Obrada osobnih podataka u kontekstu pandemije COVID-19

Prikupljanje osobnih podataka učenika od strane škola u vrijeme epidemije COVID-19

11.11.2020.

Agencija za zaštitu osobnih podataka zaprimila je brojne upite roditelja vezano uz prikupljanje osobnih podataka učenika od strane škola zbog epidemije COVID-19, odnosno je li prikupljanje i obrada osobnih podataka zakonski utemeljena. Roditelje se traži da dostave osobne podatke djeteta (ime i prezime, OIB, adresu te podatke o obiteljskom liječniku/pedijatru), kao i ime i prezime oba roditelja/zakonskih zastupnika te njihove email adrese i telefonski kontakti. Slijedom zaprimljenih upita Agencija je zatražila očitovanje škola i nadležnih institucija te na temelju prikupljenih informacija s aspekta propisa o zaštiti osobnih podataka iznosimo sljedeće:

Sukladno članku 6. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka) SLEU119 obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.

Vezano za obradu osobnih podataka koju u konkretnom slučaju provodi škola, u primjeni je Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj:  87/08 do 64/20). Člankom 67. stavkom 1. točkom 5.  navedenog Zakona propisano je da je školska ustanova dužna brinuti se o zdravstvenom stanju učenika i o tome obavještavati liječnike primarne zdravstvene zaštite i roditelje.

Također, u konkretnom slučaju u primjeni je i Zakon o zaštiti pučanstva od zaraznih bolesti („Narodne  novine“, broj: 79/07 do 47/20) kojim je propisano da je člankom 4. stavkom 1. Zakona propisano da su Republika Hrvatska, županije, odnosno Grad Zagreb, općine i gradovi obvezni osigurati provođenje mjera za zaštitu pučanstva od zaraznih bolesti propisane ovim Zakonom te sredstva za njihovo provođenje kao i stručni nadzor nad provođenjem tih mjera. Isto tako, člankom 12. predmetnog Zakona propisane su posebne mjere za sprječavanje i suzbijanje zaraznih bolesti. Jedna od posebnih mjera je rano otkrivanje izvora zaraze i putova prenošenja zaraze te je člankom 13. stavkom 1. točkom 2) pod točkom a) propisano da se radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze obavlja epidemiološko ispitivanje, uključujući anketiranje pri pojavi bolesti COVID – 19. Stavkom 2. navedenog članka propisano je da radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze poslove iz stavka 1. točke 1. – 5. ovoga članka obavljaju nadležni uredi za javno zdravstvo, koji moraju osigurati trajnu pripravnost doktora medicine, specijalista epidemiologije, kao i sredstva za materijalne rashode i naknadu za obavljanje pripravnosti.

Prema dostupnim informacijama proizlazi da je Nastavni zavod za javno zdravstvo „Dr. Andrija Štampar“ (dalje u tekstu: Zavod) zatražio  podatke  zbog  sigurnijeg  odvijanja nastave  u osnovnim i srednjim školama grada Zagreba tijekom trajanja epidemije COVID-19, a sve sukladno preporukama Hrvatskog zavoda za javno zdravstvo. Prema navodima Zavoda traženi podaci su podaci koji se ne šalju izvan škole do trenutka saznanja  da je u školi COVID pozitivan učenik. U slučaju pojave COVID pozitivne osobe liječnici Zavoda traže listu kako bi se kontaktirali roditelji  i kako bi se ostalima koji su bili u kontaktu izrekla mjera samoizolacije.

Dakle, Zavod u konkretnom slučaju ima pravni temelj za obradu osobnih podataka ispitanika sukladno članku 6. stavku 1. točki e) Opće uredbe budući da je isto propisano Zakonom.

Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).

Izvršenim uvidom u način prikupljanja osobnih podataka učenika od strane škole kao voditelja obrade evidentno je kako se pomoću razredne liste, čije ispunjavanje se traži od roditelja/ zakonskih zastupnika učenika, prikupljaju sljedeći osobni podaci: ime i prezime djeteta, datum rođenja, OIB, privatna adresa, telefonski kontakti oba roditelja, e-mail oba roditelja te naziv škole, razred, ime i prezime razrednika i broj mobitela razrednika. U drugoj verziji tablice koju ste nam dostavili, osim navedenih rubrika, razredna lista sadrži i  dodatnu rubriku „obiteljski liječnik“.

