Često se događa da tvrtke pri obradi osobnih podataka građana odnosno ispitanika koriste pogrešnu pravnu osnovu dovodeći se time u situaciju kršenja odredbi propisanih GDPR-om. Kako bi se to izbjeglo, važno je razumjeti odredbe definirane čl. 6. Opće uredbe o zaštiti podataka.
Ukupno je šest pravnih osnova za obradu osobnih podataka ispitanika: privola, ugovorni odnos, ispunjenja pravnih obveza voditelja obrade, zaštita ključnih interesa ispitanika ili druge fizičke osobe, izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade te legitimni interes.
Ugovorni odnos i ispunjenje pravnih obveza voditelja obrade jasno definiraju obveze voditelja i izvršitelja obrade osobnih podataka.
Javni interes podrazumijeva obradu osobnih podataka koja je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade koje su definirane zakonskom obvezom. Ovdje treba uzeti u obzir i Zakon o pravu na pristup informacijama jer tijela javne vlasti prema tom zakonu imaju obvezu određene informacije učiniti javno dostupnima. Kako su pravo na zaštitu osobnih podataka i pravo na pristup informacijama ustavna kategorija nema sumnje da je primjenom načela proporcionalnosti i smanjenja obujma obrade osobnih podataka sukladno pravu na ograničenje obrade potrebno utvrditi pravedan odnos kojim će biti moguće zadovoljiti primjenu oba navedena prava. U ovakvim slučajevima najbolje je zatražiti mišljenje AZOP-a, kao što je to učinio Grad Bjelovar prilikom provedbe projekta gradske uprave o podizanju transparentnosti i objavljivanju podataka o uplaćivanju novca iz gradskog proračuna.
Legitimni interes može biti valjana pravna osnova ukoliko voditelj obrade osigura ispitanicima najmanji mogući utjecaj obrade podataka na zaštitu njihove privatnosti. Pozivanje na pravnu osnovu legitimnog interesa treba izbjegavati ukoliko ispitaniku ne možete objasniti točnu svrhu obrade njegovih osobnih podataka i ukoliko ta obrada može imati negativan utjecaj na zaštitu njegove privatnosti odnosno njegova temeljna prava i slobode. U slučaju nedoumice najbolje je provesti metodologiju procjene legitimnog interesa (Legitimate Interests Assessment - LIA). Tijela javne uprave ne mogu se pozivati na legitimni interes ukoliko izvršavaju svoje službene ovlasti osim kada imaju interes koji nije u sklopu propisanih službenih ovlasti te se tada na njega mogu pozivati samo u slučajevima gdje je primjenjiv. To je relevantno za tijela javne uprave koja imaju komercijalne interese.
Privola je pravovaljana pravna osnova za obradu podataka ukoliko je dana dobrovoljno, a ispitanik je u potpunosti svjestan svih svrha obrade njegovih osobnih podataka. Voditelj obrade kojem je pravna osnova za obradu osobnih podataka bazirana na privoli mora uspostaviti i cjelokupnu proceduru administriranja privola te primjenjiv sustav osiguravanja svih propisanih prava ispitanicima u kratkom roku.
Inače, analiza godišnjeg izvješća Agencije za zaštitu osobnih podataka za 2018. godinu pokazala je da građane najviše brine obrada njihovih osobnih podataka u javnom i državnom sektoru, financijskom sektoru, sektoru zdravstva, sektoru znanosti i obrazovanja, telekomunikacijskom sektoru i sektoru marketinga uključujući i područja Interneta i društvenih mreža.
Tijekom 2018. godine Agencija za zaštitu podataka zaprimila je 5242 predmeta za rješavanje, od čega se čak 79 posto odnosilo na GDPR, a tek 21 posto na predmete iz područja međunarodne i EU suradnje. U kategoriji upravnih postupaka broj zaprimljenih zahtjeva za utvrđivanje povrede prava/pritužbe iznosio je 383 predmeta nad kojima je do kraja 2018. godine doneseno 43 rješenja.