Gospodarski subjekti koji u okviru svojih poslovnih aktivnosti pružaju usluge kojima se ostvaruje bliski kontakt s korisnicima/klijentima osobito su pogođeni pandemijom virusa COVID-19. Naime, Stožer civilne zaštite Republike Hrvatske (dalje: Stožer civilne zaštite) kao protuepidemijsku mjeru čiji je cilj sprječavanja širenja virusa COVID-19 i zaštita javnog zdravlja, dana 19. ožujka 2020. donio je Odluku o mjerama ograničavanja društvenih okupljanja, rada u trgovini, uslužnih djelatnosti i održavanja sportskih i kulturnih događanja (“Nar. nov.” br. 32/2020.) kojom je u potpunosti obustavljen rad uslužnih djelatnosti u kojima se ostvaruje bliski kontakt s klijentima (npr. frizeri, kozmetičari, brijači, pedikeri, saloni za masažu, saune, bazeni) na vremensko razdoblje od 30 dana.
S obzirom na poboljšanje epidemiološke situacije koje je uslijedilo u travnju 2020. u Republici Hrvatskoj je početkom svibnja 2020. započela faza revitalizacije gospodarskih djelatnosti, čime je ponovno dozvoljeno pružanje spomenutih usluga kojima se ostvaruje bliski kontakt s klijentima, ali uz poštivanje preporuka donesenih za rad pojedinih vrsta gospodarskih subjekata od strane Hrvatskog zavoda za javno zdravstvo dana 30. travnja 2020., a sve sukladno odlukama Stožera civilne zaštite Republike Hrvatske.
Kao jedna od preporuka koja proizlazi iz gore spomenutih dokumenata Hrvatskog zavoda za javno zdravstvo, navedena u točki 2.3. stavku 2., odnosi se na prikupljanje i obradu osobnih podataka korisnika usluga. Na ovom mjestu citirat ćemo preporuku vezanu za rad frizerskih salona objavljenu u točki 2.3., stavku 2. dokumenta naziva “Preporuke za rad frizerskih salona i brijačnica tijekom epidemije COVID-19”1 koja se tiče prikupljanja osobnih podataka klijenata frizerskih salona i brijačnica, a a koja glasi:
“Treba zabilježiti vrijeme ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona. Ta je informacija, u slučaju otkrivanja oboljelog koji je boravio u salonu u određeno vrijeme, potrebna epidemiolozima, kako bi što brže mogli identificirati i kontaktirati kontakte oboljelog te provesti mjere sprečavanja daljnjeg infekcije. Stranke treba pravovremeno upozoriti da će im se usluga pružit samo ako su
suglasni ostaviti podatke za kontakt.”
Iz gore navedenog proilazi da gospodarski subjekt/pružatelj usluga uvjetuje obavljanje svoih usluga klijentima prikupljanjem njihovih osobnih podataka, pa s tim u vezi treba sagledati širi okvir obrade osobnih podataka u kontekstu zakonitosti takve obrade.
Naime, uzimajući u obzir veliki interes gospodarskih subjekata koje pružaju takve usluge kojima se ostvaruje bliski kontakt s klijentima, ali i samih korisnika dotičnih usluga, Agencija za zaštitu osobnih podataka kao neovisno nadzorno tijelo u području zaštite osobnih podataka u Republici Hrvatskoj sukladno članku 57. stavku 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje: Opća uredba o zaštiti podataka) SL EU L119 je donijela i 2.
Prije svega treba istaknuti kako su člankom 5. Opće uredbe o zaštiti podataka propisana osnovna načela koja se primjenjuju na obradu osobnih podataka i to:
- načelo zakonitosti obrade,
- načelo točnosti podataka,
- načelo ograničavanja svrhe obrade,
- načelo smanjenja količine podataka,
- načelo ograničenja pohrane i
- načelo cjelovitosti i povjerljivosti.
Člankom 6. Opće uredbe o zaštiti podataka je propisano da je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjen barem jedan od sljedećih kriterija:
- ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha,
- obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na
zahtjev ispitanika prije sklapanja ugovora, - obrada je nužna radi poštovanja pravnih obveza voditelja obrade,
- obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe,
- obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade i
- obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.
Nadalje, temeljem članka 9., stavka 2., točke (i) obrada posebnih kategorija osobnih podataka, među koje spadaju i podaci o zdravlju, između ostalog dopuštena ako je nužna u svrhu javnog interesa u području javnog zdravlja.
Pored navedenog, sukladno članku 24. i 32. Opće uredbe o zaštiti podataka, voditelj obrade osobnih podataka je obvezan provoditi odgovarajuće tehničke i organizacijske mjere zaštite kako bi osigurao učinkovitu primjenu načela zaštite podataka, kao što je smanjenje količine podataka te primjenu odgovarajućih mjera zaštite osobnih podataka kako bi mogao dokazati da se štite prava ispitanika (korisnika usluga) odnosno da se obrada osobnih podataka provodi u skladu s Općom uredbom o zaštiti podataka.
Dakle, voditelji obrade osobnih podataka koji obavljaju uslužne djelatnosti kao protuepidemijsku mjeru sukladno preporukama Hrvatskog zavoda za javno zdravstvo, između ostalog, prikupljaju podatke svojih klijenata i to njihova imena i prezimena (usprkos tome što su samim preporukama Hrvatskog zavoda za javno zdravstvo to nije izričito navedeno) te njihove kontakte.
Prilikom prikupljanja/obrade navedenih podataka korisnika, voditelji obrade su dužni voditi računa da se sukladno preporukama Hrvatskog zavoda za javno zdravstvo prikupljaju/obrađuju samo gore navedeni osobni
podaci koji su relevantni za postizanje utvrđene svrhe u koju se obrađuju.
