Uvid u EU COVID potvrde zaposlenika i pohrana podataka trajanja u privatnom sektoru
15.12.2021.
Nastavno na Vaš upit u kojem u bitnom pitate o obradi osobnih podataka sukladno preporuci iz točke XI. Odluke Stožera civilne zaštite Republike Hrvatske od 12. studenoga 2021. godine o uvođenju posebne sigurnosne mjere testiranja dužnosnika, državnih službenika i namještenika, službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Člankom 4. točkom 15. Opće uredbe o zaštiti podataka propisano je da su „podaci koji se odnose na zdravlje“ osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovom zdravstvenom stanju.
Budući da bi se u konkretnom slučaju radilo o informaciji odnosnoj na zdravlje zaposlenika, napominjemo kako se radi o obradi posebnih kategorija osobnih podataka u smislu članka 9. Opće uredbe o zaštiti podataka.
Kada se radi o obradi posebnih kategorija osobnih podataka (ovdje zdravstvenih podataka), uz zakoniti pravni temelj za obradu podataka iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, potrebno je utvrditi i iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Zakon o zaštiti pučanstva od zaraznih bolesti (NN 79/07, 113/08, 43/09, 130/17, 114/18, 47/20, 134/20) u članku 47. određuje da se radi zaštite pučanstva Republike Hrvatske od, između ostalog, bolesti COVID-19 uzrokovane virusom SARS-CoV-2 i drugih zaraznih bolesti, poduzimaju mjere određene ovim Zakonom te međunarodnim ugovorima kojih je Republika Hrvatska stranka.
U nastavku predmetnog članka je određeno da radi sprečavanja i suzbijanja zaraznih bolesti iz stavka 1. ovoga članka, na prijedlog Hrvatskog zavoda za javno zdravstvo ministar može narediti posebne sigurnosne mjere za zaštitu pučanstva od zaraznih bolesti između ostalog i zabranu ili ograničenje održavanja javnih događanja i/ili okupljanja, zabranu ili ograničenje održavanja privatnih okupljanja ili druge potrebne mjere.
Nadalje, sukladno stavku 4. navedenog članka, kada je, sukladno članku 2. stavcima 4. i 5. ovoga Zakona, proglašena epidemija zarazne bolesti ili opasnost od epidemije zarazne bolesti u odnosu na koju je i Svjetska zdravstvena organizacija proglasila pandemiju, odnosno epidemiju ili opasnost od nje, sigurnosne mjere iz stavaka 1. do 3. ovoga članka može odlukom narediti, u suradnji s Ministarstvom zdravstva i Hrvatskim zavodom za javno zdravstvo, i Stožer civilne zaštite Republike Hrvatske. Odluke Stožera donose se pod neposrednim nadzorom Vlade Republike Hrvatske.
12. studenog 2021. donesena je na Odluka Stožera civilne zaštite Republike Hrvatske o uvođenju posebne sigurnosne mjere testiranja dužnosnika, državnih službenika i namještenika, službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova koja je stupila na snagu 16. studenog 2021., a koja u točki XI. sadrži preporuku svim drugim poslodavcima glede uvođenja mjere obveznog testiranja svojih zaposlenika i drugih osoba koje dolaze u njihove poslovne prostore.
Preporuka iz točke XI. Odluke Stožera civilne zaštite Republike Hrvatske zbog svoje neobvezatnosti ne može predstavljati pravni temelj za zakonitost obrade iz članka 6. stavka 1. točke (c) odnosno (e) Opće uredbe o zaštiti podataka.
Međutim, navedena preporuka iz točke XI. predmetne Odluke Stožera Civilne zaštite Republike Hrvatske može pomoći voditeljima obrade u dokazivanju legitimnog interesa za obradu osobnih podataka putem uvida u EU digitalnu COVID potvrdu odnosno drugi odgovarajući dokaz.
Naime, da bi se voditelj obrade mogao pozvati na legitimni interes kao pravni temelj za obradu, ta obrada osobnih podataka mora biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit, stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na interese i temeljna prava osoba čiji se podaci obrađuju (ispitanika, ovdje zaposlenika). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade ili treće strane jači od temeljnih prava i sloboda ispitanika.
Također, postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i to može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u određenu svrhu.
S tim u vezi napominjemo da ako bi provođenjem testa ravnoteže poslodavac kao voditelj obrade dokazao legitiman interes za uvid u EU digitalnu COVID potvrdu odnosno drugi odgovarajući dokaz u svrhu uvođenja posebne sigurnosne mjere obveznog testiranja svojih zaposlenika i drugih osoba koje dolaze u njegove poslovne prostore, isti bi mogao predstavljati zakoniti pravni temelj za navedenu obradu iz članka 6. stavka 1. točke f) Opće uredbe o zaštiti podataka.
Nadalje, u konkretnom slučaju, iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka mogla bi predstavljati točka b) predmetnog stavka koja glasi:
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika.
Slijedom navedenog, mišljenja smo da preporuka iz točke XI. predmetne Odluke Stožera civilne zaštite Republike Hrvatske može predstavljati prethodno navedeno „odobrenje u okviru prava Unije ili prava države članice“.
