Prijedlog dopuna Zakona o elektroničkim komunikacijama koji je po hitnom postupku poslalan u sabor smatramo da nije u potpunosti u skladu s GDPR
Prijedlogom se želi nadopuniti članak 104 Zakona o elektroničkim medijima tako da se doda:
“obrada podataka o lokaciji bez prometnih podataka iznimno je dopuštena u cilju zaštite nacionalne i/ili javne sigurnosti, i to u slučajevima kada je Vlada Republike Hrvatske proglasila prirodnu nepogodu ili katastrofu, ili kada je ministar nadležan za zdravstvo proglasio epidemiju zarazne bolesti ili opasnost od epidemije zarazne bolesti, u skladu s posebnim propisima, a pri čemu se zdravlje i životi građana bez obrade tih podataka ne bi mogli učinkovito zaštititi”.
Pri tome se prema pisanju index.hr navodi da prijedlog ne krši Opću uredbu o zaštiti podataka, te da GDPR predviđa:
“da bi se obrada osobnih podataka trebala također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem”.
Više: OVDJE
GDPR određuje da bi se obrada osobnih podataka trebala smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života osobe čiji podaci se obrađuju (ispitanika) ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi.
Pojednostavljeno, država može utvrditi potrebu za određenom vrstom obrade osobnih podataka i posebno u određenim specifičnim situacijama ali i tada takva obrada MORA BITI NUŽNA za izvršavanje zadaća od javnog interesa ili izvršavanja službene ovlasti (čl.6 GDPR) te obrada uvijek treba biti osigurana NA NAJMANJE INVAZIVAN NAČIN. Odnosno, podaci moraju biti obrađivani zakonito, pošteno i transparentno u odnosu na ispitanika tj. u odnosu na osobu čiji se podaci prikupljaju i obrađuju (čl.1 GDPR) a što je obrazloženo i u smjernicama WP260 rev.01. Prema tim i drugim relevantnim smjernicama nije razvidno da bi se ovakvo praćenje građana moglo smatrati kao najmanje invazivan način na koji bi se osigurala zakonita, poštena i transparentna obrada osobnih podataka za izvršavanje zadaća od javnog interesa.
Država može utvrditi potrebu za prikupljanjem i obradom osobnih podataka, neovisno da li se radi o izvanrednoj ili redovnoj situaciji kada je obrada:
1. Nužna za svrhu za koju se prikuplja
Ovdje se postavlja pitanje da li se utvrđena svrha prikupljanja i obrade podataka (svrha: zaštita života i zdravlja ljudi) u vrijeme posebnih, navedenih okolnosti, može postići i na blaži način za građane ili isključivo putem praćenja njihove lokacije putem mobilnog uređaja?
Utvrđivanje da će se prikupljanje i obrada vršiti onda kada se "...zdravlje i životi građana bez obrade tih podataka ne bi mogli učinkovito zaštitit" je prilično nerazumljiva a u najmanju ruku je zastrašujuća. Odnosno, teško je zamisliti bilo koju situaciju u kojoj država ne bi bila u stanju zaštiti život i zdravlje svojih građana bez praćenja njihove lokacije putem mobilnih uređaja.
2. Zakonita, poštena i transparentna
Ovdje se postavlja niz pitanja ali istaknut ćemo pitanje da li je takva obrada najmanje invazivna odnosno da li se prikupljanje osobnih podataka radi predmetne svrhe (zaštita života i zdravlja ljudi u posebnim okolnostima) može postići i na drugi način a koji manje zadire u privatnost građana?
Nastavno, obrada treba udovoljavati ostalim načelima obrade i zahtjevima GDPR-a, ovisno o konkretnoj obradi.
Zadržavajući se samo na polazišnim pitanjima bez ulaženje u ostala pitanja privatnosti, smatramo da ovako formuliran tekst nije u potpunosti u skladu s GDPR jer vjerujemo da se svrha prikupljanja i obrade osobnih podataka (zaštita života i zdravlja ljudi u posebnim, specifičnim situacijama) može postići i na manje invazivan način uz poštivanje načela obrade.
Slijedom navednog takvu oobradu mogli bi smatrati opravdanom u točno propisanim situacijama (npr. praćenje zaražene osobe u vrijeme pandemije radi sprečavanja širenja virusa) na temelju prethodnog pristanka osobe koja se nadzire i nakon što je osoba upoznata sa svim potrebnim informacijama o takvom praćenju sukladno GDPR. Pri tome niti najmanje ne umanjujemo vrijednost niti potrebu za uvođenje posebnih mjera u izvanrednim okolnostima ali smo stajališta da neovisno o okolnostima treba poštivati zajamčena prava i slobode građana.
Ines Bolkovac, dpo