Sukladno stavu Hrvatske agencije za zaštitu osobnih podataka, osim navedenih osobnih podataka o imenu i prezimenu korisnika usluge te njegovog kontakta, gospodarski subjekti koji obavljaju uslužne djelatnosti kojima se ostvaruje bliski kontakt s klijentima, ne bi bili ovlašteni prikupljati, odnosno obrađivati bilo koji drugi osobni podatak korisnika svojih usluga.
Agencija za zaštitu osobnih podataka u svojoj preporuci navodi da za obradu drugih kategorija osobnih podataka (u navedenoj situaciji) ne nalazi zakonitu osnovu iz članka 6. i 9. Opće uredbe o zaštiti podataka koja bi se primjenjivala na voditelje obrade koji se bave uslužnim djelatnostima, a osobito da ne nalazi zakonitu osnovu za prikupljanje (pri tome se misli na obradu podataka u smislu bilježenja i čuvanja takvih zapisa) posebnih kategorija osobnih podataka koji se odnose na zdravlje korisnika usluga (primjerice: podatak o simptomima respiratornih bolesti, povišenoj temperaturi, mjerama samoizolacije i sl.) budući da takva obrada posebnih kategorija osobnih podataka nije u ingerenciji predmetnih voditelja obrade.
Stoga, a uzimajući u obzir budući da navedene informacije o zdravstvenom stanju korisnika usluga, predstavljaju posebno osjetljive podatke, koji nisu navedeni u samim preporukama Hrvatskog zavoda za javno zdravstvo, uz pridružene i druge osobne podatke ispitanika (korisnika), prikupljanje tj. obrada istih sa aspekta zaštite osobnih podataka i primjene članka 5. Opće uredbe o zaštiti podataka smatrala bi se prekomjernom, a njihova daljnja obrada preinvazivnom.
Imajući sve navedeno u vidu, a vezano za obradu osobnih podataka, Agencija za zaštitu osobnih podataka upozorava voditelje obrade na obvezu pridržavanja pozitivnih zakonskih propisa o zaštiti osobnih podataka, a prije svega odredbi Opće uredbe o zaštiti podataka, koja u Republici Hrvatskoj ima izravni učinak.
Što se tiče osnove prikupljanja/obrade osobnih podataka, Agencija za zaštitu osobnih podataka u svojoj preporuci posebno napominje kako u predmetnom kontekstu obrade osobnih podataka od strane gospodarskih subjekata koji pružaju spomenute usluge, privola ispitanika ne predstavlja zakonitu osnovu za obradu takvih podataka budući da nisu ispunjeni potrebni uvjeti za obradu osobnih podataka na temelju privole.
Naime, kako proilazi iz samog teksta preporuka Hrvatskog zavoda za javno zdravstvo, gospodarski subjekti koji obavljaju uslužne djelatnosti u kojima se ostvaruje fizički kontakt s korisnicima usluga, uvjetuju obavljanje svojih usluga upravo prikupljanjem predmetnih podataka, a iz čega proizlazi da podaci nisu dani dobrovoljno.
Naime, privola ispitanika kao jedna od Općom uredbom za zaštitu podataka propisanih zakonitih osnova za obradu osobnih podataka ispitanika podrazumijeva dobrovoljnost, a u ovom kontekstu, privola ne bi bila dobrovoljna i slobodno dana ako bi davanje usluge korisniku bilo uvjetovano davanjem privole i/ili nužnošću ispunjavanja određenih obrazaca putem kojih se prikupljaju osobni podaci, ističe Agencija za zaštitu osobnih podataka u svojoj preporuci.
Zaključno Agencija za zaštitu osobnih podataka preporučuje da se prilikom obrade osobnih podataka korisnika usluga koje uvjetuju fizički kontakt, vezano uz revitalizaciju djelatnosti i mjere suzbijanja virusa COVID-19 poštuju osnovna načela obrade osobnih podataka istaknuta u članku 5. Opće uredbe o zaštiti podataka, prije svega načelo smanjenja količine podataka te da se ukoliko je prikupljanje osobnih podataka korisnika nužno (uzimajući u obzir članak 9. Opće uredbe o zaštiti podataka) prilikom takvog prikupljanja osobnih podataka vodi računa o postojanju zakonite osnove za obradu (primjenom članka 6. i 9. Opće uredbe o zaštiti podataka).
Pored navedenog u preporuci Agencije za zaštitu osobnih podataka se ističe obveza voditelja obrade osobnih podataka voditi računa o odgovarajućoj sigurnosti osobnih podataka, što uključuje zaštitu od neovlaštenog raspolaganja osobnim podacima (neovlašteni uvid, davanje na korištenje), kao i čuvati osobne podatke u obliku koji omogućuje identifikaciju korisnika usluga samo onoliko dugo koliko je potrebno u svrhu radi koje se osobni podaci obrađuju, nakon čega je predmetne osobne podatke potrebno uništiti.
I na samom kraju, Agencija za zaštitu osobnih podataka u svojoj preporuci posebno ističe važnost informiranja ispitanika o prikupljanju i obradi osobnih podataka, kao jednoj od temeljnih obveza voditelja obrade osobnih podataka neovisno o pravnoj osovi obrade osobnih podataka. S tim u vezi, bitno je istaknuti da svaki voditelj obrade osobnih podataka mora voditi računa o načelima transparentnosti i poštenja prilikom obrade osobnih podataka te u tom smislu potpuno i pravovremeno, na lako dostupan i razumljiv način uz uporabu jasnog i razumljivog jezika informirati ispitanike, dakle, korisnike usluga o samom postupku obrade, kao i njegovoj svrsi.