Nakon što je u petak 16.04. AZOP dao detaljne i precizne upute kako se moraju prikupljati i dostavljati osobni podaci zaposlenika u javnom sektoru, temeljem prijave upućene AZOP-u:
https://azop.hr/utvrdivanje-prioriteta-u-planu-cijepljenja-protiv-bolesti-covid-19-preporuka-vezano-za-zastitu-osobnih-podataka/#
provjerili smo što se zbivalo.
Nažalost, izgledno je da se nijedna državna ili javna institucija, nijedno ministarstvo nisu sjetili na vrijeme konzultirati s AZOP-om kako bi se ovo prikupljanje podataka izvelo na siguran način i minimizirali rizici za tisuće zaposlenika u školskom sustavu.
Županijski stožeri civilne zaštite zatražili su posredstvom Županija od osnovnih i srednjih škola da ispune excell tablice zaposlenika škola zainteresiranih za cijepljenje i da ih dostave Županijama a dodatno su se iste tablice dostavljale prema naputcima u Ministarstvo znanosti i obrazovanja.
U konačnici su primatelji velikih količina osobnih podataka kroz brojne excell tablice i Ministarstvo zdravstva i HZJZ.
U ovom postupanju GDPR je ostao po strani:
- nijedna od institucija niti jedno ministarstvo nisu se ni na koji način deklarirali kao voditelj obrade, nisu navedeni kontakt podaci službenika za zaštitu podataka voditelja obrade, čl.13. GDPR-a zanemaren
- ni na koji način nisu prikazana prava svih pojedinaca iz članaka 12-22. GDPR-a i kako i na koje kontakte ih ostvariti, npr. kako provjeriti koje osobne podatke ministarstvo ima ili je zaprimilo, kako ih ispraviti ili izbrisati
- izostale su jasne informacije koje institucije ili ustanove su primatelji tih podataka, čl. 13. GDPR zanemaren, ali i čl. 14. GDPR-a.
- Štoviše, sad imamo situaciju da su brojne excell tablice završile na brojnim laptopima i stolnim računalima i na emailovima i mobilnim uređajima niza zaposlenika škola, županija, ministarstava i tko zna gdje, gdje će ostati trajno bez jasno definiranih rokova pohrane i sigurnog brisanja
- voditelj obrade, koji se uopće nije deklarirao, nije s obzirom na tekst na gornjem linku pripremio obrasce privola za zainteresirane zaposlenike školskog sustava niti im dao do znanja da ih mogu povući u svakom trenutku i kako to učiniti, čl. 7. GDPR-a zanemaren (iako smatramo da ovdje privola nije valjani pravni temelj, jer se podaci moraju dati na zahtjev ispitanika za dobrovoljnim cijepljem, a naknadno povlačenje privole ne smije imati posljedice na pojedinca i podaci se ne smiju brisati zbog evidentiranja cijepljenja i docjepljivanja)
- popunjene excell tablice u nezaštićenoj formi bez “zipanja” i enkripcije dostavljene su na niz strana u lancu distribucije i takvima su i zadržane u mailovima i računalima i pametnim telefonima brojnih sudionika lanca distribucije, čl. 5. st. točka e. i članci 25. i 32. GDPR-a nisu uvaženi
- prema naputcima zaposlenici su ostavljali ime i prezime, OIB, datum rođenja i svoje email adrese i mobilne brojeve, iako se moralo suziti količinu
podataka na onu koju zahtijeva cijepise.zdravlje.hr platforma, gdje se pojedinac odlučuje želi li dati email adresu ili tel.broj, ne oboje, čl. 5. st.1. točka c. zanemareni
Sad je nužno na nacionalnoj razini pokrenuti konkretne aktivnosti na minimiziranju rizika za prava i slobode zaposlenika školskog sustava, odnosno, sigurnom i trajnom brisanju excellica.
Jesu li ovakvim postupcima obuhvaćeni i drugi sektori, u ovom trenutku ne znamo.