
Tijekom pandemije koronavirusa, zdravlje i sektor socijalne skrbi pružaju, što se od njih i očekuje, i dalje uslugu onima koji su u potrebi hitnog medicinskog tretmana, a s aspekta zaštite osobnih podataka to će gotovo uvijek zahtijevati razmjenu osobnih podataka između organizacija.
Važno je napomenuti da se GDPR primjenjuje i za vrijeme pandemije koronavIrusa. EDPB u jednom od svojih priopćenja jasno je rekao
„Pravila zaštite podataka (poput GDPR-a) ne sprečavaju mjere poduzete u borbi protiv pandemije koronavirusa. Borba protiv zaraznih bolesti vrijedan je cilj koji dijele sve nacije i zato bi ga trebalo podržavati na najbolji mogući način.
Čovječanstvu je u interesu suzbiti širenje bolesti i koristiti suvremene tehnike u borbi protiv virusa koji je izazvao pandemiju. Unatoč tome, EDPB želi naglasiti da, čak i u ovim iznimnim vremenima, voditelji i izvršitelji obrade podataka moraju osigurati zaštitu osobnih podataka ispitanika. ”
Prvo načelo zaštite podataka iz članka 5. stavka 1. zahtijeva da voditelji obrade osobnih podataka obrađuju osobne podatke „zakonito, pravedno i na transparentan način“. Obrada osobnih podataka je zakonita ako je jedna ili više od šest zakonskih osnova primijenjena. Ukoliko voditelj obrade obrađuje osobne podatke o nečijem zdravlju onda oni moraju dodatno paziti i odrediti jednu od osnova propisanih člankom 9. Opće uredbe o zaštiti podataka.
I u članku 6. i u članku 9 . Opće uredbe o zaštiti podataka spominje se pojam „vitalni interesi“ no postoje razlike.
Članak 6. stavak 1. točka (d) predviđa da je obrada osobnih podataka zakonita ako je obrada potrebna radi zaštite vitalnih interesa ispitanika ili druge fizičke osobe. Ta odredba ostavlja prostora za stručnu raspravu.
Koji su vitalni interesi? Kada će obrada biti potrebna’? Kada se može koristiti za zaštitu vitalnih interesa „druge fizičke osobe“?
Uvodna izjava 46 Opće uredbe o zaštiti podataka posebno se odnosi na obradu radi praćenja epidemija i čini se da je ta zakonita osnova namijenjena uporabi u situacijama kao što je trenutna pandemija.
˝ (46) Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrada mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao na primjer ako je obrada potrebna za praćenje epidemije i njihovo širenje…˝
Ali što je s drugim interesima? Jesu li vitalni, važni?
Tijekom jedne od naših mnogih edukacija jedan od sudionika je pitao mogu li se financijski interesi klasificirati kao “vitalni interes” (uostalom , svima nam treba novac za život). Odgovor je ne, jer se riječ ‘vitalni interes’ tumači vrlo usko. Uvodna izjava 46 odnosi se na obradu koja je ” potrebna radi zaštite interesa koji je neophodan za život pojedinca ili druge fizičke osobe”.
Naš primjer: Andrija se akutno razboli na poslu, a njegov poslodavac telefonira službi hitne pomoći. Poslodavac daje bolničaru Andrijino ime i-adresu. Poslodavac se može osloniti na zakonitu osnovu vitalnog interesa za dijeljenje ovih podataka . Ako bolničarima bude potreban pristup Andrijinoj zdravstvenoj evidenciji , liječnik opće prakse moći će ih dijeliti iz istog razloga, ali će također zahtijevati pravnu osnovu sukladno članku 9. Opće uredbe o zaštiti podataka (vidi dolje).
Međutim, prema našem mišljenju vitalni interesi mogu uključivati i situacije u kojima postoji opasnost od značajne štete po život. Stoga, ako je starija osoba prisiljena samoizolirati se i ovisi o grupi dobrovoljaca koji prikupljaju njezine osnovne lijekove na recept, tada je dijeljenje imena i adrese te osobe vjerojatno neophodno da bi se zaštitili njezini vitalni interesi.
Naš primjer: Crveni križ za ugrožene fizičke osobe obavljao je kupnju i dostavljao namirnice i/ili ručak za vrijeme karantene ispred ulaznih vrata fizičkih osoba, na njihovu adresu prebivališta ili adresu mjesta gdje su se nalazili za vrijeme karantene.
Obrada mora biti “nužna” kako bi se zaštitili vitalni interesi osobe. Ključno pitanje je mogu li voditelji obrade razumno zaštititi vitalne interese osobe bez obrade (dijeljenja osobnih podataka)? Ukoliko mogu obrada neće biti nužna niti potrebna. Ukoliko, pak, ne mogu, biti će opravdana i zakonita. U gornjem primjeru, ukoliko bi poslodavac odbio dati bolničaru Andrijino ime i adresu onda to može potencijalno ugroziti njegov život. Stoga je razmjena Andrijinih osobnih podataka nužna radi zaštite Andrijinih vitalnih interesa.
