A mislili smo da smo već sve vidjeli...
 
Veliko hvala našoj vjernoj pratiteljici koja nam je ukazala na konkretan slučaj iz Hrvatske.
 
Jedna domaća tvrtka na svojim web stranicama i Facebooku uvjetuje osobno preuzimanje kupljenih proizvoda obveznom dostavom liječničke dokumentacije obiteljskog liječnika kojom se dokazuje da je kupac cijepljen protiv COVID-19 zaraze.
 
Nećemo otkrivati identitet tvrtke ali se iskreno nadamo da će pročitati ovaj post.
 
Nismo ustavni stručnjaci niti dovoljno relevantni u području zaštite temeljnih ljudskih prava i u području epidemiologije, tako da ćemo za uvod nakratko podijeliti laičko mišljenje.
 
Cijepljenje protiv COVID-19 zaraze je u stvar slobodnog odabira svake osobe. Autor ovog članka daje punu podršku cijepljenju ali isto tako smatra da nitko ne smije uvjetovati drugoj osobi da se cijepi ili ne cijepi, osim ako je tako utvrđeno zakonom ili posebnim propisom. S druge strane, činjenica da je netko cijepljen ne znači i da nije zarazan i da ne može prenositi virus, tako nam barem vodeći stručnjaci izjavljuju u medijima.
 
Stoga dolazimo do potpuno laičkog zaključka da uvjetovanje osobnog preuzimanja kupljenog proizvoda prethodno izvršenim cijepljenjem nema nikakve poveznice s važećim epidemiološkim mjerama koje svaki poslovni subjekt i poslodavac mora poduzeti kako bi zaštitio svoje zaposlenike i ostale osobe od širenja zaraze.
 
 
Međutim, kad je u pitanju zaštita osobnih podataka, želimo skrenuti pozornost na izgledno kršenje GDPR-a.
 
Poslovni subjekti u okviru obveza provođenja epidemioloških mjera moraju učiniti sve razumne mjere u sprječavanju ulaska potencijalno zaražene osobe mjerenjem temperature i promatranjem simptoma. Pri tom se vrijednosti izmjerene temperature ne trebaju pohranjivati, ali je svakako dobro zapisati tko je kojeg dana i u koje vrijeme bio s kojim zaposlenikom u kontaktu u poslovnom prostoru, kako bismo omogućili epidemiolozima u njihovom pronalaženju kontakata zaraženog.
 
Liječnička dokumentacija izdana od strane liječnika obiteljske medicine predstavlja podatak o zdravlju pojedinca, a u slučaju podataka o cijepljenju mogla bi predstavljati i druge posebne kategorije osobnih podataka iz članka 9. GDPR-a.
 
U članku 9. GDPR-a utvrđuje se opća zabrana prikupljanja takvih posebnih kategorija osobnih podataka, osim ukoliko je zadovoljen jedan od točno 10 kriterija. U konkretnom slučaju ne zadovoljava se nijedan.
 
Uvjetovanjem osobnog preuzimanja kupljenog proizvoda dostavom liječničke dokumentacije o prethodno izvršenom cijepljenju, s obzirom na sve prethodno rečeno, smatramo kršenjem članka 9. GDPR-a.
 
Istovremeno, krši se i članak 5. GDPR-a, konkretno načelo zakonite i poštene obrade i transparentnosti kao i načelo smanjenja količine podataka, odnosno, osiguranja da su traženi osobni podaci primjereni, relevantni i ograničeni na svrhu sprječavanja ulaska zaraze u poslovni prostor kroz zadane epidemiološke mjere.
 
Zanimljivo je primijetiti da tvrtka koja traži dostavu liječničke dokumentacije liječnika obiteljske medicine nigdje ne navodi svrhu, rok na koji zadržavaju dokumentaciju, kome je otkrivaju u određenim slučajevima i koja su prava svakog od pojedinaca u zaštiti svoje privatnosti, između ostalog i pravo na pritužbu AZOP-u na Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
 
Nadamo se da će se tvrtka prepoznati u ovom postu i odustati od svojih namjera.