Visoki upravni sud u Hamburgu svojom je presudom utvrdio da je, najkraće rečeno, obrada osobnih podataka ono postupanje s osobnim podacima za koje je nužna ljudska aktivnost. A sve ostalo ne spada u režim GDPR-a.
 
Štoviše, Sud u Hamburgu je zauzeo stajalište da osobni podaci bez rukovanja njima ne predstavljaju obradu osobnih podataka.
 
Ovakvo stajalište suda može, ako bude opće prihvaćeno, imati dalekosežne i loše posljedice na cijeli okvir zaštite naše privatnosti.
 
Kako GDPR određuje što je obrada osobnih podataka?
 
Članak 4 (2) lijepo kaže, citiramo: „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
 
Jesmo li spomenuli riječi "organizacija", "strukturiranje" i "pohrana"? Jesmo.
 
Međutim, to hamburškom sudu nije bilo dovoljno.
 
U njihovom konkretnom slučaju radilo se o arhivi ispisanih dokumenata o pacijentima jedne bolnice arhiviranima u njenom podrumu.
 
Nadležno lokalno nadzorno tijelo za zaštitu podataka uočilo je prijetnju za pacijente zbog nedovoljne zaštite arhivirane dokumentacije i možebitnog otkrivanja njihovih kartona te je pokrenulo aktivnosti da se ta dokumentacija zaštiti od nezakonitog i neovlaštenog pristupa.
 
Štoviše, nadzorno je tijelo, svjesno nužnosti zaštite arhive bolnice u stečaju i likvidaciji, uvelo 24-satni nadzor pristupa i angažiralo fizičku zaštitu pristupa.
 
Očigledno je stajalište nadzornog tijela sasvim jasno, odnosno, da se ovdje radi o vrlo osjetljivim osobnim podacima u režimu GDPR-a.
 
Ujedno su i naložili tvrtki koja je je odgovorna za zgradu da poduzme mjere zaštite. Ta se tvrtka požalila upravnom sudu koji je stao na stranu te tvrtke, suprotno zahtjevu nadzornog tijela.
 
Naravno, nadzorno tijelo je pokrenulo proceduru žalbe pred visokim upravnim sudom, koji je, za ne vjerovati, stao na stranu upravnog suda.
 
Kako su to sudovi opravdali?
 
Stajalište suda je da pohrana dokumentacije ili njihovo postojanje ne predstavlja obradu osobnih podataka!
 
Sud se poziva ne ključnu riječ iz GDPR definicije, po kojoj obrada predstavlja "postupak" ili na engleskom "operation", odnosno, određena ljudska aktivnost da bi ista bila uključena u termin obrade.
 
Da bude stvar gora, tvrtka koja je preuzela upravljanje zgradom bolnice, prema sudu nije odgovorna prema propisima o zaštiti osobnih podataka.
 
Praktički, ovakvom presudom hamburškog visokog upravnog suda arhivirani kartoni pacijenata stavljeni su u kategoriju inventurnih podataka o broju stolova i stolica u bivšoj bolnici.
 
Zašto smo mi tako izričito protiv ovakve presude?
 
Koliko organizacija danas ima arhive razne dokumentacije, emailova, sigurnosnih kopija sustava, kopija izdanih faktura korisnicima, popisa korisnika, evidencija izdavanja lijekova ili avio karata ili putnih naloga, koje pohranjuju u skladu s GDPR obvezama u rokovima u kojima im ti podaci trebaju s obzirom na svrhu za koju su prikupljeni i s obzirom na legitimne interese radi zaštite pravnih zahtjeva.
 
Koliko tvrtki danas čuva staru dokumentaciju o ozljedama na radu svojih zaposlenika jer je moraju čuvati s obzirom da su potraživali nadoknade od HZZO-a zbog teških ozljeda ili profesionalnih oboljenja svojih zaposlenika.
 
Koliko obrazovno-znanstvenih ustanova danas čuva u arhivama sve podatke i evidencije s ocjenama svojih studenata ili učenika.
 
Sve tvrtke danas čuvaju evidencije svojih bivših zaposlenika iako su oni odavno napustili tvrtku.
Bezbroj je takvih slučajeva, i sve organizacije koje čuvaju svoju dokumentaciju u ispisanom ili elektroničkom obliku u arhivama ili sigurnosnim kopijama, a uskladile su se s GDPR-om, točno znaju i imaju dokumentiranu argumentaciju zašto moraju čuvati tu dokumentaciju, u skladu s člankom 5. stavkom 1. točkom e. koja određuje da se osobni podaci moraju čuvati u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.
 
Upravo je tu srž teme: svaka organizacija mora zadržati osobne podatke na onaj rok rok koji nužan s obzirom na svrhu prikupljanja i obrade osobnih podataka. Nakon toga se osobni podaci moraju uništiti, trajno i na siguran način. Ne smiju se pohranjivati.
 
Ako bolnica, pa makar bila u likvidaciji, čuva kartone pacijenata, očito je da ih iz nekog propisanog razloga mora čuvati. Ako ih ne mora čuvati, onda se ta dokumentacija mora odmah uništiti.
 
A ne dozvoliti da pristup njoj bude neograničen i nezaštićen. Netko mora biti odgovoran za te podatke, suprotno stajalištu hamburškog suda, čije je stajalište suprotno stajalištima njemačkog nadzornog tijela.
 
Prema presudi visokog upravnog suda u Hamburgu, sve te opravdane i zakonite arhive, ako nad njima nema ljudske aktivnosti i ako samo skupljaju prašinu i paučinu, ne spadaju pod definiciju obrade osobnih podataka niti ne spadaju u GDPR režim.
 
Upitajmo se za kraj, na što bi ličio ovaj svijet kada bi sve te arhive bile otključane i slobodne za pristup svakome tko ih želi posjetiti, pregledati ih, kopirati ili odnijeti sa sobom, jer hamburški sud smatra da ne postoji voditelj ili izvršitelj obrade koji bi imali odgovornost nad njima.
 
Više o presudi suda u Hamburgu:
 
https://gdprhub.eu/index.php?title=OVG_Hamburg_-_5_Bs_152/20&mtc=today