Prikupljanje osobnih podataka u uslužnim djelatnostima koje uvjetuju fizički kontakt konačno je dobilo svoj epilog. Uspjeli smo javnosti i institucijama ukazati na velik pravni propust u prijedlozima obrazaca koji su trebali služiti kao 'nadopuna HZJZ mjera' obrtima koji su u tim djelatnostima, a koje je Hrvatska gospodarska komora (HOK) proslijedila svojim članovima na korištenje. Nadzorno tijelo objavilo je vrlo jasnu preporuku kojom je postalo evidentno da su ti dokumenti u potpunosti nezakoniti jer nisu u skladu s obvezujućom pravnom regulativom koje se dotiču, odnosno GDPR-om. Stoga smo čitateljima Lidera omogućili konkretne upute i GDPR obrasce za prikupljanje podataka koje propisuju Preporuke HZJZ-a za sve poslovne subjekte.
Obrtnici su, ni krivi ni dužni, umalo na svojoj koži osjetili negativne posljedice propusta matične institucije u koju nisu imali razloga sumnjati jer ona ima široku nadležnost za odobravanje njihovog otvaranja i zatvaranja na tržištu kao pravnih subjekata. Koliko god namjere te institucije sigurno nisu bile loše, pravnu odgovornost za ovaj značajan propust mogli su snositi samo - obrtnici.
Obrtnička komora je na dan objave naših opsežnih i detaljno argumentiranih zapažanja o nezakonitosti obaju dokumenata ponovno napomenula da njezin obrazac Izjave odnosno privole, nije obavezan dokument već da je to samo 'prijedlog dopuni provedbe mjera zaštite radnika i potrošača…'. Dan kasnije čak je objavila i komentirano očitovanje Stožera civilne zaštite RH o istom dokumentu kojim pokušava obrazložiti zašto u njemu i dalje ne vidi ništa sporno. Stožer im se oglasio tekstom koji su oni prenijeli: 'Izjava HOK-a nadopunjava Preporuke. Prikupljanje podataka je u svrhu lakšeg kontakta osoba koje potencijalno dođu u kontakt s osobom za koju se poslije ustanovi da je pozitivna na Covid-19. Klijenti mogu odbiti dati podatke, ali tada ne bi trebali biti primljeni na tretman.'
Upravo tom posljednjom rečenicom Stožer je zapravo rekao da HOK-ov obrazac Izjava (odnosno privola ili suglasnost klijenta) mora biti uvjetovana izvršenjem usluge što je, i uz sve ostalo, dodatni razlog zašto je nezakonita. Iako mišljenje uvijek temeljim na provjerljivom dokazu iz više izvora, ovaj put iznimno pretpostavimo da Stožer (kao ni obrtnici) nisu imali razloga propitkivati samu pravnu utemeljenost HOK-ovih dokumenata s obzirom da se radi o relevantnoj instituciji. Tako se može vidjeti da se Stožer očitovao isključivo o 'svrsi lakšeg kontakta osoba', ne i opsegu ili vrsti ostalih informacija koje se prikupljaju tim obrascem jer im vjerojatno u toj formi predstavljaju epidemiološki bezvrijedne informacije. U suprotnom bi i sami propisali u preporukama njihovo bilježenje, zar ne?
Je li HOK zatražio mišljenje jedine relevantne institucije zadužene za provedbu zakonske regulative vezane uz zaštitu osobnih podataka ili bilo kojeg stručnjaka po tom pitanju kad je već imao javno objavljenu argumentaciju o pravnoj suspektnosti nije poznato, kao što nije poznato niti zašto do zaključenja i ovog članka svoje nezakonite dokumente još uvijek nije povukao. Također nije ni obavijestio obrtnike kojima je i elektroničkom poštom poslao te dokumente da ih više ne koriste te što da rade s dosad prikupljenim Izjavama temeljem tih obrazaca. Svaki novi dan odgađanja nekome predstavlja novi dan prikupljanja podataka na nezakonitoj osnovi.
Kako dalje?
Slijedom službene preporuke Agencije za zaštitu podataka (AZOP) od 7. svibnja 2020. (ovdje), vezane uz obradu osobnih podataka klijenata u uslužnim djelatnostima koje uvjetuju fizički kontakt priredili smo za čitatelje Lidera prijedloge obrazaca koji su usklađeni s GDPR-om, a kojima ćete moći prikupljati tražene osobne podatke u svrhu provođenja preporuka HZJZ-a, nevezano u kojem poslovnom obliku poslujete, bilo da ste obrt ili trgovačko društvo.
