16.4.2021.
Agencija za zaštitu osobnih podataka zaprimila je podnesak vezan za prikupljanje podataka o broju zainteresiranih djelatnika za cijepljenje, zaposlenih u pravnim subjektima unutar djelatnosti iz Vašeg resora, po prioritetima, a koje traži Hrvatski zavod za javno zdravstvo. Naime, iz predstavci priloženog dopisa Vaše institucije koji je upućen upravnim odjelima nadležnim za djelatnosti iz Vašeg resora u županijama, razvidno je da se traži dostava podataka zaposlenika (svih ustanova djelatnosti iz Vašeg resora) zainteresiranih za cijepljenje i to na način da se popuni dostavljena Excel tablica koja sadrži sljedeći opseg osobnih podataka zaposlenika: ime, prezime, datum rođenja, OIB, MBO, broj mobitela, adresa e-pošte. Također je navedeno da je tako popunjene Excel tablice potrebno proslijediti Vašoj instituciji na adresu e-pošte.
Slijedom navedenog, Agencija za zaštitu osobnih podataka kao neovisno državno nadzorno tijelo u području zaštite osobnih podataka u Republici Hrvatskoj sukladno članku 57. stavku 1. točki d) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119, daje sljedeću preporuku glede obrade osobnih podataka u konkretnom slučaju.
Člankom 5. Opće uredbe o zaštiti podataka propisana su osnovna načela koja se primjenjuju na obradu osobnih podataka (načelo zakonitosti obrade, načelo točnosti podataka, načelo ograničavanja svrhe obrade, načelo smanjenja količine podataka, načelo ograničenja pohrane i načelo cjelovitosti i povjerljivosti).
Člankom 6. Opće uredbe o zaštiti podataka je propisano da je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.
Pritom ističemo kako u svakom slučaju za obradu osobnih podataka, pa tako i u konkretnom slučaju za prikupljanje i daljnju obradu osobnih podataka zaposlenika, mora postojati zakonita svrha i pravna osnova iz članka 5. i 6. Opće uredbe o zaštiti podataka.
Nadalje, u konkretnom slučaju proizlazi kako se obrada osobnih podataka zaposlenika temelji na privoli kao pravnoj osnovi iz članka 6. Opće uredbe o zaštiti podataka.
S tim u vezi ističemo kako je potrebno uzeti u obzir uvjete privole, naročito da je ista dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose (članak 4. stavak 1. točka 11. Opće uredbe o zaštiti podataka). Sukladno članku 7. Opće uredbe o zaštiti podataka, kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka, a ispitanik ima pravo u svakom trenutku povući svoju privolu.
Nadalje, uvažavajući načela poštene i transparentne obrade, ističemo kako je dužnost voditelja obrade da ispitanicima (u konkretnom slučaju zaposlenicima) sukladno članku 13. Opće uredbe o zaštiti podataka, ukoliko se osobni podaci prikupljaju od ispitanika, pruži sve informacije o obradi njihovih osobnih podataka (primjerice: o svom identitetu, o službeniku za zaštitu podataka, upoznati ih sa svrhom i pravnom osnovom za obradu osobnih podataka, o primateljima ili kategorijama primatelja osobnih podataka) u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ih upoznati sa njihovim pravima koja im pripadaju sukladno Općoj uredbi o zaštiti podataka.
Nadalje, uvidom u službene internetske stranice Ministarstva zdravstva, točnije platformu za prijavu za cijepljenje protiv COVID-19 (https://cijepise.zdravlje.hr), razvidno je da se prilikom prijave za cijepljenje prikuplja sljedeći opseg osobnih podataka: OIB ili MBO, datum rođenja, općina prebivališta te adresa e-pošte, dok su podatak o broju telefona i broju mobitela opcionalni.
S tim u vezi, posebno naglašavamo kako je prilikom obrade osobnih podataka potrebno adekvatno primijeniti načela obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, a naročito načelo smanjenja količine podataka te prikupljati i dalje obrađivati isključivo nužan opseg osobnih podataka u konkretnu svrhu.
