HZJZ donio je Preporuke za rad frizerskih salona i brijačnica u kojima se poslovnim subjektima preporučuje bilježiti vrijeme dolaska i odlaska te kontakt stranke a čime se poslovni subjekti dovode u vrlo nezgodan položaj i izlažu direktnom kršenju odredbi GDPRa a time i mogućim kaznama.

Stoga treba imati na umu da preporuke nisu i pravna obveza.

To je ono što se preporučuje napraviti i upute je potrebno slijediti tamo gdje su one primjenjive i odgovarajuće. Ukoliko se poslovni subjekt dovede u kršenje GDPR-a zbog istih, odgovornost za kršenje regulative je isključivo na njemu kao poslovnom subjektu a ne na preporuci tj. odgovornost nije na HZJZ koji je izdao takvu preporuku ili HOK-u koji je pripremio određene obrasce slijedeći predmetnu preporuku.

Kako bi se zadovoljila preporuka a pri tome postupalo u skladu s GDPR-om ostaje jedino mogućnost valjane PRIVOLE, znači koja nije uvjet za pružanje usluge već počiva isključivo na dobrovoljnosti osobe koja je daje. Pri tome je bitno istaknuti da se ne smije odbiti pružiti uslugu ili umanjiti njenu kvalitetu ako osoba odbije dati takvu privolu jer se na taj način poslovni subjekt ponovno dovodi u kršenje odredbi GDPR-a.

Hrvatski zavod za javno zdravstvo (HZJZ) donio je Preporuke za rad frizerskih salona i brijačnica tijekom epidemije COVID-19 dana 30. travnja 2019. godine koje su dostupne na linku ovdje.

U točci 2.3 navedene Preporuke ističe se preporuka o evidentiranju vremena ulaska osobe u salon, kontakt podatke (broj mobitela) i vrijeme napuštanja salona. Uz daljnju preporuku da stranke treba pravovremeno upozoriti da će im se usluga pružiti samo ako su suglasni ostaviti podatke za kontakt.

Zbog navedene točke mnogi poslovni subjekti koji obavljaju uslugu frizerskog salona i brijačnice obratili su se za pomoć kako ne bi došli u sukob s postupanjem u skladu s Općom uredbom ukoliko strogo prate preporuku.

Naime, prije svega treba imati na umu da preporuke nisu i pravna obveza. To je ono što se preporučuje napraviti i upute nisu obvezujuće za postupanje već ih je potrebno prilagoditi konkretnim potrebama i okolnostima.

Općom Uredbom propisuje se da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (utvrđuje se u pravu Unije ili države članice voditelja obrade); (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete. (vidjeti: članak 6. GDPR)

U ovom slučaju mogu se razmatrati obrade navedene pod točkom (a), (b) i (c).

Promatrajući navedeno razvidno je da prije svega nije moguće naći temelj u točci (c) jer „preporuka“ nije pravo države članice ili Unije.

Valjana osnova nije moguća niti u točci (b) jer predmetno nije nužno za pružanje same usluge frizera ili brijača.

Obrada pod točkom (a) Privola također nije primjenjujuća jer uslijed niza uvjeta kojima privola mora udovoljavati da bi bila zakonita, prvenstveno prije svega mora zadovoljavat uvjet dobrovoljnosti davanja. Ovdje ne možemo zadovoljiti uvjet dobrovoljnosti niti dobiti važeću privolu ako je ona uvjet za pružanje usluge te s time dolazimo direktno u kršenje GDPR. Prije svega krše se odredba koja određuju da se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima   u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje te usluge. (vidjeti: članak 7. st. 4 GDPR).

Slijedom navedenog postavlja se pitanje, kako zadovoljiti preporuku a pritom se istodobno ne dovesti u kršenje Opće uredbe i izložiti se mogućim kaznama?

Uzimajući u obzir da preporuke nisu obvezujuće i da se poslovni subjekt neće pozvati na odgovornost jer nije u svim pitanjima strogo slijedio predloženo, isto će biti potrebno prilagoditi GDPR regulativi. Pri tome treba uzeti u obzir da je upute potrebno slijediti tamo gdje su one primjenjive i odgovarajuće te ukoliko se poslovni subjekt dovede u kršenje GDPR-a zbog istih, odgovornost za kršenje regulative je isključivo na njemu a ne na preporuci tj. Zavodu za javno zdravstvo koji izdaje preporuku.

Promatrajući sve navedeno, ostaje mogućnost pribavljanja valjane PRIVOLE koja nije uvjet za pružanje usluge već počiva isključivo na dobrovoljnosti osobe koja je daje.

Pri tome je bitno istaknuti da se ne smije odbiti pružiti usluga ili umanjiti kvalitetu usluge ako osoba odbije dati takvu privolu jer bi se na taj način poslovni subjekt ponovno doveo u kršenje odredbi Opće uredbe.

Ines Bolkovac, službenica za zaštitu podataka

****

Više informacija i članaka na temu GDPR-a možete naći na stranicama Feralisa.

Povezane vijesti

• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om
• OBRADA OSOBNIH PODATAKA NA RADNOM MJESTU: Mali vodič za poslodavce i zaposlenike
• PRIVSEC LONDON: Vodeći svjetski stručnjaci praktično o privatnosti i sigurnosti i KAKO SE ZAŠTITITI