S obzirom na svrhu obrade osobnih podataka utvrđenu Zakonom, mišljenje je Agencije da se u konkretnom slučaju (neovisno o tome sadrži li razredna lista i rubriku „obiteljski liječnik“ ili ne) radi o obradi nužnih osobnih podataka koji su školama potrebni za izvršavanje zadaće od javnog  interesa i poštovanje pravnih obveza koje proizlaze iz posebnih propisa.

Slijedom navedenog bitno je ukazati kako su škole kao voditelji obrade osobnih podataka učenika bile dužne postupati u skladu sa načelom transparentnosti u obradi osobnih podataka te sukladno čl. 13. Opće uredbe o zaštiti podataka  na jednostavan i lako dostupan način (primjerice: putem spornog obrasca ili kroz objavu politika privatnosti) informirati roditelje/zakonske zastupnike učenika osobito o svrsi prikupljanja navedenog opsega osobnih podataka i pravnoj osnovi te primateljima osobnih podataka.

Naposljetku, navodimo da u konkretnom slučaju privola nije primjenjiv pravni temelj za zakonitost obrade. Ujedno napominjemo da je školska ustanova, kao javno tijelo, dužna temeljem članka 37. stavka 1. točke a) Opće uredbe o zaštiti podataka imenovati službenika za zaštitu podataka. Stoga Vas upućujemo da se vezano za sva pitanja zaštite osobnih podataka koje škola obrađuje kao voditelj obrade prvenstveno obratite imenovanom službeniku za zaštitu podataka, a u slučaju daljnjih nedoumica Agenciji.

Sustav za mjerenje tjelesne temperature putem termalnih kamera

10.06.2020.

Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija) zaprimila je upit da li termalne kamere kojima se mjeri tjelesna temperatura osobe predstavljaju obradu osobnih podataka i da li su time iste u okviru primjene Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka  – Opća uredba o zaštiti podataka. Slijedom predmetnog upita, Agencija u nastavku navodi sljedeće:

Prema čl. 4. toč. 1. Opće uredbe o zaštiti podataka, za potrebe ove Uredbe, “osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (“ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

Dodatno, ukazujemo na pojašnjenja u uvodnoj izjavi (26) gdje je navedeno:

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koju voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

Općenito govoreći, fizička osoba može se smatrati “identificiranom” kada se, unutar grupe osoba, pojedinac “razlikuje” od svih ostalih članova grupe. Prema tome, fizička osoba se „može prepoznati“, iako nije još identificirana, kada je moguće to učiniti (to je značenje sufiksa “-može”).

Identifikacija se obično postiže određenim informacijama koje možemo nazvati “identifikatorima” i koji imaju posebno privilegiran i blizak odnos s određenim pojedincem. Primjeri su vanjski tj. vidljivi atributi izgleda/pojavnosti osoba poput visine, boje kose, odjeće itd. … ili kvaliteta osobe koja to ne može biti odmah uočena, poput profesije, funkcije, imena itd. Opća uredba o zaštiti osobnih podataka spominje te „identifikatore“ u definiciji „osobnih podataka“ u članku 4. kada navodi da se fizička osoba “može, izravno ili neizravno, identificirati, posebno uz pomoć identifikacijskog broja ili uz pomoć jednog ili više čimbenika specifičnih za fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet pojedinca.

Dakle, osoba se može identificirati izravno npr. imenom i prezimenom ili neizravno telefonskim brojem, brojem socijalnog osiguranja, brojem putovnice ili kombinacijom značajnih kriterija koji ju izdvajaju i omogućavaju da bude prepoznata sužavanjem unutar skupine kojoj pripada (starost, zanimanje, mjesto prebivališta, dužina kose, karakteristična fizionomija itd.).

Navedeno jasno govori u kojoj su to mjeri određeni identifikatori dostatni za postizanje identifikacije i koliko isti primarno ovise o kontekstu konkretne situacije i okolnostima specifičnog slučaja. Dakle, na prvi pogled termalne snimke nisu „podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ” međutim, ako uzmemo primjer jedne organizacije, navedene snimke mogu otkriti osobu odnosno identitet ispitanika samim promatranjem i uspoređivanjem fizičkih obilježja pojedine osobe zaposlene u konkretnoj organizaciji.

Tim više, ukoliko se predmetne snimke pohranjuju na određeno vremensko razdoblje te u mjeri u kojoj mogu, zajedno s drugim podacima, npr. podacima iz evidencije dolazaka i odlazaka na posao, pomoći odrediti da točno određena osoba ima povišenu tjelesnu temperaturu, iste se mogu definirati kao podaci koji se odnose na „pojedinca čiji je identitet utvrđen ili se može utvrditi” i time bi predstavljale osobni podatak u okvirima primjene Opće uredbe o zaštiti podataka.

