Zbog povećane razine opreza uslijed reaktivacije poslovnih aktivnosti pojedinih uslužnih djelatnosti koje uvjetuju fizički kontakt, Hrvatski zavod za javno zdravstvo (HZJZ) objavio je službene preporuke za organizaciju njihovih djelatnosti. Preporuke sadrže vrlo opsežne upute te sugeriraju određene promjene u radu samih pravnih subjekata kako u organizacijskim, tako i u tehničkim aspektima. U nekim slučajevima te promjene podrazumijevaju i sagledavanje šire zakonske regulative kako bi ti subjekti i dalje poslovali u skladu s nacionalnim zakonodavstvom.
Hrvatski zavod za javno zdravstvo je 30. travnja objavio, između ostalih, i opsežne preporuke za rad vezane uz djelatnosti frizerskih salona i brijačnica (ovdje), salona za manikuru i pedikuru (ovdje), fizioterapeuta u vanbolničkoj okolini i salona za masažu (ovdje), salona za tetoviranje i piercing (ovdje) te kozmetičkih salona (ovdje) u svrhu očuvanja javnog zdravlja.
U preporukama su vidljivi i unificirani elementi koji su zajednički svim navedenim djelatnostima, a pod koje spadaju i podaci vezani uz medicinsko stanje te drugi podaci za koje se preporuča da se prikupljaju, obrađuju i arhiviraju. Ti podaci su navedeni s pojašnjenom svrhom te srazmjerno svrsi njihovog prikupljanja.
Tako je u točki 2.2. stavku 2. Preporuka navedeno slijedeće: „Osobe s respiratornim simptomima. Tijekom naručivanja treba upozoriti da se usluga ne pruža osobama koje imaju bilo kakav simptom akutne respiratorne infekcije (curenje nosa, kihanje, kašljanje, kašalj, poviše tjelesna temperatura i sl.). Ne dozvoljava se dolazak u salon zaposlenicima i strankama koji imaju neki od simptoma koji bi mogli upućivati na COVID-19 (kao što je gore navedeno). …“ .
U točki 2.3. stavku 2. Preporuka navedeno je: „Podaci o strankama. Treba zabilježiti vrijeme ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona. Ta je informacija, u slučaju otkrivanja oboljelog koji je boravio u salonu u određeno vrijeme, potrebna epidemiolozima, kako bi što brže mogli identificirati i kontaktirati kontakte oboljelog te provesti mjere sprečavanja daljnjeg širenja infekcije. Stranke treba pravovremeno upozoriti da će im se usluga pružiti samo ako su suglasni ostaviti podatke za kontakt. …“
Važno je napomenuti da je HZJZ preporuke objavio isključivo u domeni svojeg poslovanja, koja svakako ne uključuje savjete vezane uz organizacijske i tehničke aspekte usklađivanja s Općom uredbom o zaštiti podataka (GDPR) i pratećim zakonom o primjeni iste, što se često suprotno navodi u pojedinim osvrtima na društvenim mrežama.
Naime, usklađenost s nacionalnom zakonskom regulativom vezanom uz zaštitu osobnih podataka obvezna je za sve pravne subjekte na teritoriju RH, pa se ta vrsta smjernica ne treba niti očekivati od nacionalnog zavoda za javno zdravstvo. Jedino tijelo koje bi, prema potrebi, takve smjernice moglo objaviti jest nacionalno nadzorno tijelo odnosno Agencija za zaštitu osobnih podataka (AZOP).
Iako je HZJZ objavio upravo ono što je od njega i bilo očekivano, Hrvatska obrtnička komora (HOK) odnosno njezin Odjel za organizaciju rada je dan nakon službene objave Preporuka HZJZ-a poslala članovima i objavila na svojoj internetskoj stranici, vrlo konkretne i nažalost pogrešne, dokumente vezane uz provedbu objavljenih preporuka HZJZ-a. Uz sve ostale pravno sporne stavke, oni sadrže i upute za prikupljanje osobnih i posebno osjetljivih podataka koje je sam HOK iz nekog razloga identificirao nužnima.
Nažalost, iz HOK-ovih dokumenata pod nazivom Izjava (ovdje) i Informacije o obradi podataka u svrhu zaštite pojedinaca od zaraznih bolesti COVID-19 (ovdje), vidljivo je da su Preporuke HZJZ-a pogrešno interpretirane te da dokumenti koji su poslani njihovim članovima na daljnje korištenje nisu u skladu sa zakonskom regulativom na koju se u njima pozivaju, a subjekti bi mogli prema njihovom sadašnjem sadržaju, snositi značajne posljedice uslijed kršenja GDPR-a.
Tako se u HOK-ovoj „IZJAVI“ koju bi trebao ispuniti svaki klijent, nalazi velik broj informacija koje predstavljaju prekomjernu obradu osobnih i posebno osjetljivih podataka, a koje nisu navedene u samim Preporukama HZJZ-a. Podsjetimo se, u Preporukama se preporuča prikupljati samo sljedeće: kontakt podatke (broj mobitela) te vrijeme dolaska u salon i napuštanja salona. (op.a. datum i vrijeme).
HOK-ova izjava podrazumijeva prikupljanje opsežnih osobnih podataka: ime i prezime; adresa; kontakt telefon; vrijeme dolaska; vrijeme odlaska; mjesto; (opet) datum i potpis; izjavu osobe kojom potvrđuje da nema simptome respiratornih bolesti (kašljanje, šmrcanje, glavobolju i slično) i povišenu temperaturu (posebno osjetljivi podaci); nije bila u samoizolaciji kroz proteklih 14 dana; i nije boravila izvan granica RH u posljednjih 14 dana.
