Uvođenjem COVID potvrde potegnuto je pitanje zaštite osobnih podataka, a osim što se sve češće čuje u neformalnim razgovorima, istaknuto je i na službenoj stranici EU digitalne COVID potvrde pod čestim pitanjima.
Tamo je pak istaknuto kako EU digitalna COVID potvrda sadrži osnovne informacije kao što su ime, datum rođenja, datum izdavanja potvrde, relevantne informacije o cijepljenju, testiranju i preboljenju te jedinstveni identifikator potvrde.
"Sama potvrda uključuje ograničeni skup tek najnužnijih informacija. Za potrebe provjere vjerodostojnosti kontrolira se samo valjanosti digitalnog potpisa potvrde. Svi zdravstveni podaci ostaju pohranjeni isključivo u državi članici koja je izdala EU digitalnu COVID potvrdu", stoji u odgovoru.
No ni to nije dovoljno umirilo skeptike pa se o svemu oglasila Agencija za zaštitu osobnih podataka.
Podsjetili su tom prilikom na zakonski okvir, ali i iznimku u određenim slučajevima. Osim toga, pojasnili su i zašto poslodavac, ili bilo tko drugi, ne bi smio kopirati COVID potvrdu te koja je alternativa.
Njihovo priopćenje prenosimo u cijelosti:
"Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Kad se radi o obradi posebnih kategorija osobnih podataka (ovdje zdravstvenih podataka), uz zakoniti pravni temelj za obradu podataka iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, potrebno je utvrditi i iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) se ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
U konkretnom slučaju u primjeni je Zakon o zaštiti pučanstva od zaraznih bolesti (NN 79/07, 113/08, 43/09, 130/17, 114/18, 47/20, 134/20) koji u članku 47. određuje da se radi zaštite pučanstva Republike Hrvatske od, između ostalog, bolesti COVID-19 uzrokovane virusom SARS-CoV-2 i drugih zaraznih bolesti, poduzimaju mjere određene ovim Zakonom te međunarodnim ugovorima kojih je Republika Hrvatska stranka.
U nastavku predmetnog članka je određeno da radi sprečavanja i suzbijanja zaraznih bolesti iz stavka 1. ovoga članka, na prijedlog Hrvatskog zavoda za javno zdravstvo ministar može narediti posebne sigurnosne mjere za zaštitu pučanstva od zaraznih bolesti između ostalog i zabranu ili ograničenje održavanja javnih događanja i/ili okupljanja, zabranu ili ograničenje održavanja privatnih okupljanja ili druge potrebne mjere.
Nadalje, sukladno stavku 4. navedenog članka, kada je, sukladno članku 2. stavcima 4. i 5. ovoga Zakona, proglašena epidemija zarazne bolesti ili opasnost od epidemije zarazne bolesti u odnosu na koju je i Svjetska zdravstvena organizacija proglasila pandemiju, odnosno epidemiju ili opasnost od nje, sigurnosne mjere iz stavaka 1. do 3. ovoga članka može odlukom narediti, u suradnji s Ministarstvom zdravstva i Hrvatskim zavodom za javno zdravstvo, i Stožer civilne zaštite Republike Hrvatske. Odluke Stožera donose se pod neposrednim nadzorom Vlade Republike Hrvatske.
Dakle, predmetna Odluka Stožera civilne zaštite Republike Hrvatske predstavlja zakoniti pravni temelj za obradu iz članka 6. stavka 1. Opće uredbe o zaštiti podataka jer je obrada nužna radi poštovanja pravnih obveza voditelja obrade (točka c)) odnosno jer je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (točka e)).
Nadalje, u konkretnom slučaju, iznimke načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka potpadaju pod sljedeće točke:
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika,
(g) obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika i
(i) obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne.
Dakle, sukladno predmetnoj Odluci Stožera civilne zaštite Republike Hrvatske, uvid u EU COVID potvrdu odnosno drugi odgovarajući dokaz prilikom ulaska u službene prostorije je zakonit. Razumijeva se da uvid u EU COVID potvrdu može uključiti i provjeru njene valjanosti putem aplikacije CovidGO.
Nadalje, u odnosu na sam uvid u osobni identifikacijski dokument u svrhu provjere identiteta osobe (nositelja konkretne potvrde), napominjemo da se radi o neautomatiziranoj obradi osobnih podataka bez sustava pohrane odnosno o uvidu u osobne podatke pojedinaca koji nisu namijenjeni činiti dio sustava pohrane te se u tom slučaju ne radi o primjeni Opće uredbe o zaštiti podataka u smislu odredbe članka 2. stavka 1. iste.
