvrdio sljedeće:
- Opća uredba o zaštiti podataka u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
- Sukladno članku 4. stavku 2. Opće uredbe o zaštiti podataka, obrada znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
- Nadalje, prema članku 4. stavak 7. Opće uredbe o zaštiti podataka, voditelj obrade osobnih podataka znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
- Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti: (a) zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost, transparentnost”); (b) prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama („ograničavanje svrhe”); (c) primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”); (d) točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”); (e) čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju („ograničenje pohrane”); (f) obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”).
- Sukladno članku 6. Opće uredbe o zaštiti podataka obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete
U konkretnom slučaju, navodi AZOP, utvrđeno je da se radilo o javnom događanju koji se odvijao na javnom mjestu (javni trg) te se smatra da je fotografiranje predmetnog događaja od interesa javnosti. Pored navedenog, utvrđeno je kako je javnost bila informirana o snimanju i fotografiranju samog događaja putem pisane obavijesti o privatnosti u velikom formatu, a koja obavijest je bila postavljena na ulaz u poligon na obavijesnu ploču u blizini održavanja događanja. Stoga se smatra da je u konkretnom slučaju postojao legitiman interes voditelja obrade kao zakonita pravna osnova za obradu osobnih podataka sudionika predmetnog događaja, a sve u skladu s člankom 6. stavak 1. točka (f) Opće uredbe o zaštiti podataka.
Međutim, za fotografiranje pojedine osobe koja je bila posjetitelj događaja i koja se izdvaja iz mase na način da joj se nedvojbeno može utvrditi identitet, te korištenje takve fotografije za promotivne svrhe za najavu događaja „X“, legitiman interes nije zakonita pravna osnova. U konkretnom slučaju zakonita pravna osnova bi bila privola,33 sukladno članku 6. stavak 1. točka (a) Opće uredbe o zaštiti podataka.
U konkretnom slučaju utvrđeno je kako Podnositeljica zahtjeva nije dala privolu za snimanje i fotografiranje svoje maloljetne kćeri, odnosno za javnu objavu predmetne fotografije koja sadrži prikaz iste, te u tom smislu ne postoji pravna osnova iz članka 6. stavak 1. točka (a) Opće uredbe o zaštiti podataka.
U svezi s prethodno navedenim, u ovoj upravnoj stvari utvrđeno je kako u konkretnom slučaju nisu bili ispunjeni uvjeti poštene i zakonite obrade osobnih podataka maloljetne kćeri podnositeljice zahtjeva uzimajući u obzir članak 5.1. a) Opće uredbe o zaštiti podataka, s obzirom na to da voditelj obrade nije na odgovarajući način utvrdio pravnu osnovu i zakonitu svrhu za javnu objavu osobnih podataka maloljetne kćeri podnositeljice zahtjeva.
Nadalje, navodi se u obrazloženju odluke AZOP-a, „člankom 17. stavak 1. Opće uredbe propisano je kako ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te da voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan propisanih uvjeta.44
Ako je voditelj obrade javno objavio osobne podatke i dužan je u skladu sa stavkom 1. obrisati te osobne podatke, uzimajući u obzir dostupnu tehnologiju i trošak provedbe, voditelj obrade poduzima razumne mjere, uključujući tehničke mjere, kako bi informirao voditelje obrade koji obrađuju osobne podatke da je ispitanik zatražio od tih voditelja obrade da izbrišu sve poveznice do njih ili kopiju ili rekonstrukciju tih osobnih podataka (članak 17. stavak 2. Opće uredbe o zaštiti podataka). Stavci 1. i 2. predmetnog članka ne primjenjuju se u mjeri u kojoj je obrada nužna između ostalog radi ostvarivanja prava na slobodu izražavanja i informiranja (stavak 3.).
Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 16., člankom 17. stavkom 1. i člankom 18. svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor.“
Slijedom svega izloženog, AZOP zaključuje kako je Voditelj obrade imao pravnu osnovu za objavu fotografija sa događaja koji se vodio na javnom gradskom trgu. Međutim, isti nije imao pravnu osnovu i zakonitu svrhu za objavu izdvojene fotografije maloljetne kćeri Podnositeljice zahtjeva. Stoga je u konkretnom slučaju došlo je do objave osobnih podataka maloljetne kćeri podnositeljice zahtjeva bez zakonite osnove protivno članku 5. i 6. Opće uredbe o zaštiti podataka.
Međutim, u postupku je cijenjena okolnost da je voditelj obrade ipak naknadno, uklonio/obrisao fotografiju maloljetne kćeri Podnositeljice zahtjeva sa navedenog plakata, te sa svih mrežnih mjesta na kojima se ona nalazila. Stoga je u ovoj upravnoj stvari AZOP utvrdio kako zbog grubog kršenja prava na zaštitu osobnih podataka Voditelj obrade nije zakonito obrađivao/objavljivao osobne podatke djeteta čime je povrijedio odredbe članka 5. i 6. Opće uredbe o zaštiti podataka te je Voditelju obrade izrečena tek službena opomena.
Maja Bilić Paulić, mag. iur.
IZVORI:
- Priopćenje AZOP-a od dana 15. travnja 2024.., dostupno na sljedećoj poveznici.
- Rješenje AZOP-a od 12. prosinca 2023. dostupno na sljedećoj poveznici.
- AZOP kao samostalno i neovisno državno tijelo, nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18). ↩︎
- Opća uredba o zaštiti podatakau čl. 4. st. 1. t. 7. definira voditelja obrade kao fizičku ili pravnu osobu, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice. ↩︎
- Naime, u članku 4. stavku 1. točka 11. Opće uredbe o zaštiti podataka objašnjeno je da „privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose. ↩︎
- (a) osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; (b) ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu; (c) ispitanik uloži prigovor na obradu u skladu s lankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2.; (d) osobni podaci nezakonito su obrađeni; (e) osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade; (f) osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1. ↩︎