U svom priopćenju, AZOP na prvom mjestu navodi kako je Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Budući da se u konkretnom slučaju radi o obradi posebnih kategorija osobnih podataka, a to su „podaci koji se odnose na zdravlje”, odnosno osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu, uz zakoniti pravni temelj za obradu podataka iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, potrebno je utvrditi i iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka, ističe AZOP u svom priopćenju.
Naime, članak 6. stavak 1. Opće uredbe o zaštiti podataka propisuje kako je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjen barem jedan od nastavno navedenih uvjeta:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) se ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Nadalje, AZOP u svom priopćenju ukazuje na to ako se obrada osobnih podataka odvija u skladu s pravnim obvezama kojima podliježe voditelj obrade ili ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti, tada bi se obrada osobnih podataka trebala temeljiti na pravu Unije ili na pravu države članice kojem voditelj obrade podliježe, s time da tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
U konkretnom slučaju u primjeni je Zakon o zaštiti pučanstva od zaraznih bolesti ("Narodne novine" br. 79/07., 113/08., 43/09., 130/17., 114/18., 47/20., 134/20.) koji u članku 47. određuje da se radi zaštite pučanstva Republike Hrvatske od unošenja kolere, kuge, virusnih hemoragijskih groznica, žute groznice, bolesti COVID-19 uzrokovane virusom SARS-CoV-2 i drugih zaraznih bolesti, poduzimaju se mjere određene predmetnim Zakonom o zaštiti pučanstva od zaraznih bolesti te međunarodnim ugovorima kojih je Republika Hrvatska stranka.
U nastavku predmetni članak 47. Zakona o zaštiti pučanstva od zaraznih bolesti određuje kako radi sprečavanja i suzbijanja zaraznih bolesti iz navedenog članka 47. stavka 1., na prijedlog Hrvatskog zavoda za javno zdravstvo ministar nadležan za zdravstvo može narediti posebne sigurnosne mjere za zaštitu pučanstva od zaraznih bolesti, pa tako između ostalog i zabraniti ili ograničiti održavanje javnih događanja i/ili okupljanja, zabranu ili ograničenje održavanja privatnih okupljanja ili druge potrebne mjere.
Nadalje, sukladno članku 47. stavku 4., kada je, sukladno članku 2. stavcima 4. i 5. Zakona o zaštiti pučanstva od zaraznih bolesti proglašena epidemija zarazne bolesti ili opasnost od epidemije zarazne bolesti u odnosu na koju je i Svjetska zdravstvena organizacija proglasila pandemiju, odnosno epidemiju ili opasnost od nje, sigurnosne mjere iz stavaka 1. do 3. predmetnog članka 47. može odlukom narediti, u suradnji s Ministarstvom zdravstva i Hrvatskim zavodom za javno zdravstvo, i Stožer civilne zaštite Republike Hrvatske. Odluke Stožera donose se pod neposrednim nadzorom Vlade Republike Hrvatske.
Iz navedenog proizlazi kako predmetna Odluka Stožera civilne zaštite Republike Hrvatske predstavlja zakoniti pravni temelj za obradu iz članka 6. stavka 1. Opće uredbe o zaštiti podataka budući da je obrada nužna radi poštovanja pravnih obveza voditelja obrade (točka c)) odnosno jer je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (točka e)).
Nadalje AZOP u svom priopćenju ističe kako u konkretnom slučaju, iznimke načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka potpadaju pod sljedeće točke:
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika,
(g) obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika i
(i) obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne.
Dakle, AZOP smatra kako je mjera uvida u EU COVID potvrdu odnosno drugi odgovarajući dokaz prilikom ulaska u službene prostorije, određena predmetnom Odlukom Stožera civilne zaštite Republike Hrvatske o uvođenju posebne sigurnosne mjere testiranja dužnosnika, državnih službenika i namještenika, službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova, zakonita.
Nadalje, u odnosu na sam uvid u osobni identifikacijski dokument u svrhu provjere identiteta osobe (nositelja konkretne potvrde), AZOP napominje kako se radi o neautomatiziranoj obradi osobnih podataka bez sustava pohrane, odnosno kako se radi o uvidu u osobne podatke pojedinaca koji nisu namijenjeni činiti dio sustava pohrane te se u tom slučaju ne radi o primjeni Opće uredbe o zaštiti podataka u smislu odredbe članka 2. stavka 1. iste.
U nastavku AZOP naglašava kako bi svaka daljnja obrada (nakon uvida odnosno provjere valjanosti), koja uključuje primjerice kopiranje, skeniranje, fotografiranje i sl. EU COVID potvrde odnosno drugog odgovarajućeg dokaza, predstavljala prekomjernu obradu koja nije u skladu s propisima kojima je uređena zaštita osobnih podataka.
