Upute HOK-a u suprotnosti su s GDPR-om

Hrvatski zavod za javno zdravstvo (HZJZ) objavio je prošli tjedan cijeli niz preporuka za pojedine uslužne djelatnosti. Preporuke se odnose na način rada tijekom trajanja pandemije COVID-19 virusa, što uključuje i prikupljanje dodatnih podataka od klijenata. Konkretno, HZJZ preporuča zabilježiti vrijeme ulaska osobe u poslovni prostor, broj mobitela za kontakt, te vrijeme napuštanja poslovnog prostora. Ovi podaci trebali bi pomoći epidemiolozima pri kontaktiranju osoba za koje je vjerojatno da su stupile u kontakt s osobom oboljelom od COVID-19. Osobama koje ne žele prihvatiti takve uvjete obrade podataka ne treba se omogućiti pristup poslovnom prostoru.

Ubrzo nakon objave preporuka HZJZ-a, Hrvatska obrtnička komora (HOK) objavila je upute vezane uz provedbu preporuka HZJZ-a. Ovim uputama HOK želi pomoći svojim članovima da preporuke HZJZ-a lakše provedu u praksi. Međutim, s pogleda zaštite osobnih podataka, HOK svojim članovima daje uputu da prikupljaju i obrađuju značajno veći set osobnih podataka nego što to nalaže HZJZ u svojim preporukama. Uz već ranije navedene podatke, HOK-ove upute podrazumijevaju i prikupljanje adrese prebivališta stranke, te potpisivanje izjave kojom stranka potvrđuje da nema povišenu tjelesnu temperaturu niti simptome respiratornih bolesti, te da u posljednja dva tjedna nije boravila izvan granica RH niti je bila u samoizolaciji.

Dva su moguća problema s ovakvom izjavom:

  1. Izjavom se prikuplja veći set podataka od onog koji je određen preporukama HZJZ-a, uključujući i podatke o zdravlju stranke. Podaci o zdravlju su osobni podaci posebne kategorije te se smiju prikupljati i obrađivati isključivo ako su ispunjeni posebni uvjeti sukladno GDPR-u. Nigdje u preporukama HZJZ-a ne nalazi se obveza ili potreba za prikupljanjem takvih podataka. U tom smislu, HZJZ jedino nalaže da se ne dozvoli ulazak u poslovni prostor osobama koje imaju izražene neke od simptoma bolesti.
  2. Sastavni dio Izjave su i informacije o obradama osobnih podataka gdje je navedeno da se podaci prikupljaju i obrađuju “sukladno Zakonu o zaštiti podataka […]” i to na osnovu privole ispitanika. Predmetni zakon nije na snazi još od 25. svibnja 2018. kad ga je zamijenio GDPR, a privola je neprimjenjiva pravna osnova za obradu osobnih podataka u ovom kontekstu.

Zbog navedenog, subjekti koji će pratiti upute HOK-a bit će u riziku od kažnjavanja zbog nepoštivanja odredbi GDPR-a.

U praksi, veliki broj subjekata u uslužnim djelatnostima već vodi evidenciju rezervacija ili dolazaka/odlazaka stranaka koju čine upravo podaci koje HZJZ navodi u svojim preporukama. Budući da nije nigdje striktno navedeno, nema potrebe za prikupljanjem dodatnih podataka, a naročito ne podataka o zdravstvenom stanju stranaka. Subjekti koji takve evidencije do sada nisu vodili, mogu ih voditi na najjednostavniji mogući način – u fizičkoj „evidenciji stranaka“ (knjiga) ili kao elektronički zapis (Excel tablica), a obavijest s informacijama o obradi osobnih podataka mogu učiniti dostupnom u dijelu poslovnog prostora kojem stranke imaju pristup.