Nastavno, ukoliko se aktivnosti obrade termalne snimke u pojedinom slučaju mogu okarakterizirati kao obrada podataka koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, tada fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka treba kao voditelj obrade uvažavati pravila o zaštiti podataka propisana Općom uredbom o zaštiti podataka i eventualno posebnim propisima (što uključuje i eventualno povjeravanje aktivnosti obrade izvršitelju obrade sukladno čl. 28. Uredbe), ovisno o konkretnoj aktivnosti obrade, a u skladu s temeljnim pravima na privatnost i zaštitu osobnih podataka.

Agencija posebno ukazuje da u skladu s člankom 4. toč. 15. Opće uredbe o zaštiti podataka „podaci koji se odnose na zdravlje” znači „osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu”. Kako je navedeno u uvodnoj izjavi (53), podaci koji se odnose na zdravlje zaslužuju veći stupanj zaštite jer bi upotreba takvih osjetljivih podataka mogla imati znatne negativne posljedice za ispitanike. S obzirom na navedeno i na relevantnu sudsku praksu Suda Europske unije, pojam „podaci koji se odnose na zdravlje” mora se široko tumačiti.

Zaključno, svaka obrada osobnih podataka koji se odnose na zdravlje mora biti u skladu s načelima obrade iz članka 5. Opće uredbe o zaštiti podataka te s jednim od pravnih temelja iz članka 6. i jednim od posebnih odstupanja iz članka 9. Opće uredbe o zaštiti podataka radi zakonite obrade te posebne kategorije osobnih podataka.

S tim u vezi, Agencija može dodatno ukazati da navode iz upita prema kojima se „snimke digitalno spremaju i da se stanje zaposlenika i pacijenata prati kroz određeno vremensko razdoblje“ smatra upitnim sa aspekta usklađenosti sa odredbama Opće uredbe o zaštiti podataka, prvenstveno u dijelu nužnosti i proporcionalnosti provođenja takve mjere u odnosu na cilj/svrhu koju se želi postići tj. sa aspekta primjene čl. 5. Opće uredbe o zaštiti podataka te jesu li tako obrađivani podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju obzirom da je jednom izmjerena povišena tjelesna temperatura sama po sebi indikativna za postupanje prema uputama epidemioloških službi bez potrebe za korištenjem podataka i „praćenjem stanja“ pojedinaca o tome da prije toga nisu imali povišenu tjelesnu temperaturu.

Obrada osobnih podataka o zdravlju u kontekstu izvanredne situacije izazvane COVID-19 virusom

Nastavno na upit vezan uz obradu osobnih podataka o zdravlju radnika od strane poslodavca Agencija se, u kontekstu trenutne izvanredne situacije izazvane COVID-19 virusom, očituje kako slijedi:

Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće Uredbe.
Dodatno, budući da se u konkretnom slučaju radi o podacima o zdravlju koji predstavljaju posebnu kategoriju osobnih podataka u smislu odredbi Opće uredbe, za njihovu je obradu potrebno i postojanje jedne od iznimaka iz članka 9. stavka 2. Opće uredbe.
Člankom 6. stavkom 1. Opće Uredbe propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

Člankom 28. Zakona o radu (NN 93/2014, 127/2017, 98/2019) definirane su obveze poslodavca u zaštiti života, zdravlja i ćudoređa radnika te je stavkom 1. navedenog članka propisano da je poslodavac dužan pribaviti i održavati postrojenja, uređaje, opremu, alate, mjesto rada i pristup mjestu rada, te organizirati rad na način koji osigurava zaštitu života i zdravlja radnika, u skladu s posebnim zakonima i drugim propisima i naravi posla koji se obavlja.
Nadalje, člankom 1. stavkom 2. Zakona o zaštiti na radu (NN 71/2014, 118/2014, 154/2014, 94/2018, 96/2018) propisano je kako je svrha ovoga Zakona sustavno unapređivanje sigurnosti i zaštite zdravlja radnika i osoba na radu, sprječavanje ozljeda na radu, profesionalnih bolesti i bolesti u vezi s radom, dok je člankom 5. stavkom 1. istaknuto kako su život, zdravlje i očuvanje radne sposobnosti vrednote od posebnog društvenog interesa u Republici Hrvatskoj.
Dodatno, uvodnom odredbom 46 Opće uredbe propisano je sljedeće: „Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.“
Članak 9. Opće uredbe glasi:

1.   Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2.   Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:

