Agencija za zaštitu osobnih podataka (AZOP) izdala je priopćenje kojim nastoji objasniti u kojim slučajevima je obrada osobnih podataka s COVID potvrde zakonita. Priopćenje je izdano u kontekstu Odluke o uvođenju posebne sigurnosne mjere testiranja dužnosnika, državnih službenika i namještenika, službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova.

Donosimo sažetak:

• Uvid u COVID potvrdu te provjera njene valjanosti putem CovidGO aplikacije zakonite su obrade jer su one nužne radi poštovanja pravnih obveza voditelja obrade, odnosno za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
• Iznimke od zabrane obrade posebnih kategorija osobnih podataka određene su člankom 9. stavak 2. točkama (b), (g) i (i) GDPR-a.
• Sâm uvid u identifikacijski dokument nositelja COVID potvrde (npr. u osobnu iskaznicu) nije u opsegu primjene GDPR-a.
• Prekomjernom obradom smatra se svaka daljnja obrada osobnih podataka koja uključuje primjerice kopiranje, skeniranje, fotografiranje i sl. COVID potvrde odnosno drugog odgovarajućeg dokaza.
• Privola zaposlenika primjerena je pravna osnova za obradu osobnih podataka u kontekstu pohrane podataka o trajanju COVID potvrde u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja.

Nastavno na navedeno, Agencija za zaštitu osobnih podataka, a uzimajući u obzir obvezu poduzimanja odgovarajućih mjera zaštite osobnih podataka, smatra potrebnim da voditelj obrade (nadležno tijelo) jasno definira procese potrebne za provjeru odnosno obradu osobnih podataka. Tako je osobito bitno: definirati osobe koje su ovlaštene za pojedine procese, detaljno propisati postupak vizualne i digitalne provjere (QR code) EU COVID potvrde, kao i postupak obrade osobnih podataka osoba koje eventualno odbiju postupati sukladno predmetnoj Odluci.

Ovim putem Agencija za zaštitu osobnih podataka osobito naglašava potrebu transparentnog postupanja s osobnim podacima, osobito u smislu pružanja točnih i potpunih informacija o obradi osobnih podataka pojedinaca. Tako je i u konkretnom slučaju potrebno dati informacije o tome da voditelj obrade obrađuje osobne podatke, u koju svrhu se isti obrađuju, u kojem opsegu, vrši li se isključivo uvid u osobne podatke ili se oni pohranjuju, ukoliko se pohranjuju – koliko dugo se pohranjuju, kako ispitanik može ostvariti svoja prava iz područja zaštite osobnih podataka, kontakt podatke službenika za zaštitu podataka i druge informacije iz članka 13. Opće uredbe o zaštiti podataka. Naime, preporuka je Agencije da se informacije daju sažeto, jasno i razumljivo te da budu lako dostupne svim ispitanicima kojih se tiču.

– iz priopćenja Agencije za zaštitu osobnih podataka

Priopćenje Agencije u cijelosti pročitajte na njihovim službenim stranicama.