Prenosimo stajalište AZOP-a kao jedinog relevantnog tijela u RH za primjenu GDPR-a.
 
Ne možemo izbrojati koliko smo puta ovih dana dobili upite i zahtjeve, od privatnih do službenih kao Službenika za zaštitu podataka za niz javnih ustanova i državnih tvrtki, da pojasnimo pravni temelj iz GDPR-a o prikupljanju COVID potvrda i drugih potvrda o izuzeću od obveze testiranja, u okolnostima donesene Odluke Stožera civilne zaštite od 12.11.2021.
 
I, reći ćemo, možemo mi dati svoje mišljenje i stajališta, ali konačno je ovo od strane AZOP-a.
 
Izdvajamo osnovne odredbe, a cijeli tekst stajališta je na donjem linku:
 
-----------------------------------------------------------------------
U konkretnom slučaju u primjeni je Zakon o zaštiti pučanstva od zaraznih bolesti (NN 79/07, 113/08, 43/09, 130/17, 114/18, 47/20, 134/20) koji u članku 47. određuje da se radi zaštite pučanstva Republike Hrvatske od, između ostalog, bolesti COVID-19 uzrokovane virusom SARS-CoV-2 i drugih zaraznih bolesti, poduzimaju mjere određene ovim Zakonom te međunarodnim ugovorima kojih je Republika Hrvatska stranka.
 
U nastavku predmetnog članka je određeno da radi sprečavanja i suzbijanja zaraznih bolesti iz stavka 1. ovoga članka, na prijedlog Hrvatskog zavoda za javno zdravstvo ministar može narediti posebne sigurnosne mjere za zaštitu pučanstva od zaraznih bolesti između ostalog i zabranu ili ograničenje održavanja javnih događanja i/ili okupljanja, zabranu ili ograničenje održavanja privatnih okupljanja ili druge potrebne mjere.
 
Nadalje, sukladno stavku 4. navedenog članka, kada je, sukladno članku 2. stavcima 4. i 5. ovoga Zakona, proglašena epidemija zarazne bolesti ili opasnost od epidemije zarazne bolesti u odnosu na koju je i Svjetska zdravstvena organizacija proglasila pandemiju, odnosno epidemiju ili opasnost od nje, sigurnosne mjere iz stavaka 1. do 3. ovoga članka može odlukom narediti, u suradnji s Ministarstvom zdravstva i Hrvatskim zavodom za javno zdravstvo, i Stožer civilne zaštite Republike Hrvatske. Odluke Stožera donose se pod neposrednim nadzorom Vlade Republike Hrvatske.
 
Dakle, predmetna Odluka Stožera civilne zaštite Republike Hrvatske predstavlja zakoniti pravni temelj za obradu iz članka 6. stavka 1. Opće uredbe o zaštiti podataka jer je obrada nužna radi poštovanja pravnih obveza voditelja obrade (točka c)) odnosno jer je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (točka e)).
 
Nadalje, u konkretnom slučaju, iznimke načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka potpadaju pod sljedeće točke:
 
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika,
 
(g) obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika i
 
(i) obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne.
 
Dakle, sukladno predmetnoj Odluci Stožera civilne zaštite Republike Hrvatske, uvid u EU COVID potvrdu odnosno drugi odgovarajući dokaz prilikom ulaska u službene prostorije je zakonit. Razumijeva se da uvid u EU COVID potvrdu može uključiti i provjeru njene valjanosti putem aplikacije CovidGO.
 
Nadalje, u odnosu na sam uvid u osobni identifikacijski dokument u svrhu provjere identiteta osobe (nositelja konkretne potvrde), napominjemo da se radi o neautomatiziranoj obradi osobnih podataka bez sustava pohrane odnosno o uvidu u osobne podatke pojedinaca koji nisu namijenjeni činiti dio sustava pohrane te se u tom slučaju ne radi o primjeni Opće uredbe o zaštiti podataka u smislu odredbe članka 2. stavka 1. iste.
 
Osobito naglašavamo kako bi svaka daljnja obrada (nakon uvida odnosno provjere valjanosti), koja uključuje primjerice kopiranje, skeniranje, fotografiranje i sl. EU COVID potvrde odnosno drugog odgovarajućeg dokaza, predstavljala prekomjernu obradu koja nije u skladu s propisima kojima je uređena zaštita osobnih podataka.
 
