Hrvatski zavod za javno zdravstvo 30. travnja objavio je nekoliko Preporuka za rad u uslužnim djelatnostima gdje je izražen fizički kontakt (kozmetičkim, frizerskim, pedikerskim i sl. salonima) tijekom epidemije COVID-19. U preporukama se, između ostalog, navodi kako saloni prilikom primanja klijenata moraju zabilježiti: “vrijeme ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona”, piše Duje Kozomara, konzultant za privatnost podataka.
U ovom trenu ćemo zanemariti izrazito neozbiljan način na koji je HZJZ izveo davanje ove obveze obrade podataka, gdje nije do kraja razjašnjen pravni temelj takve obrade, nisu dane apsolutno nikakve preporučene tehničke niti organizacijske upute za zaštitu podataka, niti je samim salonima dano dovoljno vremena da se adekvatno pripreme ako žele prilagoditi vlastite Politike privatnosti. Navedeno samo još jednom pokazuje koliko je neozbiljan stav državnih tijela prema zaštiti osobnih podataka.
Fokusirat ćemo se na reakciju Hrvatske obrtničke komore (HOK-a), koja je za svoje članove pripremila obrazac Izjave, valjda kako bi vlasnicima salona olakšala bilježenje spomenutih podataka. Jedini problem je što način na koji je ta izjava sročena te podaci koji se u njoj traže predstavljaju ozbiljno kršenje Opće uredbe o zaštiti podataka (GDPR-a), zbog kojeg vlasnici salona mogu biti izloženi visokim upravnim novčanim kaznama.
Konkretno, u obrascu Izjave se od klijenata, osim spomenutih podataka iz preporuke HZJZ-a, traže još: ime, prezime, adresa prebivališta, potpis, potvrda da osoba nije bila u samoizolaciji niti boravila van granica RH te vrhunac – podatci povezani sa zdravljem (ima li osoba simptome respiratornih bolesti/povišenu temperaturu). HZJZ nigdje nije propisao da saloni trebaju tražiti bilo koji od spomenutih podataka.
Navedenim prikupljanjem krši se osnovno načelo Uredbe “smanjenja količine podataka“, ali istovremeno i načelo zakonitosti, budući da za obradu svih tih podataka nema jasne pravne osnove. Usto, podaci povezani sa zdravljem prema Uredbi spadaju u osjetljivu kategoriju podataka te za njih vrijedi poseban set tehničkih i organizacijskih mjera zaštite.
Nadalje, obrazac Izjave ističe da klijent daje privolu za obradu podataka u navedenu svrhu – što je na nekoliko različitih načina potpuno krivo i ukazuje na temeljno nepoznavanje Uredbe. Naime, privola može biti pravna osnova samo ako je dana potpuno dobrovoljno, ne može biti uvjet pružanja usluge i mora se moći povući u svakom trenutku bez posljedica. Preporuka HZJZ-a istovremeno ističe da salon ne smije pružiti uslugu ako ne dobije kontakt podatke od klijenta – a očigledno ih mora i zadržati za vrijeme trajanja mjere zbog eventualne potrebe epidemiologa da kontaktiraju klijenta. Navedeno je u suštoj suprotnosti s osnovnim zahtjevima privole.
Valja istaknuti kako GDPR propisuje sljedeće za kršenje osnovnih načela Uredbe, kao i uvjete privole: mogu se izreći upravne novčane kazne u iznosu do 20.000.000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Dakle, vlasnicima salona bih savjetovao da niti u kojem slučaju ne koriste pripremljenu izjavu HOK-a, a od svojih klijenata u ovu svrhu prikupljaju samo one najosnovnije podatke koje su zaista dužni tražiti prema Preporuci HZJZ-a. To su: vrijeme dolaska u salon, vrijeme odlaska iz salona te kontakt telefon. Navedene podatke možete samostalno popunjavati i u najobičnijoj tablici u Excelu, bez potrebe da klijent bilo što potpisuje. Hrvatskoj obrtničkoj komori, Hrvatskom zavodu za javno zdravstvo, ali i svim javnim tijelima savjetovao bih da što prije angažiraju osobe stručne u području zaštite osobnih podataka, budući da je sustavno i kontinuirano kršenje GDPR-a obrazac koji se ponavlja i jasno pokazuje koliko brinu o temeljnim pravima građana, piše Duje Kozomara na LinkedIn-u.
