AKO STE se u proteklih nekoliko tjedana parkirali na javnom parkiralištu, po povratku ste vjerojatno pronašli letak neke političke opcije ostavljen na vjetrobranskom staklu vašeg automobila. Također, vrlo je velika vjerojatnost da vam je isti ili sličan letak stigao u poštanski sandučić ili vam je u digitalnom obliku prikazan na Facebook feedu.

Politička promidžba pojedinih kandidata i izbornih stranaka u vrijeme izbora doseže svoj vrhunac. No je li ona regulirana i kako se u političku promidžbu uklapa zaštita osobnih podataka, odnosno GDPR?

Vodeće političke opcije u državi uoči izbora uopće ne poštuju GDPR

Iz Presida, konzultantske tvrtke specijalizirane za zaštitu osobnih podataka čiji se stručnjaci bave zaštitom osobnih podataka, zaštitom potrošača i IT komunikacijama, objasnili su nam kako vodeće političke opcije u državi tijekom predizborne kampanje krše i uopće ne poštuju GDPR uredbu. 

Za predstojeće parlamentarne izbore Agencija za zaštitu osobnih podataka (AZOP) objavila je preporuku političkim strankama koje su u kampanji kako postupati s osobnim podacima građana koje posjeduju.

U svojoj preporuci AZOP naglašava da je politička stranka, kandidat ili drugi sudionik izborne promidžbe dužan osigurati poštovanje načela zakonitosti, poštenosti i transparentnosti prilikom obrade osobnih podataka građana.

Važno je napomenuti kako AZOP posebno ističe da je za svako prikupljanje i obradu osobnih podataka potrebno postojanje pravnog temelja za takvu obradu. U suprotnom, prikupljanje i obrada predstavljaju kršenje članka 6. Opće uredbe o zaštiti podatka, odnosno GDPR-a. 

Članak 6. Opće uredbe o zaštiti podataka propisuje kako je obrada zakonita samo u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha, obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, obrada je nužna radi poštivanja pravnih obveza voditelja obrade, obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe, obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

Dva ključna pitanja

Iz Presida kažu da se postavljaju dva vrlo važna pitanja za građane koji tijekom izborne kampanje primaju razne izborne materijale političkih stranaka i kandidata na privatne adrese ili brojeve mobitela. Prvo, odakle kandidatu ili toj političkoj opciji vaše ime i prezime, adresa te broj mobitela. Drugo, koja su vaša prava i kako takvo obraćanje zaustaviti?

Ovo su primjeri loše prakse i u većini slučajeva nezakonite obrade podataka.

Odgovor na prvo pitanje iznimno je složen, navode nam iz Presida.

Nažalost, političke stranke nisu transparentne u tom pitanju. Ono što znamo jest da političke stranke zasigurno posjeduju i obrađuju podatke svojih članova. To je jasno. No također je jasno da političke stranke posjeduju određene podatke građana koji nisu njihovi članovi. Kako dolaze do podataka građana koji nemaju članske iskaznice? 

Djelomičan odgovor na to pitanje nam daje Zakon o registru birača i njegov članak 25.

Ako ste ovih dana posjetili web stranice Ministarstva uprave, tada vas je dočekala obavijest u kojoj se navodi da svaki sudionik u izbornom postupku može nakon potvrđenih kandidacijskih lista (u ovom slučaju nakon 18. lipnja 2020.) podnijeti nadležnom upravnom tijelu zahtjev za dostavu podataka iz registra birača.

To zapravo znači da svaki kandidat koji se natječe na izborima može pristupiti vašem imenu, prezimenu i adresi u potpunosti legalno putem zahtjeva nadležnom tijelu.

Ovo su primjeri neusklađenih letaka s GDPR-om:

Letak koji vam je stigao poštom nije iznenađenje, kažu iz Presida, ali iznenađuje što se političke stranke i njeni kandidati na izborima ne pridržavaju važećih propisa i što na tim lecima nema obavijesti ispitaniku.

A jesu li, pak, provedene pozadinske radnje kao što je test procjene učinka, uspostava evidencija obrade, testovi legitimnosti i slično - ne znamo.