Takva obrada bi mogla biti prihvatljiva budući da je Odlukom Stožera civilne zaštite Republike Hrvatske propisana zaštitna mjera u smislu ograničenja obrade (uvid, bez pohrane EU digitalne COVID potvrde odnosno drugog odgovarajućeg dokaza).
Osobito naglašavamo kako bi svaka daljnja obrada (nakon uvida odnosno provjere valjanosti), koja uključuje primjerice kopiranje, skeniranje, fotografiranje i sl. EU digitalne COVID potvrde odnosno drugog odgovarajućeg dokaza, predstavljala prekomjernu obradu koja nije u skladu s propisima kojima je uređena zaštita osobnih podataka.
Međutim, ukoliko poslodavac želi pohraniti podatak o trajanju navedenih potvrda svojih zaposlenika u svrhu olakšavanja/ubrzavanja provedbe posebne sigurnosne mjere obveznog testiranja, poslodavac je dužan pronaći drugi pravni temelj iz članka 6. stavka 1. Opće uredbe o zaštiti podataka za zakonitost takve obrade odnosno pohrane te jednu od iznimki načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka, a to, u konkretnom slučaju, može predstavljati izričita privola zaposlenika.
Zaključno, voditelj obrade mora voditi računa o svim obvezama iz Opće uredbe o zaštiti podataka, počevši s načelima utvrđenima člankom 5. Opće uredbe o zaštiti podataka te svoju usklađenost sa istima mora biti u mogućnosti dokazati sukladno načelu pouzdanosti.
Prikupljanje osobnih podataka učenika od strane škola u vrijeme epidemije COVID-19
11.11.2020.
Agencija za zaštitu osobnih podataka zaprimila je brojne upite roditelja vezano uz prikupljanje osobnih podataka učenika od strane škola zbog epidemije COVID-19, odnosno je li prikupljanje i obrada osobnih podataka zakonski utemeljena. Roditelje se traži da dostave osobne podatke djeteta (ime i prezime, OIB, adresu te podatke o obiteljskom liječniku/pedijatru), kao i ime i prezime oba roditelja/zakonskih zastupnika te njihove email adrese i telefonski kontakti. Slijedom zaprimljenih upita Agencija je zatražila očitovanje škola i nadležnih institucija te na temelju prikupljenih informacija s aspekta propisa o zaštiti osobnih podataka iznosimo sljedeće:
Sukladno članku 6. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka) SLEU119 obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
Vezano za obradu osobnih podataka koju u konkretnom slučaju provodi škola, u primjeni je Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj: 87/08 do 64/20). Člankom 67. stavkom 1. točkom 5. navedenog Zakona propisano je da je školska ustanova dužna brinuti se o zdravstvenom stanju učenika i o tome obavještavati liječnike primarne zdravstvene zaštite i roditelje.
Također, u konkretnom slučaju u primjeni je i Zakon o zaštiti pučanstva od zaraznih bolesti („Narodne novine“, broj: 79/07 do 47/20) kojim je propisano da je člankom 4. stavkom 1. Zakona propisano da su Republika Hrvatska, županije, odnosno Grad Zagreb, općine i gradovi obvezni osigurati provođenje mjera za zaštitu pučanstva od zaraznih bolesti propisane ovim Zakonom te sredstva za njihovo provođenje kao i stručni nadzor nad provođenjem tih mjera. Isto tako, člankom 12. predmetnog Zakona propisane su posebne mjere za sprječavanje i suzbijanje zaraznih bolesti. Jedna od posebnih mjera je rano otkrivanje izvora zaraze i putova prenošenja zaraze te je člankom 13. stavkom 1. točkom 2) pod točkom a) propisano da se radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze obavlja epidemiološko ispitivanje, uključujući anketiranje pri pojavi bolesti COVID – 19. Stavkom 2. navedenog članka propisano je da radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze poslove iz stavka 1. točke 1. – 5. ovoga članka obavljaju nadležni uredi za javno zdravstvo, koji moraju osigurati trajnu pripravnost doktora medicine, specijalista epidemiologije, kao i sredstva za materijalne rashode i naknadu za obavljanje pripravnosti.
Prema dostupnim informacijama proizlazi da je Nastavni zavod za javno zdravstvo „Dr. Andrija Štampar“ (dalje u tekstu: Zavod) zatražio podatke zbog sigurnijeg odvijanja nastave u osnovnim i srednjim školama grada Zagreba tijekom trajanja epidemije COVID-19, a sve sukladno preporukama Hrvatskog zavoda za javno zdravstvo. Prema navodima Zavoda traženi podaci su podaci koji se ne šalju izvan škole do trenutka saznanja da je u školi COVID pozitivan učenik. U slučaju pojave COVID pozitivne osobe liječnici Zavoda traže listu kako bi se kontaktirali roditelji i kako bi se ostalima koji su bili u kontaktu izrekla mjera samoizolacije.
Dakle, Zavod u konkretnom slučaju ima pravni temelj za obradu osobnih podataka ispitanika sukladno članku 6. stavku 1. točki e) Opće uredbe budući da je isto propisano Zakonom.
Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Izvršenim uvidom u način prikupljanja osobnih podataka učenika od strane škole kao voditelja obrade evidentno je kako se pomoću razredne liste, čije ispunjavanje se traži od roditelja/ zakonskih zastupnika učenika, prikupljaju sljedeći osobni podaci: ime i prezime djeteta, datum rođenja, OIB, privatna adresa, telefonski kontakti oba roditelja, e-mail oba roditelja te naziv škole, razred, ime i prezime razrednika i broj mobitela razrednika. U drugoj verziji tablice koju ste nam dostavili, osim navedenih rubrika, razredna lista sadrži i dodatnu rubriku „obiteljski liječnik“.
S obzirom na svrhu obrade osobnih podataka utvrđenu Zakonom, mišljenje je Agencije da se u konkretnom slučaju (neovisno o tome sadrži li razredna lista i rubriku „obiteljski liječnik“ ili ne) radi o obradi nužnih osobnih podataka koji su školama potrebni za izvršavanje zadaće od javnog interesa i poštovanje pravnih obveza koje proizlaze iz posebnih propisa.
Slijedom navedenog bitno je ukazati kako su škole kao voditelji obrade osobnih podataka učenika bile dužne postupati u skladu sa načelom transparentnosti u obradi osobnih podataka te sukladno čl. 13. Opće uredbe o zaštiti podataka na jednostavan i lako dostupan način (primjerice: putem spornog obrasca ili kroz objavu politika privatnosti) informirati roditelje/zakonske zastupnike učenika osobito o svrsi prikupljanja navedenog opsega osobnih podataka i pravnoj osnovi te primateljima osobnih podataka.
Naposljetku, navodimo da u konkretnom slučaju privola nije primjenjiv pravni temelj za zakonitost obrade. Ujedno napominjemo da je školska ustanova, kao javno tijelo, dužna temeljem članka 37. stavka 1. točke a) Opće uredbe o zaštiti podataka imenovati službenika za zaštitu podataka. Stoga Vas upućujemo da se vezano za sva pitanja zaštite osobnih podataka koje škola obrađuje kao voditelj obrade prvenstveno obratite imenovanom službeniku za zaštitu podataka, a u slučaju daljnjih nedoumica Agenciji.
Sustav za mjerenje tjelesne temperature putem termalnih kamera
10.06.2020.
Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija) zaprimila je upit da li termalne kamere kojima se mjeri tjelesna temperatura osobe predstavljaju obradu osobnih podataka i da li su time iste u okviru primjene Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka – Opća uredba o zaštiti podataka. Slijedom predmetnog upita, Agencija u nastavku navodi sljedeće:
Prema čl. 4. toč. 1. Opće uredbe o zaštiti podataka, za potrebe ove Uredbe, “osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (“ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
Dodatno, ukazujemo na pojašnjenja u uvodnoj izjavi (26) gdje je navedeno:
Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koju voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.
Općenito govoreći, fizička osoba može se smatrati “identificiranom” kada se, unutar grupe osoba, pojedinac “razlikuje” od svih ostalih članova grupe. Prema tome, fizička osoba se „može prepoznati“, iako nije još identificirana, kada je moguće to učiniti (to je značenje sufiksa “-može”).
Identifikacija se obično postiže određenim informacijama koje možemo nazvati “identifikatorima” i koji imaju posebno privilegiran i blizak odnos s određenim pojedincem. Primjeri su vanjski tj. vidljivi atributi izgleda/pojavnosti osoba poput visine, boje kose, odjeće itd. … ili kvaliteta osobe koja to ne može biti odmah uočena, poput profesije, funkcije, imena itd. Opća uredba o zaštiti osobnih podataka spominje te „identifikatore“ u definiciji „osobnih podataka“ u članku 4. kada navodi da se fizička osoba “može, izravno ili neizravno, identificirati, posebno uz pomoć identifikacijskog broja ili uz pomoć jednog ili više čimbenika specifičnih za fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet pojedinca.
Dakle, osoba se može identificirati izravno npr. imenom i prezimenom ili neizravno telefonskim brojem, brojem socijalnog osiguranja, brojem putovnice ili kombinacijom značajnih kriterija koji ju izdvajaju i omogućavaju da bude prepoznata sužavanjem unutar skupine kojoj pripada (starost, zanimanje, mjesto prebivališta, dužina kose, karakteristična fizionomija itd.).
Navedeno jasno govori u kojoj su to mjeri određeni identifikatori dostatni za postizanje identifikacije i koliko isti primarno ovise o kontekstu konkretne situacije i okolnostima specifičnog slučaja. Dakle, na prvi pogled termalne snimke nisu „podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ” međutim, ako uzmemo primjer jedne organizacije, navedene snimke mogu otkriti osobu odnosno identitet ispitanika samim promatranjem i uspoređivanjem fizičkih obilježja pojedine osobe zaposlene u konkretnoj organizaciji.
Tim više, ukoliko se predmetne snimke pohranjuju na određeno vremensko razdoblje te u mjeri u kojoj mogu, zajedno s drugim podacima, npr. podacima iz evidencije dolazaka i odlazaka na posao, pomoći odrediti da točno određena osoba ima povišenu tjelesnu temperaturu, iste se mogu definirati kao podaci koji se odnose na „pojedinca čiji je identitet utvrđen ili se može utvrditi” i time bi predstavljale osobni podatak u okvirima primjene Opće uredbe o zaštiti podataka.