Međutim, ukoliko poslodavac želi pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, poslodavac je dužan pronaći drugi pravni temelj iz članka 6. stavka 1. Opće uredbe o zaštiti podataka za zakonitost takve obrade odnosno pohrane.
 
Jednako tako, budući da se, ponavljamo, radi o obradi posebnih kategorija osobnih podataka, ukoliko poslodavac želi pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, poslodavac je dužan primijeniti i jednu od iznimki načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
 
Iako privola zaposlenika u većini slučajeva nije primjenjivi pravni temelj za zakonitost obrade u radnim odnosima zbog neravnoteže moći između radnika i poslodavca, Agencija za zaštitu osobnih podataka smatra da u konkretnom slučaju privola može biti dobrovoljno dana jer radnik ima alternativu i jer nije izgledno da će trpjeti negativne posljedice ukoliko uskrati privolu.
 
U to smislu, Agencija za zaštitu osobnih podataka smatra da, u konkretnom slučaju, izričita privola zaposlenika može predstavljati valjani pravni temelj za pohranu podatka o trajanju EU COVID potvrde odnosno drugog odgovarajućeg dokaza, odnosno iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka pod uvjetom da poslodavac pohranom navedenog podatka zaista može olakšati/ubrzati provedbu sigurnosne mjere obvezatnog testiranja.
 
Nastavno na navedeno, Agencija za zaštitu osobnih podataka, a uzimajući u obzir obvezu poduzimanja odgovarajućih mjera zaštite osobnih podataka, smatra potrebnim da voditelj obrade (nadležno tijelo) jasno definira procese potrebne za provjeru odnosno obradu osobnih podataka. Tako je osobito bitno: definirati osobe koje su ovlaštene za pojedine procese, detaljno propisati postupak vizualne i digitalne provjere (QR code) EU COVID potvrde, kao i postupak obrade osobnih podataka osoba koje eventualno odbiju postupati sukladno predmetnoj Odluci.
 
Ovim putem Agencija za zaštitu osobnih podataka osobito naglašava potrebu transparentnog postupanja s osobnim podacima, osobito u smislu pružanja točnih i potpunih informacija o obradi osobnih podataka pojedinaca. Tako je i u konkretnom slučaju potrebno dati informacije o tome da voditelj obrade obrađuje osobne podatke, u koju svrhu se isti obrađuju, u kojem opsegu, vrši li se isključivo uvid u osobne podatke ili se oni pohranjuju, ukoliko se pohranjuju – koliko dugo se pohranjuju, kako ispitanik može ostvariti svoja prava iz područja zaštite osobnih podataka, kontakt podatke službenika za zaštitu podataka i druge informacije iz članka 13. Opće uredbe o zaštiti podataka. Naime, preporuka je Agencije da se informacije daju sažeto, jasno i razumljivo te da budu lako dostupne svim ispitanicima kojih se tiču.
 
Vezano za članak XI. predmetne Odluke Stožera civilne zaštite Republike Hrvatske, a kojim je propisana preporuka svim drugim poslodavcima u vezi uvođenja mjere obveznog testiranja svojih zaposlenika i drugih osoba koje dolaze u njihove poslovne prostore, Agencija za zaštitu osobnih podataka smatra nužnim isto propisati obvezatnim Odlukom stožera civilne zaštite Republike Hrvatske u trenutku ispunjenja uvjeta s obzirom na epidemiološku situaciju.
 
Naime, preporuka Stožera civilne zaštite Republike Hrvatske zbog svoje neobvezatnosti ne može predstavljati pravni temelj za zakonitost obrade iz članka 6. stavka 1. točke c) odnosno e) Opće uredbe o zaštiti podataka.
 
-----------------------------------------------------------------------
 
https://azop.hr/priopcenje-agencije-za-zastitu-osobnih-podataka-o-obradi-osobnih-podataka-u-kontekstu-odluke-o-uvodenju-posebne-sigurnosne-mjere-testiranja-duznosnika-drzavnih-sluzbenika-i-namjestenika-sluzbenika-i/