AZOP-ove preporuke su da se izbjegavaju personalizirana pisma, letci, brošure i SMS poruke. No to se svejedno i dalje koristi

Opća uredba o zaštiti podataka i AZOP postavljaju jasne granice. Iako sam letak u vašem poštanskom sandučiću, ako je napravljeno sve što važeći propisi zahtijevaju, ne predstavlja povredu Opće uredbe o zaštiti podataka, ako je on stigao personaliziran i bez adekvatne obavijesti građanima kao ispitanicima, pošiljatelj bi već mogao biti u velikom problemu. 

Naime, stav je AZOP-a da se političke stranke i kandidati prilikom izborne promidžbe ograniče na metode koje ne dovode u pitanje zaštitu osobnih podataka građana i ne uključuju obradu osobnih podataka građana.

Stoga je preporuka AZOP-a izbjegavanje slanja personaliziranih pisama, letaka, brošura i SMS-ova.

Takve personalizirane poruke koje su naslovljene na točno određenog građanina i podrazumijevaju obradu osobnih podataka tog građanina podliježu članku 6. Opće uredbe o zaštiti podataka, odnosno za obradu tih osobnih podataka je potreban jedan od gore navedenih pravnih temelja. U pravilu to je privola ili legitiman interes. Ukoliko niste dali privolu stranci ili kandidatu, moguće je da se stranka koristi vašim podacima na temelju legitimnog interesa.

AZOP smatra da legitiman interes može biti zakonit pravni temelj za slanje personaliziranih materijala izborne promidžbe samo ukoliko građanin razumno može očekivati takvu poštu, odnosno između građanina i stranke postoji neki odnos na temelju kojeg je razumno očekivati personalizirane poruke, a istovremeno se omogućava građanima adekvatna obavijest kao što je slučaj kada je birač ujedno član te političke stranke ili njezin donator.

Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.

Nijedno pismo ili letak ne sadrži informacije o zaštiti prava građana

Što se tiče drugog pitanja o pravima građana, građanin, naravno, ako smatra da su mu povrijeđena prava može podnijeti zahtjev za utvrđivanje povrede prava AZOP-u. Međutim, važno je znati da svaki građanin koji se susreće s izravnim marketingom i ciljanim oglašavanjem političkih stranka i kandidata ima pravo prigovora na takvu obradu njegovih podataka i to pravo na prigovor mu mora jasno biti naznačeno.

Građanin mora biti obaviješten zašto je on primio tu poruku, tko je za poruku odgovoran i koje su mu mogućnosti zaštite prava na raspolaganju. Ni u jednom pismu, letku ili drugom promotivnom materijalu nismo se susreli s navedenim.

Ne treba zaboraviti i na call centre političkih stranaka, zasigurno vas je već netko iz neke političke opcije zvao. Jesu li vam što rekli oko zaštite osobnih podataka? Znate li odakle im vaši podaci, na temelju čega ih obrađuju, snimaju li pozive, koliko dugo čuvaju podatke i slično?

Opća uredba o zaštiti podataka zahtijeva poseban način implementacije kada govorimo o call centrima kao i drugim načinima korištenja korisničke podrške.

Na kraju, moramo napomenuti da Opća uredba o zaštiti podataka svakako ograničava doseg izborne promidžbe političkih stranaka i postavlja jasna pravila koja štite građane i njihove osobne podatke od neovlaštene i nelegitimne obrade.

Koju količinu i vrstu podataka političke stranke stvarno posjeduju o građanima?

No u promišljanju o ovom problemu obrade osobnih podataka i izborne promidžbe otkriva se još jedno pitanje, objašnjavaju nam iz Presida.

To je pitanje o količini i vrsti podataka o građanima koju političke stranke stvarno posjeduju. Postavlja se pitanje porijekla tih baza podataka i načina njihovog korištenja (profiliranja građana). Opravdano je očekivati kako će se s povećanjem intenziteta izborne promidžbe, posebice povećanjem personaliziranih poruka i objava te razvijanjem svijesti o stvarnoj količini podataka koju političke stranke posjeduju, javiti zahtjevi građana za veću transparentnost u tom području.

Ono što nas sve trenutno zabrinjava je korištenje osobnih podataka građana od političkih stranaka koje ne poštuju važeće propise o zaštiti osobnih podataka, ako pogledate samo njihove internetske stranice, nijedna ne ispunjava zahtjeve Opće uredbe o zaštiti podataka ni ePrivacy regulativu.

Zar ne biramo osobe koje bi nam svima trebale biti primjer i poštovati propise za koje nas kao građane kažnjavaju, osobito poduzetnike?

Još primjera neadekvatno definiranih pravila privatnosti.