GDPR u vrijeme epidemije COVID-19

Tiziana Paris
Autore
Tiziana Paris, avvocato

Prije samo nekoliko mjeseci svi smo bili jako oprezni pri prikupljanju podataka stranaka kako nebismo prekršili odredbe GDPR-a. Donijeli smo pravilnike, sastavili Izjave, pazili što i kako nam stranka potpisuje. Mnogodbrojni klijenti su zatražili od nas odvjetnika pravno mišljenje glede usklađenja njihovih akata sa GDPR-om, održali smo monogobrojna savjetovanja i konferencije. I onda... 

Pokucao je na naša vrata COVID–19 i sve je stalo. Odnosno nije baš stalo, već su se donijele nove mjere koje smo obavezni svi primjenjivati u našem poslovanju, poput ograničenja kretanja, zabrana javnih okupljanja, otkazivanje nastave i događanja te drugo, a najčešće te mjere uključuju i obradu posebne kategorije osobnih podataka. Dakle, sad se opravdano pitamo: Jesu li te mjere su usklađene s GDPR-om? 

Prisjetimo se kako takve mjere uključuju i pomno praćenje zaraženih osoba kao i svih osoba s kojima su zaraženi bili u kontaktu. Zatim, prikupljaju se i detaljno obrađuju podaci o zdravstvenom stanju i sve ono što bi moglo pomoći u suzbijanju virusa, a što zahtijeva masovne obrade osobnih podataka koje uključuju i posebne kategorije podataka čija obrada je kao takva zabranjena. Paralelno s tim, imali smo i karantenu, a koja je učinila naše društvo u potpunosti ovisnim o digitalnim uslugama, te se automatski pogoduje besplatnom pribavljanju naših osobnih podataka od strane trećih osoba.

Moramo uzeti u obzir da se ovdje radi o višoj sili i da je donošenje takvih mjera svakako neophodno radi očuvanja našeg zdravlja, ali postavlja se pitanje: Koliko smo spremni radi očuvanja naše sigurnosti – zdravlja, žrtvovati našu slobodu odnosno publicirati naše podatke. I koliko je navedeno zakonito? Pokušat ćemo odgovoriti na ova pitanja uzimajući u obzir ne samo odredbe GDPR-a već i zakone donesene na nacionalnoj razini te tumačenje istih od strane nadležnih tijela unutar Europske Unije.

Opća uredba o zaštiti osobnih podataka (GDPR), koja je, iako donesena još u travnju 2016., stupila na snagu u svibnju 2018., predvidjela je izricanje vrlo visokih novčanih kazni u slučaju nezakonitog prikupljanja i obrade osobnih podataka. Načela GDPR su da se na prvo mjesto stavlja ispitanika te zaštitu njegovih prava i interesa te u tom pogledu vrlo strogo propisuje uvjete pod kojima se osobni podaci mogu prikupljati (tzv. pravna osnova) te kako ih i tko može obrađivati. Slijedom tih velikih regulativnih promjena i uz tako dramatičan pomak u regulaciji zaštite podataka, u posljednjih godinu dana dogodile su se i prve utvrđene povrede osobnih podataka i izrečene su pozamašne novčane kazne. 

Dakle, GDPR zabranjuje obradu posebnih kategorija osobnih podataka, a što uključuje i podatke pojedinca o njegovom zdravstvenom stanju, bez posebne privole. No, kao što svaki zakon prediviđa određene izuzetke tako i GDPR ipak dopušta obradu podataka koja se provodi u svrhu javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju, koja je kao takva dozvoljena. To automatski uključuje i obradu osobnih podataka koja je potrebna radi osiguravanja visokih standarda kvalitete i sigurnosti zdravstvene skrbi i lijekova. U tom pogledu posebno se ističe kako obradu koja je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana, GDPR predviđa kao izuzetak odnosno, kada je obrada posebne kategorije osobnih podataka dozvoljena i bez izričite privole osobe čiji se podaci obrađuju. 

Međutim, iako je u gore navedenim situacijama obrada podataka dozvoljena to ne znači da je ista u potpunosti „liberalizirana“. Naime, odredbe iz GDPR-a izričito predviđaju kako u svakom trenutku trebaju biti osigurane organizacijske i tehničke mjere zaštite osobnih podataka, a osobe čiji se podaci obrađuju moraju biti upoznati s obradom i pravima koja ostvaruju. Ukoliko se smatra da se podaci ne obrađuju u skladu s GDPR može se podnijeti pritužba nadzornom tijelu (AZOP) i u slučaju da se utvrdi povreda osobnih podataka, može se ostvariti pravo na postupak naknade štete.

Kako se pandemija COVID 19 pojavila u mnogobrojnim državama EU prije Hrvatske, tako je i Europski odbor za zaštitu osobnih podataka intervenirao već u ožujku ove godine te je mjerodavnim zdravstvenim institucijama i poslodavcima odobrio obradu osobnih podataka pojedinaca u kontekstu krize prouzročene pandemijom. Naravno, u skladu s nacionalnim zakonima. U uvodu svog mišljenja Europski odbor ističe da GDPR kao osnovni propis koji uređuje obradu osobnih podataka nužno i automatski ne zabranjuje mjere koje se donose i primjenjuju u borbi protiv pandemije, no ističe da voditelji i izvršitelji obrade moraju voditi računa o osnovnim principima zaštite osobnih podataka neovisno o pandemiji, stoga obrada i u ovim kriznim vremenima treba biti zakonita, a donesene mjere trebaju se prilagođavati okolnostima. Dakle, mjere donesene na nacionalnim razinama povodom COVID 19 moraju biti u skladu s nacionalnim zakonima i smjernicama iz Upute kad je takva obrada nužna radi zaštite nacionalnog interesa osiguranja zdravlja ljudi.

A što navedeno konkretno znači? Jednostavno rečeno, to znači da u takvim, iznimnim slučajevima pri pribavi osobnih podataka može se isključiti obveza oslanjanja na privolu ispitanika, naravno, uz ispunjenje svih drugih zahtjeva za valjanu obradu osobnih podataka. Tako npr. u slučajevima kad osobne podatke tijekom krize obrađuju javna tijela (npr. ustanove za javno zdravstvo), uključujući i posebne kategorije osobnih podataka (zdravstvene podatke), Europski odbor smatra da je obrada dopuštena u sklopu zakonitog mandata javnog tijela i u skladu s nacionalnim zakonima i temeljnim načelima GDPR-a. 

Slijedom svega navedenog sada možemo zaključiti kako se osobni podaci koji se odnose na zdravlje (i druge posebne kategorije osobnih podataka), a koji se inače ne smiju obrađivati, u ovom slučaju IPAK smiju obrađivati ako je obrada nužna u svrhu osiguranja javnog zdravlja, spriječavanja prekograničnih prijetnji zdravlju ili osiguravanja visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, ALI uz uvjet da su takve (izvanredne) mjere utemeljene na zakonu. Dakle, kako bi navedene mjere biti usklađene sa GDPR-om još jednom ističemo kako se mora raditi o izvanrednim okolnostima, kao što je upravo i pandemija i kriza izazvana koronavirusom, te da navedene mjere moraju biti vremenski strogo ograničene trajanjem krize zbog koje su uvedene.

Radi eventualnih pitanja ili nejasnoća, slobodno nas kontaktirajte .

Condividi