Nastavno, ukoliko se aktivnosti obrade termalne snimke u pojedinom slučaju mogu okarakterizirati kao obrada podataka koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, tada fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka treba kao voditelj obrade uvažavati pravila o zaštiti podataka propisana Općom uredbom o zaštiti podataka i eventualno posebnim propisima (što uključuje i eventualno povjeravanje aktivnosti obrade izvršitelju obrade sukladno čl. 28. Uredbe), ovisno o konkretnoj aktivnosti obrade, a u skladu s temeljnim pravima na privatnost i zaštitu osobnih podataka.
Agencija posebno ukazuje da u skladu s člankom 4. toč. 15. Opće uredbe o zaštiti podataka „podaci koji se odnose na zdravlje” znači „osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu”. Kako je navedeno u uvodnoj izjavi (53), podaci koji se odnose na zdravlje zaslužuju veći stupanj zaštite jer bi upotreba takvih osjetljivih podataka mogla imati znatne negativne posljedice za ispitanike. S obzirom na navedeno i na relevantnu sudsku praksu Suda Europske unije, pojam „podaci koji se odnose na zdravlje” mora se široko tumačiti.
Zaključno, svaka obrada osobnih podataka koji se odnose na zdravlje mora biti u skladu s načelima obrade iz članka 5. Opće uredbe o zaštiti podataka te s jednim od pravnih temelja iz članka 6. i jednim od posebnih odstupanja iz članka 9. Opće uredbe o zaštiti podataka radi zakonite obrade te posebne kategorije osobnih podataka.
S tim u vezi, Agencija može dodatno ukazati da navode iz upita prema kojima se „snimke digitalno spremaju i da se stanje zaposlenika i pacijenata prati kroz određeno vremensko razdoblje“ smatra upitnim sa aspekta usklađenosti sa odredbama Opće uredbe o zaštiti podataka, prvenstveno u dijelu nužnosti i proporcionalnosti provođenja takve mjere u odnosu na cilj/svrhu koju se želi postići tj. sa aspekta primjene čl. 5. Opće uredbe o zaštiti podataka te jesu li tako obrađivani podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju obzirom da je jednom izmjerena povišena tjelesna temperatura sama po sebi indikativna za postupanje prema uputama epidemioloških službi bez potrebe za korištenjem podataka i „praćenjem stanja“ pojedinaca o tome da prije toga nisu imali povišenu tjelesnu temperaturu.
Obrada osobnih podataka o zdravlju u kontekstu izvanredne situacije izazvane COVID-19 virusom
Nastavno na upit vezan uz obradu osobnih podataka o zdravlju radnika od strane poslodavca Agencija se, u kontekstu trenutne izvanredne situacije izazvane COVID-19 virusom, očituje kako slijedi:
Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće Uredbe.
Dodatno, budući da se u konkretnom slučaju radi o podacima o zdravlju koji predstavljaju posebnu kategoriju osobnih podataka u smislu odredbi Opće uredbe, za njihovu je obradu potrebno i postojanje jedne od iznimaka iz članka 9. stavka 2. Opće uredbe.
Člankom 6. stavkom 1. Opće Uredbe propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
Člankom 28. Zakona o radu (NN 93/2014, 127/2017, 98/2019) definirane su obveze poslodavca u zaštiti života, zdravlja i ćudoređa radnika te je stavkom 1. navedenog članka propisano da je poslodavac dužan pribaviti i održavati postrojenja, uređaje, opremu, alate, mjesto rada i pristup mjestu rada, te organizirati rad na način koji osigurava zaštitu života i zdravlja radnika, u skladu s posebnim zakonima i drugim propisima i naravi posla koji se obavlja.
Nadalje, člankom 1. stavkom 2. Zakona o zaštiti na radu (NN 71/2014, 118/2014, 154/2014, 94/2018, 96/2018) propisano je kako je svrha ovoga Zakona sustavno unapređivanje sigurnosti i zaštite zdravlja radnika i osoba na radu, sprječavanje ozljeda na radu, profesionalnih bolesti i bolesti u vezi s radom, dok je člankom 5. stavkom 1. istaknuto kako su život, zdravlje i očuvanje radne sposobnosti vrednote od posebnog društvenog interesa u Republici Hrvatskoj.
Dodatno, uvodnom odredbom 46 Opće uredbe propisano je sljedeće: „Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.“
Članak 9. Opće uredbe glasi:
1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:
(a) ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
(c) obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;
(d) obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;
(e) obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
(f) obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;
(g) obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;
(h) obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;
(i) obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;
(j) obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.
Slijedom navedenog, ističemo kako je u konkretnom slučaju pravni temelj za obradu osobnih podataka moguće pronaći u članku 6. stavku 1. točki c) Opće uredbe ukoliko je obrada nužna radi poštovanja pravnih obveza voditelja obrade u vidu citiranih odredbi zakona, odnosno podredno u okviru točke d) istog članka Opće uredbe ukoliko je obrada osobnih podataka nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe. S druge strane, pravni temelj za obradu posebnih kategorija osobnih podataka bio bi članak 9. stavak 2. točka b) Opće uredbe.
Slijedom iznesenog, a sukladno uvodnoj odredbi 4 Opće uredbe razvidno je kako bi obrada osobnih podataka trebala biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti.
U tom kontekstu potrebno je istaknuti kako bi obrada osobnih podataka o zdravlju ispitanika trebala biti nužna i proporcionalna, a osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, sukladno načelima iz članka 5. Opće uredbe.