HZJZ u svojim Preporukama nigdje ne spominje da se svi ovi podaci moraju prikupljati, obrađivati i arhivirati, osim podataka koje je preporučio zabilježiti s vrlo konkretnim obrazloženjem razloga tog prikupljanja. Također spominje da dolazak u subjekt ili samo pružanje usluge klijentu treba biti omogućeno samo osobama koje nemaju simptome akutne respiratorne infekcije, a što bi pri samom naručivanju trebalo upitati klijenta ili bi po njegovom dolasku u slučaju sumnje na izrečeno bilo prepušteno osobnoj procjeni zaposlenika ili vlasnika pojedinog pravnog subjekta koji uslugu i pruža, no ne predviđa bilježenje tih osjetljivih podataka.
Drugi vrlo problematičan aspekt ovog HOK-ovog dokumenta jest da je upotrijebljena pravna osnova privole odnosno suglasnosti, što je u ovom slučaju u potpunoj suprotnosti s GDPR-om. Predmetna izjava se u svom sadržaju, uz pogrešnu pravnu osnovu, također poziva i na trenutno više nevažeći Zakon o zaštiti podataka (koji je prestao važiti upravo radi stupanja na snagu GDPR-a). Naime, GDPR striktno propisuje da davanje privole mora biti slobodno i ne smije biti uvjetovano samim izvršenjem usluge što je ovdje slučaj, a ispitaniku bi prema privoli morala biti osigurana i sva prava propisana GDPR-om. Primjerice, ispitanik ako se njegovi podaci obrađuju temeljem privole, ima pravo povući je u bilo kojem trenutku te zatražiti brisanje svih svojih osobnih podataka prikupljenim temeljem te privole što znači da bi isto mogao zatražiti odmah pri završetku izvršenja usluge. To je razlog zašto ovaj HOK-ov dokument predstavlja, uz sve ostalo, i besmisleno administrativno opterećenje za izvršitelja usluge.
Čak niti preporuke HZJZ nisu zakonska obveza već je ona utemeljena odlukom Stožera, te se njima, kako i sam HZJZ ističe, preporučuje postupanje subjektu u kontekstu situacije u kojoj se svi nalazimo, a koje bi bilo za dobrobit sviju. HZJZ ne preporučuje davanje nikakve privole u ovom slučaju već bilježenje broja mobitela klijenta te vrijeme dolaska i odlaska kako bi sve osobe koje su bile u kontaktu taj dan mogle biti informirane o mogućnosti zaraze i preporuci samoizolacije, što je logičan slijed.
Podatke koje je HOK identificirao nužnima ne treba prikupljati niti iz razloga zdravog razuma odnosno zbog nepostojanja pravne težine same izjave. Naime, osobe koje bi upisale neistinite podatke u taj formular za to ne bi snosile nikakve posljedice jer ne postoji zakonska osnova njihovog prikupljanja. Tako da je osobna procjena zaposlenika ili vlasnika da li je netko prehlađen, ima alergiju na pelud ili izgleda da mu je paracetamol upravo skinuo temperaturu relevantnija od formulara koji će vam klijent prema svojoj savjesti ispuniti u želji da se dokopa frizerske usluge na koju je čekao više od mjesec dana, a koja bi mu bila „dobronamjerno uvjetovana“ ovim papirom.
Što biste od svega toga trebali napraviti u kontekstu GDPR-a
Pod pretpostavkom da ćete pratiti službene smjernice HZJZ-a i da ste svoje poslovanje uskladili s GDPR-om od dana njegove primjene odnosno nastupanja zakonske obveze, savjetovala bih Vam sljedeće:
- Prikupljajte samo podatke propisane Preporukama HZJZ-a: KOntakt podatke (broj mobitela) klijenta te datum i vrijeme njegovog dolaska i odlaska s Vaše lokacije odnosno izvršenja usluge kako bi epidemiolozi u slučaju zaraze mogli lakše kontaktirati osobe koje su u isto vrijeme bile blizu zaraženog
- Broj mobitela i bez informacije o imenu i prezimenu klijenta može često dovesti do identifikacije osobe uvidom u pojedine registre (telefonski imenici za registrirane korisnike ili baze klijenata salona) pa ga tretirajte kao osobni podatak
- Definirajte Izjavu o privatnosti obrade podataka u ovu svrhu te je učinite javno dostupnom klijentima na internetskoj stranici ili u prostoriji u kojima klijentu pružate uslugu
- Brojeve mobitela i informacije o datumu i vremenu dolaska i odlaska možete voditi i u običnoj Excell tablici koju zaštitite lozinkom kako biste osigurali minimalnu tehničku mjeru zaštite tog dokumenta (ne morate ga imati u fizičkom obliku)
- Ažurirajte svoju Evidenciju aktivnosti obrade podataka s novom bazom podataka koju uvodite (taj Excell dokument jest nova baza podataka koju imate)
- Definirajte period čuvanja tih podataka u kojem će biti definirano da ovisi o opozivu Preporuke HZJZ-a o toj vrsti postupanja
- Dokument trajno uništite nakon što istekne rok čuvanja podataka odnosno nakon što HZJZ objavi da te podatke više nije potrebno prikupljati
Važna napomena: Ovim slijedom od 7 koraka ćete zadovoljiti samo one aspekte GDPR-a nužne pri provedbi propisanih Preporuka HZJZ u smislu ophođenja s osobnim podacima kod pružanja usluge klijentima te ne uključuje smjernice vezane uz obradu podataka samih zaposlenika i njihovih medicinskih stanja, kao niti cjelokupno usklađivanje organizacije s GDPR-om ili uvođenje dijela procesa vezanih uz sustav upravljanja informacijskom sigurnosti ISO 27001 u subjekt.