(a) ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
(c) obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;
(d) obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;
(e) obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
(f) obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;
(g) obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;
(h) obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;
(i) obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;
(j) obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

Slijedom navedenog, ističemo kako je u konkretnom slučaju pravni temelj za obradu osobnih podataka moguće pronaći u članku 6. stavku 1. točki c) Opće uredbe ukoliko je obrada nužna radi poštovanja pravnih obveza voditelja obrade u vidu citiranih odredbi zakona, odnosno podredno u okviru točke d) istog članka Opće uredbe ukoliko je obrada osobnih podataka nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe. S druge strane, pravni temelj za obradu posebnih kategorija osobnih podataka bio bi članak 9. stavak 2. točka b) Opće uredbe.
Slijedom iznesenog, a sukladno uvodnoj odredbi 4 Opće uredbe razvidno je kako bi obrada osobnih podataka trebala biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti.
U tom kontekstu potrebno je istaknuti kako bi obrada osobnih podataka o zdravlju ispitanika trebala biti nužna i proporcionalna, a osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, sukladno načelima iz članka 5. Opće uredbe.

Pravni temelj za obradu osobnih podataka supružnika klijenta banke radi odobravanja moratorija

U slučajevima odobravanja moratorija klijentima banke vezano za krizu uzrokovanu pandemijom COVID-19, pojavile su se situacije u kojima klijenti navedeni zahtjev za moratorijem temelje na smanjenju prihoda svog supružnika koji nije strana ugovora o kreditu te ne mora biti niti klijent banke. Slijedom navedenog, Agencija je zaprimila upit mogu li banke prikupljati i obrađivati sljedeće podatke supružnika korisnika kredita: podatak o poslodavcu, podatak o vrsti zaposlenja, podatak o plaći prije i identifikacijske i eventualno kontakt podatke, a sve u svrhu dokazivanja smanjenja prihoda kućanstva i opravdanosti moratorija (da se isti odobrava zbog Covid-19 pandemije i pod tim uvjetima).

Nastavno na navedeni upit Agencija se očituje kako slijedi:

Odredba članka 6. stavka 1. točke b) Opće uredbe o zaštiti podataka obuhvaća situacije u kojima je obrada nužna za izvršavanje ugovora u kojem je stranka osoba čiji se podaci obrađuju. Nadalje, tom odredbom je obuhvaćena samo obrada onih osobnih podataka ispitanika koja je potrebna za „uobičajeno” izvršavanje ugovora. Ova odredba neće obuhvaćati obradu koja je korisna, ali nije objektivno nužna za izvršenje ugovorne usluge ili za poduzimanje odgovarajućih predugovomih koraka na zahtjev ispitanika, čak i ako je to nužno za ostale poslovne svrhe ispitanika. To što je određena obrada podataka povezana s ugovorom ne znači nužno da se ta osnova primjenjuje i na tu obradu. Europski odbor za zaštitu podataka ne smatra da bi odredba članka 6. stavka 1. točke b) općenito bila prikladna pravna osnova za obradu u svrhu poboljšanja usluge ili razvijanja novih funkcija unutar postojeće usluge. U konkretnom slučaju, budući da se radi o obradi osobnih podataka supružnika ispitanika, a i o činjenici da takva obrada nije nužna za „uobičajeno” izvršavanje ugovora između ispitanika i banke, Agencija smatra da se navedena odredba ne bi mogla smatrati primjenjivim zakonitim pravnim temeljem za obradu osobnih podataka supružnika ispitanika odnosno klijenta banke.

Vezano za članak 6. stavak 1. točku f) Opće uredbe o zaštiti podataka, da bi banka mogla obrađivati osobne podatke supružnika svojeg klijenta temeljem legitimnog interesa bilo voditelja obrade (banke) bilo treće strane (ovdje klijenta s kojim je banka sklopila ugovor o kreditu), ta obrada osobnih podataka mora biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit (dozvoljen u primjenjivom EU i nacionalnom zakonodavstvu), stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na interese i temeljna prava osoba čiji se podaci obrađuju (supružnika klijenta). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade ili treće strane jači od temeljnih prava i sloboda ispitanika.

I u slučaju kada su ispunjeni svi navedeni uvjeti za postojanje legitimnog interesa kao pravnog temelja za obradu podataka, voditelj obrade mora voditi računa o svim drugim obvezama iz Opće uredbe o zaštiti podataka, počevši sa načelima utvrđenima člankom 5. Opće uredbe o zaštiti podataka.

X
Skip to content