MAGALINA

Prikupljanje podataka u uslužnim djelatnostima

Agencija za zaštitu osobnih podataka (u tekstu: Agencija), kao neovisno nadzorno tijelo u području zaštite osobnih podataka u Republici Hrvatskoj, potaknuta upitima fizičkih i pravnih osoba vezanim za obradu osobnih podataka klijenata u uslužnim djelatnostima koje uvjetuju fizički kontakt (frizeri, brijačnice, kozmetički saloni), u odnosu na revitalizaciju djelatnosti i mjere suzbijanja širenja virusa COVID-19 donijela je mišljenje, odnosno preporuku za prikupljanje, tj. obradu osobnih podataka koju je objavila na svojoj web stranici.

Preporuke za rad u uslužnim djelatnostima kod prikupljanja osobnih podataka

Hrvatski zavod za javno zdravstvo (HZJZ) u skladu sa Odlukama Stožera civilne zaštite RH objavio je Preporuke za rad u uslužnim djelatnostima koje uvjetuju fizički kontakt gdje je preporučeno da pružatelj usluge treba zabilježiti vrijeme ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona. Tako su pružatelji usluga, odnosno voditelji obrade dužni voditi računa da se sukladno Preporuci HZJZ-a prikupljaju/obrađuju samo navedeni osobni podaci koji su relevantni za postizanje utvrđene svrhe zbog koje se podaci obrađuju.

Agencija u preporuci navodi kako nema zakonite osnove za prikupljanje drugih podataka: „Osim kontakt podataka (broj mobitela) korisnika usluga unutar kojeg je utemeljeno smatrati (iako nije izrijekom navedeno) i ime i prezime kako bi se znalo kome zabilježeni broj i vrijeme dolaska i odlaska pripadaju, za obradu drugih kategorija osobnih podataka (u navedenoj situaciji) ne nalazimo zakonitu osnovu iz članka 6. i 9. Opće uredbe o zaštiti podataka koja bi se primjenjivala na voditelje obrade koji se bave uslužnim djelatnostima. Osobito ne nalazimo zakonitu osnovu za prikupljanje (pri tome se misli na obradu podataka u smislu bilježenja i čuvanja takvih zapisa) posebnih kategorija osobnih podataka koji se odnose na zdravlje korisnika usluga (primjerice: podatak o simptomima respiratornih bolesti, povišenoj temperaturi, mjerama samoizolacije i sl.) budući da takva obrada posebnih kategorija osobnih podataka nije u ingerenciji predmetnih voditelja obrade. Stoga, budući da navedene informacije predstavljaju posebno osjetljive podatke, koji nisu navedeni u samim Preporukama HZJZ-a, uz pridružene i druge osobne podatke ispitanika (korisnika), prikupljanje tj. obrada istih sa aspekta zaštite osobnih podataka i primjene članka 5. Opće uredbe o zaštiti podataka smatrala bi se prekomjernom, a njihova daljnja obrada preinvazivnom.“

Načela obrade osobnih podataka (utvrđene u članku 5. Opće uredbe o zaštiti podataka) su: zakonitost, poštenost i transparentnost obrade, ograničavanje svrhe obrade, smanjenje količine podataka, točnost podataka, ograničenja pohrane i načelo cjelovitosti i povjerljivosti.

Agencija navodi kako privola ispitanika u navedenom kontekstu suzbijanja širenja virusa COVID-19 nije primjenjiva kao zakonita osnova budući da nisu ispunjeni potrebni uvjeti za obradu osobnih podataka na temelju privole. Privola ne bi bila dobrovoljna i slobodno dana ako bi davanje usluge korisniku bilo uvjetovano davanjem privole i/ili nužnošću ispunjavanja određenih obrazaca putem kojih se prikupljaju osobni podaci.

Zakonita obrada

Podsjećamo na odredbu članka 6. Opće uredbe o zaštiti podataka (GDPR uredba) kojom je određeno kako je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg:

  • ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
  • obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
  • obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
  • obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
  • obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
  • obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, pri čemu se navedeno ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.

Iz navedenog slijedi kako voditelj obrade mora tražiti privolu ispitanika samo u slučaju kada nije ispunjen niti jedan od drugih navedenih uvjeta za zakonitost obrade osobnih podataka ispitanika.

Pridržavanje zakonskih propisa o zaštiti osobnih podataka

Iz Agencije upozoravaju voditelje obrade na obvezu pridržavanja pozitivnih zakonskih propisa o zaštiti osobnih podataka, između kojih ističu izravnu primjenu Opće uredba o zaštiti podataka (GDPR uredba), te naglašavaju: „Svaki voditelj obrade dužan je voditi računa o odgovarajućoj sigurnosti osobnih podataka, uključujući zaštitu od neovlaštenog raspolaganja osobnim podacima (neovlašteni uvid, davanje na korištenje istih) te ih čuvati u obliku koji omogućuje identifikaciju korisnika usluga samo onoliko dugo koliko je potrebno u svrhu radi koje se osobni podaci obrađuju, primjerice u periodu dok traje pandemija COVID-19, a nakon toga je osobne podatke potrebno uništiti. Što se tiče informiranja ispitanika o prikupljanju i obradi osobnih podataka navodimo kako svaki voditelj obrade osobnih podataka mora voditi računa o načelima transparentne i poštene obrade osobnih podataka koji zahtijevaju da se ispitanik informira o postupku obrade i njihovim svrhama.“

Cjelokupno rješenje, odnosno preporuku Agencije možete pogledati OVDJE.

Ako imate kakvih pitanja, sugestija ili komentara na navedeno slobodno nas kontaktirajte.