Agencija za zaštitu osobnih podataka (dalje: AZOP) objavila je mišljenja vezana na zakonitost obrade osobnih podataka sadržanih u COVID potvrdama.
Naime, Odlukom Stožera Republike Hrvatske (Odluka o uvođenju posebne sigurnosne mjere testiranja dužnosnika, državnih službenika i namještenika, službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova) od 12.11.2021. g. propisana je obveza testiranja navedenih osoba, odnosno ispunjavanja uvjeta cijepljenja ili preboljenja bolesti COVID-19 istih, a koje se činjenice dokazuju predočenjem EU digitalne COVID potvrde.
Odluka na: https://narodne-novine.nn.hr/clanci/sluzbeni/full/2021_11_121_2087.html
Mišljenje AZOP-a je da je uvid u EU COVID potvrdu odnosno drugi odgovarajući dokaz prilikom ulaska u službene prostorije zakonit.
Naime, odluka Stožera civilne zaštite Republike Hrvatske predstavlja zakoniti pravni temelj za obradu iz članka 6. stavka 1. Opće uredbe o zaštiti podataka jer je obrada nužna radi poštivanja pravnih obveza voditelja obrade (točka c) odnosno jer je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (točka e).
Nadalje, mišljenje je AZOP-a da u konkretnom slučaju vrijede iznimke načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka točke b.,g., i.
Što se tiče uvida u identifikacijski dokument osobe u svrhu provjere identiteta nositelja COVID potvrde, isto nije u opsegu primjene GDPR-a, budući da se radi o neautomatiziranoj obradi.
Svaka daljnja obrada osobnih podataka, primjerice kopiranje, skeniranje, fotografiranje i sl. COVID potvrde smatra se prekomjernom obradom.
Ako poslodavac želi pohraniti podatke o trajanju COVID potvrda svojih zaposlenika, isto može učiniti temeljem privole zaposlenika. S druge strane, pohrana podataka o trajanju EU COVID potvrde stranaka koje dolaze u službene prostorije ne bi bila sukladna odredbama GDPR-a.
Odlukom Stožera civilne zaštite Republike Hrvatske propisana je i preporuka svim drugim poslodavcima u vezi uvođenja mjere obveznog testiranja svojih zaposlenika i drugih osoba koje dolaze u njihove poslovne prostore. Vezano na navedeno, mišljenje je AZOP-a da ista preporuka zbog svoje neobvezatnosti ne može predstavljati pravni temelj za zakonitost obrade iz članka 6. stavka 1. točke c) odnosno e) Opće uredbe o zaštiti podataka.
Međutim, navedena preporuka može pomoći poslodavcima u privatnom sektoru kao voditeljima obrade u dokazivanju legitimnog interesa za obradu osobnih podataka putem uvida u EU digitalnu COVID potvrdu.
Nadalje, u konkretnom slučaju, iznimku načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka mogla bi predstavljati točka b) predmetnog stavka.