Dokumenti koje smo vam pripremili sastavljeni su od dva dijela: (1) Evidencija osoba kojima je pružena usluga za prikupljanje HZJZ-om propisanih podataka i (2) Obavijest o privatnosti koja predstavlja predložak obveznog pratećeg dokumenta samoj evidenciji.
Prilikom svake nove svrhe bilježenja osobnih podataka važno je imati prateći dokument odnosno Obavijest o privatnosti. Taj dokument potrebno je javno objaviti, a u njemu se nalaze sve potrebne informacije za osobe čije ćete osobne podatke prikupljati. Tako navodimo i točnu svrhu i zakonsku osnovu prikupljanja tih podataka, rok njihovog prikupljanja i čuvanja, vaša prava koje imate, kontakt unutar subjekta za ostvarivanje tih prava, kontakt nadzornog tijela i slično.
Ako ćete osobne podatke prikupljati u predloženi obrazac Evidencije osoba kojima je pružena usluga, predlažemo da je već pri početku korištenja zaštitite lozinkom te unutar organizacije točno definirate odgovornosti i ovlasti pristupa kako biste ga zaštitili od neovlaštenog pristupa i mogućeg curenja podataka. Mnogi subjekti evidenciju kontakata klijenata za ovu svrhu vodit će u običnim bilježnicama što predstavlja puno rizičniji način prikupljanja podataka. Ako nemate nikakve mogućnosti računalno voditi tu evidenciju, osigurajte da bilježnica nikako ne bude dostupna na uvid ili prenošenje bilo kojoj od trećih strana (osobito klijenata ili drugog neovlaštenog osoblja) i strogo čuvana na zaštićenom mjestu. Dovoljan je samo trenutak nepažnje da netko mobitelom uslika popis s imenima i prezimenima te brojevima mobitela. Na popisu se mogu pojaviti i javne osobe kojima bi to curenje podataka moglo uzrokovati štetu širih razmjera, a vi ćete za to snositi odgovornost.
Za traženje i bilježenje tih podataka nije potrebna privola, odnosno suglasnost, već je klijenta potrebno samo obavijestiti o toj obradi na propisan način odnosno putem Obavijesti o privatnosti.
Svi predloženi obrasci dostupni su u otvorenom obliku te u novijim i starijim verzijama programa MS Word i MS Excel, kao i u PDF formatu (ako ne posjedujete na računalu MS Office paket).
Obrasci su potpuno besplatni, autorska prava na njihovo korištenje su slobodna i dozvoljeno je njihovo neograničeno korištenje i promjena svim poslovnim subjektima u Hrvatskoj. Obratite pažnju kod promjena da sadržaj i dalje ostane u skladu s GDPR-om.
Ovdje PREUZMITE GDPR obrasce koje možete koristiti pri provođenju preporuka HZJZ-a.
Važna napomena: Korištenjem ovih obrazaca zadovoljit ćete samo one aspekte GDPR-a nužne pri provedbi navedenih propisanih Preporuka HZJZ-a na dan 10. svibnja 2020. godine, a sukladno preporuci AZOP-a, po pitanju opsega prikupljanja i obrade podataka isključivo u tu svrhu kod pružanja usluge klijentima. Nijedan dio ovog članka ili predložaka ne uključuje obrasce ili savjete vezane uz obradu podataka samih zaposlenika i njihovih medicinskih stanja, kao niti cjelokupno usklađivanje organizacije s GDPR-om ili uvođenje dijela procesa vezanih uz sustav upravljanja informacijskom sigurnosti ISO 27001 u subjekt. Autori nisu odgovorni za pravne propuste uslijed promjena sadržaja na predlošcima, kao niti za bilo kakve pravne posljedice za subjekt uslijed korištenja tih predložaka. S vremenom je moguće da će pravna osnova za korištenje ovih obrazaca i uopće prikupljanja osobnih podataka u mjeri u kojoj je to sad propisano, nestati i trebat će prestati koristiti te akte.
Post scriptum: Predloženi obrasci predstavljaju doprinos autora Natalije Parlov Une i Željka Sičaje te pravnika Krunoslava Smolčića i Danijela Pribanića u olakšavanju rada poduzetnicima koji su se odlučili poštovati preporuke HZJZ-a.
„Nigdar ni tak bilo da ni nekak bilo, pak ni vezda nebu da nam nekak nebu.“ – Miroslav Krleža