Pravni temelj za obradu osobnih podataka supružnika klijenta banke radi odobravanja moratorija
U slučajevima odobravanja moratorija klijentima banke vezano za krizu uzrokovanu pandemijom COVID-19, pojavile su se situacije u kojima klijenti navedeni zahtjev za moratorijem temelje na smanjenju prihoda svog supružnika koji nije strana ugovora o kreditu te ne mora biti niti klijent banke. Slijedom navedenog, Agencija je zaprimila upit mogu li banke prikupljati i obrađivati sljedeće podatke supružnika korisnika kredita: podatak o poslodavcu, podatak o vrsti zaposlenja, podatak o plaći prije i identifikacijske i eventualno kontakt podatke, a sve u svrhu dokazivanja smanjenja prihoda kućanstva i opravdanosti moratorija (da se isti odobrava zbog Covid-19 pandemije i pod tim uvjetima).
Nastavno na navedeni upit Agencija se očituje kako slijedi:
Odredba članka 6. stavka 1. točke b) Opće uredbe o zaštiti podataka obuhvaća situacije u kojima je obrada nužna za izvršavanje ugovora u kojem je stranka osoba čiji se podaci obrađuju. Nadalje, tom odredbom je obuhvaćena samo obrada onih osobnih podataka ispitanika koja je potrebna za „uobičajeno” izvršavanje ugovora. Ova odredba neće obuhvaćati obradu koja je korisna, ali nije objektivno nužna za izvršenje ugovorne usluge ili za poduzimanje odgovarajućih predugovomih koraka na zahtjev ispitanika, čak i ako je to nužno za ostale poslovne svrhe ispitanika. To što je određena obrada podataka povezana s ugovorom ne znači nužno da se ta osnova primjenjuje i na tu obradu. Europski odbor za zaštitu podataka ne smatra da bi odredba članka 6. stavka 1. točke b) općenito bila prikladna pravna osnova za obradu u svrhu poboljšanja usluge ili razvijanja novih funkcija unutar postojeće usluge. U konkretnom slučaju, budući da se radi o obradi osobnih podataka supružnika ispitanika, a i o činjenici da takva obrada nije nužna za „uobičajeno” izvršavanje ugovora između ispitanika i banke, Agencija smatra da se navedena odredba ne bi mogla smatrati primjenjivim zakonitim pravnim temeljem za obradu osobnih podataka supružnika ispitanika odnosno klijenta banke.
Vezano za članak 6. stavak 1. točku f) Opće uredbe o zaštiti podataka, da bi banka mogla obrađivati osobne podatke supružnika svojeg klijenta temeljem legitimnog interesa bilo voditelja obrade (banke) bilo treće strane (ovdje klijenta s kojim je banka sklopila ugovor o kreditu), ta obrada osobnih podataka mora biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit (dozvoljen u primjenjivom EU i nacionalnom zakonodavstvu), stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na interese i temeljna prava osoba čiji se podaci obrađuju (supružnika klijenta). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade ili treće strane jači od temeljnih prava i sloboda ispitanika.
I u slučaju kada su ispunjeni svi navedeni uvjeti za postojanje legitimnog interesa kao pravnog temelja za obradu podataka, voditelj obrade mora voditi računa o svim drugim obvezama iz Opće uredbe o zaštiti podataka, počevši sa načelima utvrđenima člankom 5. Opće uredbe o zaštiti podataka.
Obrada podataka o cijepljenju zaposlenika od strane poslodavaca u vrijeme pandemije COVID-19
16.09.2021.
U načelu, svaka obrada osobnih podataka u okvirima primjene Opće uredbe o zaštiti podataka, da bi bila u skladu sa istom, treba poštivati načela obrade propisana čl. 5., treba se temeljiti na jednom od pravnih osnova za zakonitu obradu iz čl. 6. te, u slučaju da se obrađuju posebne kategorije osobnih podataka poput podatka o zdravlju, treba se provoditi jedino uz adekvatno poštivanje čl. 9.
Da bi poslodavac, kao voditelj obrade osobnih podataka, svoju aktivnost obrade mogao smatrati zakonitom, treba prije provođenja same obrade utvrditi i pažljivo razmotriti koja bi zakonita osnova iz čl. 6. Opće uredbe o zaštiti podataka odgovarala predviđenoj obradi.
Kada govorimo o obradi osobnih podataka zaposlenika od strane poslodavca, bitno je za ukazati na definiciju privole u čl. 4. stavku 11. Opće uredbe o zaštiti podataka, iz koje je jasno da se valjana privola sastoji od određenih elemenata koji moraju biti ispunjeni. Dakle, iz navedene definicije je jasno da privola ispitanika znači svako: dobrovoljno; posebno; informirano i; nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Element „dobrovoljna” podrazumijeva istinski izbor i nadzor za ispitanike. Ako ispitanik nema istinski izbor i ako smatra da je obvezan pristati na obradu ili će u protivnom trpjeti negativne posljedice, privola neće biti valjana.
Općenito govoreći, privola može biti odgovarajuća zakonita osnova ako se ispitaniku omogući nadzor i ako mu se ponudi istinski izbor u pogledu prihvaćanja ili odbijanja ponuđenih uvjeta ili odbijanja tih uvjeta bez štetnih posljedica.
