Posljednjih dana možemo čuti mnoga pozivanja na GDPR u kontekstu kontrole COVID potvrda. Temeljem Odluke o uvođenju posebne sigurnosne mjere obveznog testiranja dužnosnika, državnih službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova Stožera civilne zaštite Republike Hrvatske potrebno je provoditi posebnu sigurnosnu mjeru testiranja na virus SARS-CoV2 prilikom dolaska na posao, najmanje dva puta u sedam dana. Istom Odlukom propisuje se da testiranje nije obavezno za osobe koje ispunjavaju uvjet cijepljenja ili prebolijevanja bolesti COVID-19 a što se dokazuje predočenjem EU digitalne COVID potvrde ili predočenjem drugog odgovarajućeg dokaza. Odluka Stožera ne nalaže evidentiranje i pohranjivanje takvih podatka.
Prema tome, uvidom u EU digitalnu COVID potvrdu ili drugi relevantni dokument ne dolazi do pohrane osobnih podataka te onda nema niti primjene Opće uredbe (Uvodna izjava 15 GDPR). Ako se podaci prikupljaju (zapisuju, kopiraju, slikaju ili dr.), a za to u Odluci stožera nema valjane svrhe, došlo bi do prekomjerne obrade osobnih podatka i kršenja Opće uredbe.
Međutim, postoje situacije kada poslodavci mogu imati opravdani interes i utvrditi valjanu svrhu za prikupljanje takvih podataka, kao primjerice u slučaju kada žele olakšati ili ubrzati provedbu posebne sigurnosne mjere. Tada sama Odluka stožera nije valjani temelj za prikupljanje i obradu podataka, te je potrebno utvrditi drugu zakonitu osnovu sukladno Općoj uredbi.
Što ukoliko se prikupljaju podaci o EU COVID potvrdama?
U tom su slučaju poslodavci dužni utvrditi točnu svrhu prikupljanja podataka i primijeniti jednu od iznimki načelne zabrane obrade posebnih kategorija osobnih podataka prema Općoj uredbi, kako bi takve podatke mogli zakonito prikupljati i obrađivati. Agencija za zaštitu osobnih podataka (AZOP) svojim priopćenjem daje preporuku da se koristi privola kao zakonita osnova.
S obzirom na uvjete koje je potrebno zadovoljiti da bi privola u kontekstu radnih odnosa bila valjana, osoba koja daje privolu mora biti upoznata da ima i alternativnu mogućnosti te da neće trpjeti bilo koje negativne posljedice ukoliko privolu ne želi dati.
Primjer: Ukoliko poslodavac u svrhu ubrzanja postupka provjere EU COVID potvrde zaposlenika pri njihovom dolasku na posao želi olakšati i pojednostaviti postupak na način da prikupi informacije o njihovoj EU COVID potvrdi te na taj način onda iste ne mora provjeravati svaki dan, to može učiniti temeljem pristanka (privole) zaposlenika. Međutim, radnicima mora biti omogućena i alternativna mogućnost odnosno, da imaju mogućnost svaki dan poslodavcu predočiti EU COVID potvrdu pri dolasku na posao bez da se podaci o EU COVID potvrdi evidentiraju ili bilježe.
Korištenjem privole kao zakonitog temelja za prikupljanje i obradu osobnih podataka potrebno je osobama čiji se podaci prikupljaju pružiti i obavijest o obradi osobnih podataka (čl.13 GDPR) i to podatke o voditelju obrade i službeniku za zaštitu podataka (ako je primjenjivo); o svrsi obrade i zakonitom temelju; o primateljima ako ih ima; o rokovima pohrane; kako osoba može ostvariti svoja prava; o pravu na podnošenje prigovora nadzornom tijelu, o postojanju prava da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena te druge potrebne informacije.