Recital (46) upozorava da bi se ” obrada osobnih podataka na temelju vitalnog interesa druge fizičke osobe u načelu trebala odvijati samo ako se obrada ne može očito temeljiti na drugoj pravnoj osnovi “.
Povratak na naš primjer: Kad bolničari odvedu Andriju u ambulantu, pitaju imena svih zaposlenika s kojima bi mogli stupiti u kontakt jer se brinu i za njihovo zdravlje iako oni nemaju i ne pokazuju nikakve simptome bolesti. Može li se poslodavac osloniti na članak 6. stavak 1. točka (d) (˝obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe˝) da dijeli imena zaposlenika? Odgovor je ne, osim ako poslodavac može naći drugu pravnu osnovu li ukoliko bi okolnosti slučaja pokazale da su i njihovi vitalni interesi ugroženi.
Što je s obradom osobnih podataka kako bi se spasili životi mnogih drugih , na primjer u uvjetima pandemije?
U uvodnoj izjavi 46. navedeno je da se ova pravna osnova može koristiti za obradu osobnih podataka u tu svrhu, ali također se navodi da se ta pravna osnova treba koristiti samo ako se obrada ne može zasnivati na drugoj pravnoj osnovi. To bi moglo uključivati ”pravnu obvezu” ili “izvršavanje službene ovlasti”.
Podaci posebne kategorije
Voditelj obrade osobnih podataka koji prikuplja i razmjenjuje zdravstvene podatke ispitanika (ili bilo koji drugi podatak koji se može podvesti pod posebnu kategoriju osobnih podataka) također mora utvrditi pravnu osnovu u skladu s člankom 9.1 (c) Opće uredbe o zaštiti podataka. Dakle, obrada je dopuštena ukoliko je „neophodna radi zaštite vitalnih/ važnih interesa ispitanika ili druge fizičke osobe ako ispitanik fizički ili pravno nije u mogućnosti dati pristanak “.
Navedena odredba može se primijeniti u hitnim slučajevima kada je pacijent u životnoj opasnosti i ne može uopće komunicirati jer je primjerice u nesvijesti ili ne daje slabe znakove života.
Primjerice: volonterska skupina sastavila je bazu podataka s imenima i adresama stanovnika kojima je potrebno prikupljanje recepata. Oni su podijelili ova imena i adrese s volonterima. Grupa je tražila od volontera da zabilježe detalje o svim stanovnicima koji imaju simptome COVID 19 kako bi mogli poduzeti korake za zaštitu života volontera. Skupina može samo obraditi tu informaciju ako je osoba sa simptomima eksplicitno pristala da se njihove informacije prikupljaju, dijele i obrađuju (i oni razumiju točno zašto se njihove informacije dijele, prikupljaju i obrađuju). Ako su u stanju da fizički mogu i razumiju dati suglasnosti skupina volontera se ne može osloniti na pravnu osnovu članka 9.2.(c) odnosno na vitalne interese ispitanika.
Mogu li se u tom slučaju primijeniti pravne osnove iz članka 9.2.(h) ili (i). razmotrit ćemo i objasniti u sljedećem blogu.
Mnoge su dobrotvorne ustanove formirale volonterske grupe koje pružaju osnovne usluge podrške onim članovima zajednice koji su ranjivi ili pripadaju rizičnim skupinama stanovništva. Da bi ispunile svoje ciljeve takve udruge ili ustanove će morati dijeliti osobne podatke o tim skupinama stanovništva, osobito o njihovom zdravlju. Iako su to hvale vrijedni projekti, ustanove i udruge moraju imati na umu i implikacije prikupljanja osobnih podataka te moraju biti svjesni zaštite osobnih podataka tih ispitanika. Detaljnije o svemu u sljedećem blogu.
Zaključno, moramo napomenuti kako niti frizeri, niti kozmetičari niti zaposlenici odgojno obrazovnih ustanova ne smiju davati ispitanicima na potpis privolu kako bi obradili njihove podatke o zdravlju, a sve kako bi ispunili preporuke HZJZ-a. Iz teksta je jasno kako u obzir dolaze druge pravne osnove te se nastavno na sve navedeno ispitaniku daje obavijest iz članka 13. Opće uredbe o zaštiti podataka. Naravno, tu ne staju obveze voditelja obrade po pitanju provođenja testova procjene učinka zaštite podataka, vođenja evidencija aktivnosti obrade i sl.
Za sve one koji žele steći stručne kvalifikacije iz udobnosti svog matičnog ureda ili doma, naše edukacije nakon kojih možete steći certifikat provode se i dalje online. Jedina je novina da od sada naše edukacije možete upisati i u ˝e radnu knjižicu˝. Termini trodnevnih edukacija za certificiranje službenika su 6.7.2020, 7.7.2020 i 8.7.2020. godine