Prema tome, u konkretnom slučaju, smatramo odgovarajućim prikupljati osobne podatke u opsegu i na način kako je to učinjeno i na službenim internetskim stranicama Ministarstva zdravstva, točnije platformi za prijavu za cijepljenje protiv COVID-19 kako je prethodno navedeno, posebice glede obveznih i opcionalnih podataka kao i informacije o tome (označavanja).
Također, od voditelja obrade se sukladno članku 24. i 32. Opće uredbe o zaštiti podataka zahtijeva da provodi odgovarajuće tehničke i organizacijske mjere zaštite kako bi osigurao učinkovitu primjenu načela zaštite podataka, kao što je smanjenje količine podataka te primjenu odgovarajućih mjera zaštite osobnih podataka kako bi mogao dokazati da se štite prava ispitanika odnosno da se obrada osobnih podataka provodi u skladu s Općom uredbom o zaštiti podataka.
S tim u vezi želimo ukazati kako je razmjena osobnih podataka putem elektroničke pošte (bez primjene dodatnih mjera zaštite) s aspekta zaštite osobnih podataka vrlo nesiguran način komunikacije i razmjene podataka iz razloga što elektronička pošta od pošiljatelja do primatelja putuje u lako čitljivom obliku i prolazi kroz niz točaka u komunikacijskom kanalu elektroničke pošte nad kojima niti pošiljatelj niti primatelj nemaju kontrolu. Stoga za dostavu osobnih podataka (u ovom slučaju Excel tablica koje sadrže osobne podatke zaposlenika) putem elektroničke pošte, Agencija daje također preporuke glede aspekta sigurnosti i zaštite osobnih podataka, kako slijedi:
- sve privitke/datoteke, odnosno popratnu dokumentaciju koja se želi slati putem elektroničke pošte potrebno je prvo „zapakirati“, odnosno sažeti nekim od programa za sažimanje, a koji u sebi ima mogućnosti enkripcije svog sadržaja putem lozinke velike složenosti i algoritma za enkripciju velike složenosti enkripcije te se tek tako „zapakirane“ i enkriptirane datoteke stavljaju kao privitak u elektroničku poštu;
- prilikom kreiranja lozinke preporučljivo je koristiti se sljedećim preporukama:
- Sigurna lozinka treba sadržavati velika i mala slova (az, AZ).
- Sigurna lozinka treba sadržavati znamenke (0-9).
- Sigurna lozinka treba sadržavati specijalne znakove ( @ # $% ^ * () _ + | ~ – = `{} []:”; ‘, /?.).
- Sigurna lozinka treba sadržavati najmanje 10 znakova. Što više, to bolje.
- Sigurna lozinka ne bi trebala sadržavati riječi – bez obzira na jezik, dijalekt, žargon ili slično.
- Sigurna lozinka ne bi trebala sadržavati osobne informacije poput osobnih imena članova obitelji, imena ljubimaca, adresa, datuma rođenja i slično.
- lozinku kojom je enkriptiran privitak elektroničke pošte preporučljivo je dostaviti primatelju različitim kanalom od kanala kojim se dostavlja elektronička pošta, tj. nije preporučljivo dostaviti lozinku za dekriptiranje sadržaja privitka primatelju putem elektroničke pošte, jer se onda gubi smisao enkripcije (mogući neželjeni/neovlašteni primatelj poruke potencijalno ima mogućnost uvida u sadržaj enkriptiranog privitka bez ikakvih prepreka), već dostaviti putem npr. SMS poruke, izdiktirati telefonom itd.
- potrebno je prilikom imenovanja privitaka/datoteka, a koje će se dostavljati unutar enkriptiranog privitka (kao i imenovanja samog enkriptiranog privitka) putem elektroničke pošte voditi računa kako se iz samog naziva ne bi otkrili osobni podaci (npr. ugovor o nečemu za Ivu Ivića).
Zaključno ističemo kako se predmetna preporuka daje u svrhu unapređenja zaštite osobnih podataka te kako bi se smanjili mogući rizici od neovlaštenog pristupa odnosno spriječila moguća zlouporaba osobnih podataka djelatnika zaposlenih u pravnim subjektima unutar djelatnosti iz Vašeg resora pri obradi kakva je predmetna u ovom konkretnom slučaju, vezano uz postupanja glede aktivnosti uvjetovanih okolnostima epidemije/pandemije COVID-19.