Uvodna izjava (43) Opće uredbe o zaštiti podataka dodatno pojašnjava: Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade, posebno ako je voditelj obrade tijelo javne vlasti i stoga nije vjerojatno da je s obzirom na sve okolnostima te posebne situacije privola dana dobrovoljno.
Dakle, može se razabrati da u odnosu između poslodavca i zaposlenika u načelu postoji jasna neravnoteža te da se u većini slučajeva ne može reći da je privola zaposlenika dobrovoljna odnosno da je ista primjenjiva kao pravna osnova za zakonitu obradu osobnih podataka.
Također, kada govorimo o podacima o tome da li je određeni zaposlenik cijepljen protiv bolesti uzrokovane virusom COVID-19, treba ukazati da se isto smatra podacima koji se odnose na zdravlje pojedinca te predstavljaju posebnu kategoriju osobnih podataka sukladno čl. 9. Opće uredbe o zaštiti podataka.
U tom smislu, poslodavac bi za svoju aktivnost obrade, osim utvrđivanja zakonite pravne osnove iz čl. 6. Opće uredbe o zaštiti podataka, trebao utvrditi i primjenjivu iznimku iz čl. 9. stavka 2., na temelju koje bi moga obrađivati posebne kategorije osobnih podataka.
U konkretnom slučaju, kada govorimo o radnom odnosu, iznimka koja bi bila primjenjiva sadržana je u točki (b) navedenog čl. 9. stavka 2. Opće uredbe o zaštiti podataka te u načelu predviđa potrebu da se takva obrada može provoditi samo u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika
Također, što se tiče eventualnog prikupljanja osobnih podataka o cijepljenju zaposlenika od strane davatelja zdravstvenih usluga, Agencija ukazuje da navedeno otkrivanje osobnih podataka od istih tijela u svrhu prava i obveza iz radnog odnosa također se treba temeljiti na jednoj od pravnih osnova za zakonitu obradu iz čl. 6. Opće uredbe o zaštiti podataka te jedino uz adekvatno poštivanje čl. 9 odnosno, uz primjenu adekvatne iznimke za obradu posebnih kategorija osobnih podataka.
Dodatno, u kontekstu obrade osobnih podataka od strane davatelja zdravstvenih usluga, ukazujemo i na čl. 21. Zakona o liječništvu (NN 121/03 i 117/08) koji propisuje da sve što liječnik sazna o pacijentu koji mu se obrati za liječničku pomoć, a u vezi s njegovim zdravstvenim stanjem, mora čuvati kao liječničku tajnu i može je otkriti, ako posebnim zakonom nije drukčije propisano, samo uz odobrenje pacijenta, roditelja ili skrbnika za malodobne osobe, a u slučaju njegove psihičke nesposobnosti ili smrti, uz odobrenje uže obitelji, skrbnika ili zakonskog zastupnika. Isto tako, Zakon o zaštiti prava pacijenta (NN 169/04 i 37/08) u čl. 25. propisuje da pacijent ima pravo na povjerljivost podataka koji se odnose na stanje njegova zdravlja sukladno propisima o čuvanju profesionalne tajne i zaštiti osobnih podataka.
Slijedom navedenog, uvažavajući odredbe Opće uredbe o zaštiti podataka te imajući na umu da u se konkretnom slučaju radi o obradi osobnih podataka zaposlenika odnosno, da predmetno pitanje treba gledati i sa aspekta prava i obveza iz radnog odnosa u kontekstu primjene posebnih propisa, Agencija ukazuje da u ovom trenutku ne razabire zakonitu osnovu da rukovoditelji mogu zahtijevati svoje djelatnike podatak o tome da li su cijepljeni protiv bolesti uzrokovane virusom COVID-19, niti za prikupljanje istih podataka od strane davatelja zdravstvenih usluga.
Sustav za mjerenje tjelesne temperature putem termalnih kamera
10.06.2020.
Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija) zaprimila je upit da li termalne kamere kojima se mjeri tjelesna temperatura osobe predstavljaju obradu osobnih podataka i da li su time iste u okviru primjene Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka – Opća uredba o zaštiti podataka. Slijedom predmetnog upita, Agencija u nastavku navodi sljedeće:
Prema čl. 4. toč. 1. Opće uredbe o zaštiti podataka, za potrebe ove Uredbe, “osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (“ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
Dodatno, ukazujemo na pojašnjenja u uvodnoj izjavi (26) gdje je navedeno:
Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koju voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.
Općenito govoreći, fizička osoba može se smatrati “identificiranom” kada se, unutar grupe osoba, pojedinac “razlikuje” od svih ostalih članova grupe. Prema tome, fizička osoba se „može prepoznati“, iako nije još identificirana, kada je moguće to učiniti (to je značenje sufiksa “-može”).
Identifikacija se obično postiže određenim informacijama koje možemo nazvati “identifikatorima” i koji imaju posebno privilegiran i blizak odnos s određenim pojedincem. Primjeri su vanjski tj. vidljivi atributi izgleda/pojavnosti osoba poput visine, boje kose, odjeće itd. … ili kvaliteta osobe koja to ne može biti odmah uočena, poput profesije, funkcije, imena itd. Opća uredba o zaštiti osobnih podataka spominje te „identifikatore“ u definiciji „osobnih podataka“ u članku 4. kada navodi da se fizička osoba “može, izravno ili neizravno, identificirati, posebno uz pomoć identifikacijskog broja ili uz pomoć jednog ili više čimbenika specifičnih za fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet pojedinca.
