10.2.2021. HZJZ i HOK salonima izdali opasne preporuke

VLADA, STOŽER I PRATEĆA JAVNA TIJELA NEPOTREBNO IZLAŽU SALONE REALNOM RIZIKU FINANCIJSKIH SANKCIJA ZBOG KRŠENJA UREDBE O ZAŠTITI PODATAKA

Preporuke za rad salona Hrvatskog zavoda za javno zdravstvo i obrazac Obrtničke komore za prikupljanje podataka o klijentima krše najosnovnija načela Opće uredbe o zaštiti podataka. Stoga onima koji ih budu primjenjivali prijete najstrože predviđene financijske kazne. Alarmantni razmjeri kršenja zakonskog okvira, povod su za opravdanu i duboku zabrinutost javnosti i građana.

Duje Prkut, izvršni direktor Udruge Politiscope, ističe kako su se upravo zbog drastičnih financijskih kazni koje prijete salonima odlučili na javnu reakciju: „Predloženi model prikupljanja podataka u salonima je nezakonit na više razina, no ponajprije treba upozoriti na preporuku salonima da uskrate uslugu ukoliko klijenti odbije dati privolu. Upravo su za uskratu usluge zbog nedavanja privole predviđene najstrože financijske sankcije. Vrlo jednostavno – ako niste u mogućnosti uskratiti privolu, onda to niti nije privola. Frapantno je da HZJZ ne zna najbazičnije osnove o zaštiti podataka, a usuđuje se salonima davati preporuke koje ih guraju u rizik najtežih financijskih sankcija.“

Udruga Politiscope već je upozorila na Vladino grubo kršenje zakona kad je u pogon pustila svog digitalnog asistenta Andriju, a da pritom nije objavila Politiku privatnosti - dok naknadno objavljena politika također ima ozbiljne propuste. Zakon o elektroničkim komunikacijama, povučen iz procedure zbog jednoglasnih kritika, dodatan je dokaz da Vlada nema kapacitete osmisliti i implementirati legalni sustav obrade podataka, u kojem svrha zaštite javnog zdravlja neće biti suprotstavljena pravima građana. Nemar Vlade prema zaštiti podataka sada uredno slijede druge javna tijela, koja se, za razliku od privatnih tvrtki, ne moraju pribojavati kazni.

Duje Kozomara, zamjenik Izvršnog direktora udruge Politiscope i stručnjak za zaštitu osobnih podataka, među prvima je upozorio na nezakonite preporuke izdane frizerskim, pedikerskim i tattoo salonima. Posebno problematičnim smatra obrazac kojeg je Hrvatska obrtnička komora uputila salonima: „Bilo je teško povjerovati da je Hrvatska obrtnička komora išla iznad ionako nezakonitih preporuka HZJZ i salonima savjetuje prikupljanje informacija u još većem opsegu. HOK tako obrtnicima, bez ikakve osnove, savjetuje da prikupljaju osobne podatke klijenta o tome gdje se kreću izvan salona i kakvo je njihovo zdravstveno stanje. Potrebno je da samo jedan klijent koji poznaje svoja prava nadležnom nadzornom tijelu dostavi prijavu protiv salona - koji najvjerojatnije nema ni pripadajuću Politiku privatnosti, ni imenovanog službenika za zaštitu podataka (do sada nije bilo potrebe da ga imenuju) te istodobno uskraćuje uslugu onima koji neće dati podatke. To je recept iz snova za ozbiljnu financijsku kaznu.“

Iz udruge Politiscope, koja je fokusirana na privatnost, ističu kako postoje opravdani javni interesi da država u uvjetima pandemije prikuplja osjetljive podatke građana, čak i bez njihove privole. No u tom slučaju, obrada mora biti propisana zakonom, opseg prikupljanja mora biti jasno definiran, obrada mora biti privremena, proporcionalna i nužna te je potrebno poduzeti odgovarajuće mjere tehničke zaštite tih podataka, uz punu transparentnost prema ispitanicima o obradi njihovih podataka. Stožer i javna tijela koja podupiru njegov rad, odlučili su se na upravljanje pandemijom putem press konferencija i neobveznih uputa i smjernica – kad se radi o obradi podataka građana, taj je pristup jednostavno neprihvatljiv i nezakonit.

