Agencija za zaštitu osobnih podataka kao neovisno nadzorno tijelo u području zaštite osobnih podataka u Republici Hrvatskoj sukladno članku 57. stavku 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 potaknuta upitima fizičkih i pravnih osoba vezanim za obradu osobnih podataka korisnika/klijenata u uslužnim djelatnostima koje uvjetuju fizički kontakt, u odnosu na revitalizaciju djelatnosti i mjere suzbijanja širenja virusa COVID-19 donosi sljedeću preporuku glede obrade osobnih podataka:
Člankom 5. Opće uredbe o zaštiti podataka propisana su osnovna načela koja se primjenjuju na obradu osobnih podataka (načelo zakonitosti obrade, načelo točnosti podataka, načelo ograničavanja svrhe obrade, načelo smanjenja količine podataka, načelo ograničenja pohrane i načelo cjelovitosti i povjerljivosti).
Člankom 6. Opće uredbe o zaštiti podataka je propisano da je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.
Ističemo i da je sukladno članku 9. stavku 2. točki (i) obrada posebnih kategorija osobnih podataka, među koje spadaju i podaci o zdravlju, između ostalog dopuštena ako je nužna u svrhu javnog interesa u području javnog zdravlja.
Nadalje, od voditelja obrade se sukladno članku 24. i 32. Opće uredbe o zaštiti podataka zahtijeva da provodi odgovarajuće tehničke i organizacijske mjere zaštite kako bi osigurao učinkovitu primjenu načela zaštite podataka, kao što je smanjenje količine podataka te primjenu odgovarajućih mjera zaštite osobnih podataka kako bi mogao dokazati da se štite prava ispitanika (korisnika usluga) odnosno da se obrada osobnih podataka provodi u skladu s Općom uredbom o zaštiti podataka.
Slijedom navedenog, vezano uz provedbu mjera za suzbijanje virusa COVID-19, potrebno je imati na umu da je Hrvatski zavod za javno zdravstvo (HZJZ) u skladu sa Odlukama Stožera civilne zaštite RH objavio Preporuke za rad u uslužnim djelatnostima koje uvjetuju fizički kontakt. U točki 2.3. stavku 2. navedenih Preporuka, vezano uz obradu osobnih podataka korisnika usluga, je preporučeno da pružatelj usluge treba zabilježiti vrijeme ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona.
Dakle, voditelji obrade koji obavljaju uslužne djelatnosti dužni su voditi računa da se sukladno Preporuci HZJZ-a prikupljaju/obrađuju samo gore navedeni osobni podaci koji su relevantni za postizanje utvrđene svrhe u koju se obrađuju.
Slijedom iznijetog osim kontakt podataka (broj mobitela) korisnika usluga unutar kojeg je utemeljeno smatrati (iako nije izrijekom navedeno) i ime i prezime kako bi se znalo kome zabilježeni broj i vrijeme dolaska i odlaska pripadaju, za obradu drugih kategorija osobnih podataka (u navedenoj situaciji) ne nalazimo zakonitu osnovu iz članka 6. i 9. Opće uredbe o zaštiti podataka koja bi se primjenjivala na voditelje obrade koji se bave uslužnim djelatnostima. Osobito ne nalazimo zakonitu osnovu za prikupljanje (pri tome se misli na obradu podataka u smislu bilježenja i čuvanja takvih zapisa) posebnih kategorija osobnih podataka koji se odnose na zdravlje korisnika usluga (primjerice: podatak o simptomima respiratornih bolesti, povišenoj temperaturi, mjerama samoizolacije i sl.) budući da takva obrada posebnih kategorija osobnih podataka nije u ingerenciji predmetnih voditelja obrade. Stoga, budući da navedene informacije predstavljaju posebno osjetljive podatke, koji nisu navedeni u samim Preporukama HZJZ-a, uz pridružene i druge osobne podatke ispitanika (korisnika), prikupljanje tj. obrada istih sa aspekta zaštite osobnih podataka i primjene članka 5. Opće uredbe o zaštiti podataka smatrala bi se prekomjernom, a njihova daljnja obrada preinvazivnom.
Imajući sve navedeno u vidu, kod obrade osobnih podataka upozoravamo voditelje obrade na obvezu pridržavanja pozitivnih zakonskih propisa o zaštiti osobnih podataka, između kojih posebno ističemo uvodno spomenutu izravnu primjenu Opće uredba o zaštiti podataka.
Posebno je važno istaknuti da privola ispitanika u navedenom kontekstu suzbijanja širenja virusa COVID-19 nije primjenjiva kao zakonita osnova budući da nisu ispunjeni potrebni uvjeti za obradu osobnih podataka na temelju privole. Prije svega privola ne bi bila dobrovoljna i slobodno dana ako bi davanje usluge korisniku bilo uvjetovano davanjem privole i/ili nužnošću ispunjavanja određenih obrazaca putem kojih se prikupljaju osobni podaci.
Slijedom navedenog preporučujemo da se prilikom obrade osobnih podataka korisnika u uslužnim djelatnostima koje uvjetuju fizički kontakt, vezano uz revitalizaciju djelatnosti i mjere suzbijanja virusa COVID-19 poštuju osnovna načela obrade osobnih podataka istaknuta u članku 5. Opće uredbe o zaštiti podataka, prije svega načelo smanjenja količine podataka te da se ukoliko je prikupljanje osobnih podataka korisnika nužno (uzimajući u obzir članak 9. Opće uredbe o zaštiti podataka) prilikom takvog prikupljanja osobnih podataka vodi računa o postojanju zakonite osnove za obradu (primjenom članka 6. i 9. Opće uredbe o zaštiti podataka).
Isto tako svaki voditelj obrade dužan je voditi računa o odgovarajućoj sigurnosti osobnih podataka, uključujući zaštitu od neovlaštenog raspolaganja osobnim podacima (neovlašteni uvid, davanje na korištenje istih) te ih čuvati u obliku koji omogućuje identifikaciju korisnika usluga samo onoliko dugo koliko je potrebno u svrhu radi koje se osobni podaci obrađuju, primjerice u periodu dok traje pandemija COVID-19, a nakon toga je osobne podatke potrebno uništiti.
Što se tiče informiranja ispitanika o prikupljanju i obradi osobnih podataka navodimo kako svaki voditelj obrade osobnih podataka mora voditi računa o načelima transparentne i poštene obrade osobnih podataka koji zahtijevaju da se ispitanik informira o postupku obrade i njihovim svrhama. U tom slučaju, pružanje informacija je jedna od temeljnih obveza voditelja obrade neovisno o pravnoj osnovi prikupljanja i daljnje obrade osobnih podataka te je isto potrebno u svakom slučaju obrade osobnih podataka na lako dostupan i razumljiv način uz uporabu jasnog i razumljivog jezika.