Osobito naglašavamo kako bi svaka daljnja obrada (nakon uvida odnosno provjere valjanosti), koja uključuje primjerice kopiranje, skeniranje, fotografiranje i sl. EU COVID potvrde odnosno drugog odgovarajućeg dokaza, predstavljala prekomjernu obradu koja nije u skladu s propisima kojima je uređena zaštita osobnih podataka.
Međutim, ukoliko poslodavac želi pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, poslodavac je dužan pronaći drugi pravni temelj iz članka 6. stavka 1. Opće uredbe o zaštiti podataka za zakonitost takve obrade odnosno pohrane.
Jednako tako, budući da se, ponavljamo, radi o obradi posebnih kategorija osobnih podataka, ukoliko poslodavac želi pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, poslodavac je dužan primijeniti i jednu od iznimki načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
Iako privola zaposlenika u većini slučajeva nije primjenjivi pravni temelj za zakonitost obrade u radnim odnosima zbog neravnoteže moći između radnika i poslodavca, Agencija za zaštitu osobnih podataka smatra da u konkretnom slučaju privola može biti dobrovoljno dana jer radnik ima alternativu i jer nije izgledno da će trpjeti negativne posljedice ukoliko uskrati privolu.
U to smislu, Agencija za zaštitu osobnih podataka smatra da, u konkretnom slučaju, izričita privola zaposlenika može predstavljati valjani pravni temelj za pohranu podatka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza, odnosno iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka pod uvjetom da poslodavac pohranom navedenog podatka zaista može olakšati/ubrzati provedbu sigurnosne mjere obvezatnog testiranja.
Jednako tako, isto je moguće pod navedenim uvjetima i za pružatelje usluga iz članka V. predmetne Odluke Stožera civilne zaštite Republike Hrvatske.
Razumijeva se da se u slučaju pohrane podatka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza isti podatak mora izbrisati po povlačenju izričite privole ispitanika, po isteku valjanosti navedenih potvrda odnosno po prestanku važenja predmetne Odluke Stožera civilne zaštite Republike Hrvatske.
S druge strane, s obzirom na sve navedeno proizlazi da pohrana podataka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza stranaka koje dolaze u službene prostorije ne bi bila sukladna propisima kojima je uređena zaštita osobnih podataka.
Nastavno na navedeno, Agencija za zaštitu osobnih podataka, a uzimajući u obzir obvezu poduzimanja odgovarajućih mjera zaštite osobnih podataka, smatra potrebnim da voditelj obrade (nadležno tijelo) jasno definira procese potrebne za provjeru odnosno obradu osobnih podataka. Tako je osobito bitno: definirati osobe koje su ovlaštene za pojedine procese, detaljno propisati postupak vizualne i digitalne provjere (QR code) EU COVID potvrde, kao i postupak obrade osobnih podataka osoba koje eventualno odbiju postupati sukladno predmetnoj Odluci.
Ovim putem Agencija za zaštitu osobnih podataka osobito naglašava potrebu transparentnog postupanja s osobnim podacima, osobito u smislu pružanja točnih i potpunih informacija o obradi osobnih podataka pojedinaca. Tako je i u konkretnom slučaju potrebno dati informacije o tome da voditelj obrade obrađuje osobne podatke, u koju svrhu se isti obrađuju, u kojem opsegu, vrši li se isključivo uvid u osobne podatke ili se oni pohranjuju, ukoliko se pohranjuju – koliko dugo se pohranjuju, kako ispitanik može ostvariti svoja prava iz područja zaštite osobnih podataka, kontakt podatke službenika za zaštitu podataka i druge informacije iz članka 13. Opće uredbe o zaštiti podataka. Naime, preporuka je Agencije da se informacije daju sažeto, jasno i razumljivo te da budu lako dostupne svim ispitanicima kojih se tiču.
Vezano za članak XI. predmetne Odluke Stožera civilne zaštite Republike Hrvatske, a kojim je propisana preporuka svim drugim poslodavcima u vezi uvođenja mjere obveznog testiranja svojih zaposlenika i drugih osoba koje dolaze u njihove poslovne prostore, Agencija za zaštitu osobnih podataka smatra nužnim isto propisati obvezatnim Odlukom stožera civilne zaštite Republike Hrvatske u trenutku ispunjenja uvjeta s obzirom na epidemiološku situaciju. Naime, preporuka Stožera civilne zaštite Republike Hrvatske zbog svoje neobvezatnosti ne može predstavljati pravni temelj za zakonitost obrade iz članka 6. stavka 1. točke c) odnosno e) Opće uredbe o zaštiti podataka", naveli su.