KRATKA ANALIZA PREPORUKA HRVATSKOG ZAVODA ZA JAVNO ZDRAVSTVO ZA RAD KOZMETIČKIH SALONA, SALONA ZA TETOVIRANJE I PIERCING, FIZIOTERAPEUTA I SALONA ZA MASAŽU, SALONA ZA MANIKURU I PEDIKURU, FRIZERSKIH SALONA I BRIJAČNICA (objavljene 30. travnja 2020.)

  • Uputa je nedovoljno jasna i nedostaje čitav set informacija neophodnih da saloni ovom obradom ne bi kršili niz obveza Opće uredbe za zaštitu podataka: nije do kraja razjašnjen pravni temelj takve obrade, nisu preporučene tehničke ni organizacijske upute za zaštitu podataka, salonima nije ukazano da trebaju promijeniti svoju Politiku privatnosti.
  • Pravna snaga preporuke? Nameće se zaključak da bi za postizanje cilja koji HZJZ želi postići, najprigodnija pravna osnova prikupljanja i obrade podataka bila pravna obveza salona, ali da bi to bilo ispunjeno, akt mora imati jaču pravnu snagu od “Preporuke”.
  • Korištenjem termina “suglasnost” za ostavljanje podataka, preporuka sugerira da salon treba tražiti privolu od ispitanika dok istovremeno naglašava da uslugu treba uskratiti onima koji privolu ne daju. Privola mora biti dobrovoljna i ne smije biti uvjet pružanja usluge.
  • Nije jasno definirano koje tijelo javne vlasti je primatelj podataka, niti da li to tijelo ima novu Politiku privatnosti s obzirom na nov tip podataka kojeg počinju prikupljati – odnosno ima li uopće dokument kojim pruža potrebne informacije ispitanicima.
  • Nije izdana uputa za potpisivanje ugovora o razmjeni takvih podataka s „epidemiolozima“, HZJZ-om, ili nekim trećim zasad nepoznatim javnim tijelom, u kojem bi se definirala prava i obveze voditelja i izvršitelja obrade.
  • Nije definirano koliko vremena bi saloni trebali zadržati takve podatke.

 

KRATKA ANALIZA OBRASCA IZJAVE HRVATSKE OBRTNIČKE KOMORE „ZA SVE OBRTNIKE KOJI ZAPOČINJU S RADOM U USLUŽNIM DJELATNOSTIMA GDJE JE IZRAŽEN FIZIČKI KONTAKT“ (objavljen XY travnja 2020.)

  • Obrazac od klijenata, osim podataka iz preporuke HZJZ-a, traži još dodatan niz podataka: ime, prezime, adresu prebivališta, potpis, potvrdu da osoba nije bila u samoizolaciji niti boravila van granica RH te čak i podatke povezane sa zdravljem (ima li osoba simptome respiratornih bolesti/povišenu temperaturu).  
  • Navedenim prikupljanjem krši se osnovno načelo Uredbe „smanjenja količine podataka“, ali istovremeno i načelo zakonitosti, budući da za obradu svih tih podataka nema jasne pravne osnove.
  • Podaci povezani sa zdravljem prema Uredbi spadaju u osjetljivu kategoriju podataka te za njih vrijedi poseban set tehničkih i organizacijskih mjera zaštite za koje HOK obrtima nije izdao nikakvu uputu ili savjet.
  • Korištenjem obrasca, salon je i primoran tražiti privolu od klijenta za obradu podataka – a HZJZ ističe da bez suglasnosti ne smije pružiti uslugu, čime je salon prisiljen kršiti osnovne uvjete privole.

 

FINANCIJSKI PENALI:

  • GDPR propisuje najviše okvire novčanih kazni za kršenje osnovnih načela Uredbe, što uključuje i uvjete privole; mogu se izreći upravne novčane kazne u iznosu do 20 milijuna eura, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

Foto: Politiscope