Dakle, osoba se može identificirati izravno npr. imenom i prezimenom ili neizravno telefonskim brojem, brojem socijalnog osiguranja, brojem putovnice ili kombinacijom značajnih kriterija koji ju izdvajaju i omogućavaju da bude prepoznata sužavanjem unutar skupine kojoj pripada (starost, zanimanje, mjesto prebivališta, dužina kose, karakteristična fizionomija itd.).
Navedeno jasno govori u kojoj su to mjeri određeni identifikatori dostatni za postizanje identifikacije i koliko isti primarno ovise o kontekstu konkretne situacije i okolnostima specifičnog slučaja. Dakle, na prvi pogled termalne snimke nisu „podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ” međutim, ako uzmemo primjer jedne organizacije, navedene snimke mogu otkriti osobu odnosno identitet ispitanika samim promatranjem i uspoređivanjem fizičkih obilježja pojedine osobe zaposlene u konkretnoj organizaciji.
Tim više, ukoliko se predmetne snimke pohranjuju na određeno vremensko razdoblje te u mjeri u kojoj mogu, zajedno s drugim podacima, npr. podacima iz evidencije dolazaka i odlazaka na posao, pomoći odrediti da točno određena osoba ima povišenu tjelesnu temperaturu, iste se mogu definirati kao podaci koji se odnose na „pojedinca čiji je identitet utvrđen ili se može utvrditi” i time bi predstavljale osobni podatak u okvirima primjene Opće uredbe o zaštiti podataka.
Nastavno, ukoliko se aktivnosti obrade termalne snimke u pojedinom slučaju mogu okarakterizirati kao obrada podataka koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, tada fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka treba kao voditelj obrade uvažavati pravila o zaštiti podataka propisana Općom uredbom o zaštiti podataka i eventualno posebnim propisima (što uključuje i eventualno povjeravanje aktivnosti obrade izvršitelju obrade sukladno čl. 28. Uredbe), ovisno o konkretnoj aktivnosti obrade, a u skladu s temeljnim pravima na privatnost i zaštitu osobnih podataka.
Agencija posebno ukazuje da u skladu s člankom 4. toč. 15. Opće uredbe o zaštiti podataka „podaci koji se odnose na zdravlje” znači „osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu”. Kako je navedeno u uvodnoj izjavi (53), podaci koji se odnose na zdravlje zaslužuju veći stupanj zaštite jer bi upotreba takvih osjetljivih podataka mogla imati znatne negativne posljedice za ispitanike. S obzirom na navedeno i na relevantnu sudsku praksu Suda Europske unije, pojam „podaci koji se odnose na zdravlje” mora se široko tumačiti.
Zaključno, svaka obrada osobnih podataka koji se odnose na zdravlje mora biti u skladu s načelima obrade iz članka 5. Opće uredbe o zaštiti podataka te s jednim od pravnih temelja iz članka 6. i jednim od posebnih odstupanja iz članka 9. Opće uredbe o zaštiti podataka radi zakonite obrade te posebne kategorije osobnih podataka.
S tim u vezi, Agencija može dodatno ukazati da navode iz upita prema kojima se „snimke digitalno spremaju i da se stanje zaposlenika i pacijenata prati kroz određeno vremensko razdoblje“ smatra upitnim sa aspekta usklađenosti sa odredbama Opće uredbe o zaštiti podataka, prvenstveno u dijelu nužnosti i proporcionalnosti provođenja takve mjere u odnosu na cilj/svrhu koju se želi postići tj. sa aspekta primjene čl. 5. Opće uredbe o zaštiti podataka te jesu li tako obrađivani podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju obzirom da je jednom izmjerena povišena tjelesna temperatura sama po sebi indikativna za postupanje prema uputama epidemioloških službi bez potrebe za korištenjem podataka i „praćenjem stanja“ pojedinaca o tome da prije toga nisu imali povišenu tjelesnu temperaturu.
Obrada osobnih podataka o zdravlju u kontekstu izvanredne situacije izazvane COVID-19 virusom
Nastavno na upit vezan uz obradu osobnih podataka o zdravlju radnika od strane poslodavca Agencija se, u kontekstu trenutne izvanredne situacije izazvane COVID-19 virusom, očituje kako slijedi:
Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće Uredbe.
Dodatno, budući da se u konkretnom slučaju radi o podacima o zdravlju koji predstavljaju posebnu kategoriju osobnih podataka u smislu odredbi Opće uredbe, za njihovu je obradu potrebno i postojanje jedne od iznimaka iz članka 9. stavka 2. Opće uredbe.
Člankom 6. stavkom 1. Opće Uredbe propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
Člankom 28. Zakona o radu (NN 93/2014, 127/2017, 98/2019) definirane su obveze poslodavca u zaštiti života, zdravlja i ćudoređa radnika te je stavkom 1. navedenog članka propisano da je poslodavac dužan pribaviti i održavati postrojenja, uređaje, opremu, alate, mjesto rada i pristup mjestu rada, te organizirati rad na način koji osigurava zaštitu života i zdravlja radnika, u skladu s posebnim zakonima i drugim propisima i naravi posla koji se obavlja.
