Pišu: Tanja Krehić, odvjetnica i Rado Bekeš, viši menadžer u Deloitteovu Odjelu poslovnog savjetovanja
Europski odbor za zaštitu osobnih podataka još je prije mjesec dana mjerodavnim zdravstvenim institucijama i poslodavcima odobrio da obrađuju osobne podatke pojedinaca u kontekstu krize prouzročene pandemijom. Naravno, u skladu s nacionalnim zakonima
U prošlosti su kompanije uglavnom zauzimale stajalište da je isplativije riskirati sankcije nego ulagati u sigurnost osobnih podataka ispitanika koje su obrađivale. Opća uredba o zaštiti osobnih podataka (GDPR), koja je, iako donesena još u travnju 2016., stupila na snagu u svibnju 2018., uglavnom je znatno promijenila taj pristup. Omogućivši regulatorima izricanje vrlo visokih novčanih kazni, GDPR je potaknuo društvo i kompanije na snažno zagovaranje i promicanje usklađenosti te, posljedično, izbjegavanje novčanih kazni.
Prema prijašnjim zakonodavnim okvirima koji su uređivali zaštitu osobnih podataka smatralo se da kompanije primjereno obrađuju i štite osobne podatke, čak i ako im nije bilo poznato da su ih izgubile. Međutim, GDPR sada na prvo mjesto stavlja ispitanika te zaštitu njegovih prava i interesa vrlo strogo propisujući uvjete pod kojima se osobni podaci mogu prikupljati (tzv. pravna osnova) te kako ih i tko može obrađivati. Slijedom tih velikih regulativnih promjena i uz tako dramatičan pomak u regulaciji zaštite podataka, u posljednjih godinu dana dogodile su se i prve utvrđene povrede osobnih podataka i izrečene su pozamašne novčane kazne.
Dva najteža slučaja
Ipak, dva su slučaja najviše odjeknula upravo zbog visine izrečenih novčanih kazni. U oba je odluku o povredi osobnih podataka i o novčanoj kazni donio britanski regulator (Information Commissioner's Office – ICO) u srpnju 2019. U prvom slučaju kazna je izrečena British Airwaysu (od 183 milijuna funti) zbog neadekvatnih tehničkih i organizacijskih mjera koje su zbog kibernetičkog napada kojem je kompanija bila izložena u rujnu 2018. prouzročile povredu oko 500.000 osobnih podataka korisnika njezinih usluga.
U drugom slučaju kazna od 99 milijuna funti izrečena je hotelskoj korporaciji Marriott International. Ta je korporacija 2016. kupila Starwood, hotelsku grupu koja je prije toga bila izložena kibernetičkom napadu. Britanski regulator obrazložio je svoju odluku o kazni tvrdnjom da Marriott International nije odgovarajuće i dovoljno detaljno dubinski snimio poslovanje grupacije koju je kupovao. Procjenjuje se da su u tom slučaju bili kompromitirani osobni podaci čak 339 milijuna gostiju.
Nove upute
Navedena dva najteža slučaja povrede osobnih podataka (i najviših izrečenih kazni!) pokazuju da GDPR zahtijeva od kompanija usklađenje svih segmenata svojeg poslovanja sa zahtjevima zaštite osobnih podataka. Imajući na umu val novih visokih novčanih kazni izrečenih u Europskoj uniji i trenutačnu situaciju prouzročenu pandemijom bolesti COVID-19, važno je osvrnuti se i na nedavne upute mjerodavnih tijela EU za tumačenje primjene GDPR-a koje se odnose na osobne podatke oboljelih od COVID-19 koje obrađuju nacionalne vlade i poslodavci.
Naime, Europski odbor za zaštitu osobnih podataka (European Data Protection Board – EDPB) potkraj ožujka donio je smjernice za obradu osobnih podataka kao stručni odgovor na mjere brojnih europskih vlada i mjerodavnih nacionalnih zdravstvenih institucija u borbi protiv pandemije izazvane bolešću COVID-19 (Uputa). U uvodu EDPB ističe da GDPR kao osnovni propis koji uređuje obradu osobnih podataka nužno i automatski ne zabranjuje mjere koje se donose i primjenjuju u borbi protiv pandemije, no ističe da voditelji i izvršitelji obrade moraju voditi računa o osnovnim principima zaštite osobnih podataka neovisno o pandemiji, stoga obrada i u ovim kriznim vremenima treba biti zakonita, a donesene mjere trebaju se prilagođavati okolnostima.
Zakonitost obrade podataka
Pravila koja donosi GDPR o obradi osobnih podataka vrlo su široka i predviđaju uvjete za obradu i u situacijama poput ove krize izazvane koronavorusom. Tako predviđa ovlasti mjerodavnih zdravstvenih institucija i poslodavaca da obrađuju osobne podatke pojedinaca u kontekstu krize izazvane pandemijom u skladu s nacionalnim zakonima i smjernicama iz Upute kad je takva obrada nužna radi zaštite nacionalnog interesa osiguranja zdravlja ljudi. U takvim, iznimnim slučajevima može se isključiti obveza oslanjanja na privolu ispitanika, naravno, uz ispunjenje svih drugih zahtjeva za valjanu obradu osobnih podataka.
U slučajevima kad osobne podatke tijekom krize obrađuju javna tijela (npr. ustanove za javno zdravstvo), uključujući i posebne kategorije osobnih podataka (zdravstvene podatke), EDPB smatra da je obrada dopuštena u sklopu zakonitog mandata javnog tijela i u skladu s nacionalnim zakonima i temeljnim načelima GDPR-a. Dakle, osobni podaci koji se odnose na zdravlje (i druge posebne kategorije osobnih podataka), koji se inače ne smiju obrađivati, smiju se obrađivati ako je obrada nužna u svrhu osiguranja javnog zdravlja, sprečavanja prekograničnih prijetnji zdravlju ili osiguravanja visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, uz uvjet da su takve (izvanredne) mjere utemeljene na zakonu.
Telekomunikacijski podaci
U odnosu na obradu telekomunikacijskih podataka kao što su, primjerice, lokacijski podaci ispitanika ističe se obveza poštovanja Direktive o e-privatnosti (ePrivacy). U tom smislu lokacijski podaci koje operator obrađuje mogu se upotrebljavati samo ako su anonimizirani ili ako je ispitanik dao privolu za njihovu obradu. Međutim, Direktiva omogućuje članicama EU da posebnim nacionalnim zakonima donesu mjere zaštite javne sigurnosti. Ti iznimni nacionalni propisi zakoniti su samo ako su donesene mjere upotrebe lokacijskih podataka proporcionalne mjerama zaštite demokratskog poretka. U slučaju iznimnih kriznih situacija, kao što je pandemija i kriza izazvana koronavirusom, mjere moraju biti vremenski strogo ograničene trajanjem krize zbog koje su uvedene.