Međutim, ukoliko bi poslodavac ispitanika htio pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, tada bi sam poslodavac, kako bi osigurao zakonitost predmetne obrade odnosne pohrane, bio u obvezi pozvati se na neki drugi pravni temelj iz članka 6. stavka 1. Opće uredbe o zaštiti podataka.
Jednako tako, budući da se radi o obradi posebnih kategorija osobnih podataka, ukoliko bi poslodavac htio pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, poslodavac bi također bio obvezan primijeniti i jednu od iznimki načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
Iako privola zaposlenika u većini slučajeva nije primjenjivi pravni temelj za zakonitost obrade u radnim odnosima zbog neravnoteže moći između radnika i poslodavca, AZOP smatra da u konkretnom slučaju privola može biti dobrovoljno dana budući da zaposlenik ima alternativu te da nije izgledno kako će isti trpjeti negativne posljedice ukoliko uskrati privolu.
U to smislu, AZOP smatra da, u konkretnom slučaju, izričita privola zaposlenika može predstavljati valjani pravni temelj za pohranu podatka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza, odnosno iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka pod uvjetom da poslodavac pohranom navedenog podatka zaista može olakšati/ubrzati provedbu sigurnosne mjere obvezatnog testiranja.
Jednako tako, isto je moguće pod navedenim uvjetima i za pružatelje usluga iz članka V. predmetne Odluke Stožera civilne zaštite Republike Hrvatske.
S navedenim u vezi, AZOP ističe kako se u slučaju pohrane podatka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza isti podatak mora izbrisati po povlačenju izričite privole ispitanika, po isteku valjanosti navedenih potvrda odnosno po prestanku važenja predmetne Odluke Stožera civilne zaštite Republike Hrvatske.
AZOP u svom priopćenju također ističe kako s druge strane, s obzirom na sve prethodno navedeno, proizlazi kako pohrana podataka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza stranaka koje dolaze u službene prostorije ne bi bila sukladna propisima kojima je uređena zaštita osobnih podataka.
Nastavno na navedeno, AZOP, a uzimajući u obzir obvezu poduzimanja odgovarajućih mjera zaštite osobnih podataka, smatra potrebnim da voditelj obrade osobnih podataka, odnosno nadležno tijelo jasno definira postupke provjere odnosno obrade osobnih podataka. Tako da je osobito bitno definirati osobe koje su ovlaštene za provedbu pojedinih postupaka, detaljno propisati postupak vizualne i digitalne provjere (QR code) EU digitalne COVID potvrde, kao i postupak obrade osobnih podataka osoba koje eventualno odbiju postupati sukladno predmetnoj Odluci Stožera civilne zaštite Republike Hrvatske.
Ovim priopćenjem AZOP osobito naglašava potrebu transparentnog postupanja s osobnim podacima, osobito u smislu pružanja točnih i potpunih informacija o obradi osobnih podataka samih ispitanika. Tako je i u konkretnom slučaju potrebno dati informacije o tome da voditelj obrade obrađuje osobne podatke, u koju svrhu se isti obrađuju, u kojem opsegu, vrši li se isključivo uvid u osobne podatke ili se oni pohranjuju, ukoliko se pohranjuju – koliko dugo se pohranjuju, kako ispitanik može ostvariti svoja prava iz područja zaštite osobnih podataka, kontakt podatke službenika za zaštitu podataka i druge informacije iz članka 13. Opće uredbe o zaštiti podataka. Naime, preporuka je Agencije da se informacije daju sažeto, jasno i razumljivo te da budu lako dostupne svim ispitanicima na koje se odnose.
Vezano za članak XI. predmetne Odluke Stožera civilne zaštite Republike Hrvatske, a kojim je propisana preporuka svim drugim poslodavcima u vezi uvođenja mjere obveznog testiranja svojih zaposlenika i drugih osoba koje dolaze u njihove poslovne prostore, AZOP smatra nužnim isto propisati obvezatnim Odlukom stožera civilne zaštite Republike Hrvatske u trenutku ispunjenja uvjeta s obzirom na epidemiološku situaciju. Naime, preporuka Stožera civilne zaštite Republike Hrvatske, smatra AZOP, zbog svog neobaveznog karaktera ne može predstavljati pravni temelj za zakonitost obrade iz članka 6. stavka 1. točke c) odnosno e) Opće uredbe o zaštiti podataka.
Maja Bilić Paulić, mag. iur.
IZVOR: Priopćenje o obradi osobnih podataka u kontekstu Odluke o uvođenju posebne sigurnosne mjere testiranja dužnosnika, državnih službenika i namještenika, službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova od 16. studenog 2021., pristupljeno 20. studenog 2021.
