Što i kako
StoryEditor

Iako je korona-kriza i sve se prati, to ne znači da GDPR ne vrijedi

18. Ožujak 2020.
GDPR laptop
Piše:
piše Natalija Parlov Una
[email protected]

Europski odbor za zaštitu podataka (EDPB) objavio je službenu izjavu vezanu uz obradu različitih vrsta osobnih podataka tijekom pandemijske krize referirajući se na mjere suzbijanja širenja virusa koje koriste vlade te javne i privatne organizacije, koju prenosim u cijelosti.

Službeni stav koji je iznijela predsjednica EDPB-a Andrea Jelinek jest da pravila o zaštiti podataka poput GDPR-a ne sprječavaju mjere koje se provode u borbi protiv pandemije korona virusa istovremeno naglašavajući da, iako se radi o iznimnim aktivnostima, voditelji obrada moraju osigurati organizacijsku i tehničku zaštitu obrađivanih osobnih podataka pojedinaca.

Opća uredba o zaštiti podataka, kao vrlo široki zakonodavni okvir, predviđa i pravila koja se primjenjuju na obradu osobnih podataka, poput primjerice trenutne situacije s korona virusom, omogućujući zakonsku osnovu prikupljanja i obrade osobnih podataka poslodavcima i tijelima javnog zdravstva bez obveze dobivanja suglasnosti od samog pojedinca.

Ovo pravilo primjenjuje se kad je obrada osobnih podataka poslodavcima potrebna iz razloga javnog interesa iz područja javnog zdravstva ili zaštite vitalnih interesa (propisane čl. 6. i 9. GDPR-a), ili radi ispunjavanja druge zakonske obveze.

Za obradu elektroničkih komunikacijskih podataka, poput podataka o mobilnoj lokaciji, primjenjuju se dodatna pravila. Nacionalna zakonodavstva država članica koje su implementirale smjernice direktive ePrivacy (op.a. u Hrvatskoj implementirane putem Zakona o elektroničkim komunikacijama NN 73/08, 90/11, 133/12, 80/13, 71/14, 72/17) predviđaju načelo da operator lokacije može koristiti podatke o lokaciji samo ukoliko su oni anonimizirani ili su stečeni uz pristanak pojedinca. Pritom navodi da se javna tijela trebaju fokusirati na obradu lokacijskih podataka na anonimni način odnosno prikupljati ih na način da se njima kasnije ne može identificirati pojedinca, što bi omogućilo izradu kartografskih izvještaja o koncentraciji mobilnih uređaja na određenom mjestu.

U slučajevima kad nije moguće obrađivati samo anonimne podatke, čl. 15 direktive ePrivacy omogućuje državama članicama da, poštujući javnu i nacionalnu sigurnost, uvedu dodatne zakonodavne mjere ukoliko im ti aspekti zaštite javnog zdravlja već nisu regulirani drugim nacionalnim regulatornim okvirom vezanim uz nacionalnu ili javnu sigurnost.

Donošenje novih propisa u izvanrednim situacijama moguće je samo pod uvjetom da ono predstavlja neophodnu, prigodnu i proporcionalnu mjeru u skladu s postulatima demokratskog društva. Ukoliko država članica uvodi nove mjere, obvezna je uključiti i adekvatne zaštitne mehanizme poput osiguravanja pojedincima prava na pravni lijek. Izvornik dokumenta je ovdje.

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn

02. veljača 2023 08:34