Nadalje, člankom 1. stavkom 2. Zakona o zaštiti na radu (NN 71/2014, 118/2014, 154/2014, 94/2018, 96/2018) propisano je kako je svrha ovoga Zakona sustavno unapređivanje sigurnosti i zaštite zdravlja radnika i osoba na radu, sprječavanje ozljeda na radu, profesionalnih bolesti i bolesti u vezi s radom, dok je člankom 5. stavkom 1. istaknuto kako su život, zdravlje i očuvanje radne sposobnosti vrednote od posebnog društvenog interesa u Republici Hrvatskoj.
Dodatno, uvodnom odredbom 46 Opće uredbe propisano je sljedeće: „Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.“
Članak 9. Opće uredbe glasi:
1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:
(a) ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;
(b) obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
(c) obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;
(d) obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;
(e) obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
(f) obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;
(g) obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;
(h) obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;
(i) obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;
(j) obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.
Slijedom navedenog, ističemo kako je u konkretnom slučaju pravni temelj za obradu osobnih podataka moguće pronaći u članku 6. stavku 1. točki c) Opće uredbe ukoliko je obrada nužna radi poštovanja pravnih obveza voditelja obrade u vidu citiranih odredbi zakona, odnosno podredno u okviru točke d) istog članka Opće uredbe ukoliko je obrada osobnih podataka nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe. S druge strane, pravni temelj za obradu posebnih kategorija osobnih podataka bio bi članak 9. stavak 2. točka b) Opće uredbe.
Slijedom iznesenog, a sukladno uvodnoj odredbi 4 Opće uredbe razvidno je kako bi obrada osobnih podataka trebala biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti.
U tom kontekstu potrebno je istaknuti kako bi obrada osobnih podataka o zdravlju ispitanika trebala biti nužna i proporcionalna, a osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, sukladno načelima iz članka 5. Opće uredbe.
Pravni temelj za obradu osobnih podataka supružnika klijenta banke radi odobravanja moratorija
U slučajevima odobravanja moratorija klijentima banke vezano za krizu uzrokovanu pandemijom COVID-19, pojavile su se situacije u kojima klijenti navedeni zahtjev za moratorijem temelje na smanjenju prihoda svog supružnika koji nije strana ugovora o kreditu te ne mora biti niti klijent banke. Slijedom navedenog, Agencija je zaprimila upit mogu li banke prikupljati i obrađivati sljedeće podatke supružnika korisnika kredita: podatak o poslodavcu, podatak o vrsti zaposlenja, podatak o plaći prije i identifikacijske i eventualno kontakt podatke, a sve u svrhu dokazivanja smanjenja prihoda kućanstva i opravdanosti moratorija (da se isti odobrava zbog Covid-19 pandemije i pod tim uvjetima).
Nastavno na navedeni upit Agencija se očituje kako slijedi:
Odredba članka 6. stavka 1. točke b) Opće uredbe o zaštiti podataka obuhvaća situacije u kojima je obrada nužna za izvršavanje ugovora u kojem je stranka osoba čiji se podaci obrađuju. Nadalje, tom odredbom je obuhvaćena samo obrada onih osobnih podataka ispitanika koja je potrebna za „uobičajeno” izvršavanje ugovora. Ova odredba neće obuhvaćati obradu koja je korisna, ali nije objektivno nužna za izvršenje ugovorne usluge ili za poduzimanje odgovarajućih predugovomih koraka na zahtjev ispitanika, čak i ako je to nužno za ostale poslovne svrhe ispitanika. To što je određena obrada podataka povezana s ugovorom ne znači nužno da se ta osnova primjenjuje i na tu obradu. Europski odbor za zaštitu podataka ne smatra da bi odredba članka 6. stavka 1. točke b) općenito bila prikladna pravna osnova za obradu u svrhu poboljšanja usluge ili razvijanja novih funkcija unutar postojeće usluge. U konkretnom slučaju, budući da se radi o obradi osobnih podataka supružnika ispitanika, a i o činjenici da takva obrada nije nužna za „uobičajeno” izvršavanje ugovora između ispitanika i banke, Agencija smatra da se navedena odredba ne bi mogla smatrati primjenjivim zakonitim pravnim temeljem za obradu osobnih podataka supružnika ispitanika odnosno klijenta banke.
Vezano za članak 6. stavak 1. točku f) Opće uredbe o zaštiti podataka, da bi banka mogla obrađivati osobne podatke supružnika svojeg klijenta temeljem legitimnog interesa bilo voditelja obrade (banke) bilo treće strane (ovdje klijenta s kojim je banka sklopila ugovor o kreditu), ta obrada osobnih podataka mora biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit (dozvoljen u primjenjivom EU i nacionalnom zakonodavstvu), stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na interese i temeljna prava osoba čiji se podaci obrađuju (supružnika klijenta). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade ili treće strane jači od temeljnih prava i sloboda ispitanika.
I u slučaju kada su ispunjeni svi navedeni uvjeti za postojanje legitimnog interesa kao pravnog temelja za obradu podataka, voditelj obrade mora voditi računa o svim drugim obvezama iz Opće uredbe o zaštiti podataka, počevši sa načelima utvrđenima člankom 5. Opće uredbe o zaštiti podataka.
