Kako smo i ovdje na GDPR Croatia naglašavali i u ostalim diskusijama u više navrata isticali, sada to potvrđuje i ipak malo zakašnjela uputa AZOP-a, pročitajte je na ovom linku:
 
https://azop.hr/aktualno/detaljnije/obrada-osobnih-podataka-klijenata-u-usluznim-djelatnostima-u-kontekstu-covi
 
AZOP potvrđuje sve naše upute.
 
Izdvajamo:
 
- HZJZ je u skladu sa Odlukama Stožera civilne zaštite RH objavio Preporuke za rad u uslužnim djelatnostima koje uvjetuju fizički kontakt, kojima je preporučeno da pružatelj usluge treba zabilježiti vrijeme ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona
 
- voditelji obrade koji obavljaju uslužne djelatnosti dužni su voditi računa da se sukladno Preporuci HZJZ-a prikupljaju/obrađuju samo gore navedeni osobni podaci koji su relevantni za postizanje utvrđene svrhe u koju se obrađuju
 
- osim kontakt podataka (broj mobitela) korisnika usluga unutar kojeg je utemeljeno smatrati (iako nije izrijekom navedeno) i ime i prezime kako bi se znalo kome zabilježeni broj i vrijeme dolaska i odlaska pripadaju, za obradu drugih kategorija osobnih podataka (u navedenoj situaciji) ne nalazimo zakonitu osnovu iz članka 6. i 9. Opće uredbe o zaštiti podataka koja bi se primjenjivala na voditelje obrade koji se bave uslužnim djelatnostima
 
- Osobito ne nalazimo zakonitu osnovu za prikupljanje (pri tome se misli na obradu podataka u smislu bilježenja i čuvanja takvih zapisa) posebnih kategorija osobnih podataka koji se odnose na zdravlje korisnika usluga (primjerice: podatak o simptomima respiratornih bolesti, povišenoj temperaturi, mjerama samoizolacije i sl.) budući da takva obrada posebnih kategorija osobnih podataka nije u ingerenciji predmetnih voditelja obrade
 
- Stoga, budući da navedene informacije predstavljaju posebno osjetljive podatke, koji nisu navedeni u samim Preporukama HZJZ-a, uz pridružene i druge osobne podatke ispitanika (korisnika), prikupljanje tj. obrada istih sa aspekta zaštite osobnih podataka i primjene članka 5. Opće uredbe o zaštiti podataka smatrala bi se prekomjernom, a njihova daljnja obrada preinvazivnom
 
- Posebno je važno istaknuti da privola ispitanika u navedenom kontekstu suzbijanja širenja virusa COVID-19 nije primjenjiva kao zakonita osnova budući da nisu ispunjeni potrebni uvjeti za obradu osobnih podataka na temelju privole. Prije svega privola ne bi bila dobrovoljna i slobodno dana ako bi davanje usluge korisniku bilo uvjetovano davanjem privole i/ili nužnošću ispunjavanja određenih obrazaca putem kojih se prikupljaju osobni podaci.
 
- mora se poštivati načelo smanjenja količine podataka te da se ukoliko je prikupljanje osobnih podataka korisnika nužno
 
- svaki voditelj obrade dužan je voditi računa o odgovarajućoj sigurnosti osobnih podataka, uključujući zaštitu od neovlaštenog raspolaganja osobnim podacima (neovlašteni uvid, davanje na korištenje istih) te ih čuvati u obliku koji omogućuje identifikaciju korisnika usluga samo onoliko dugo koliko je potrebno u svrhu radi koje se osobni podaci obrađuju, primjerice u periodu dok traje pandemija COVID-19, a nakon toga je osobne podatke potrebno uništiti
 
- svaki voditelj obrade osobnih podataka mora voditi računa o načelima transparentne i poštene obrade osobnih podataka koji zahtijevaju da se ispitanik informira o postupku obrade i njihovim svrhama. U tom slučaju, pružanje informacija je jedna od temeljnih obveza voditelja obrade neovisno o pravnoj osnovi prikupljanja i daljnje obrade osobnih podataka te je isto potrebno u svakom slučaju obrade osobnih podataka na lako dostupan i razumljiv način uz uporabu jasnog i razumljivog jezika