GDPR u sektoru turizma: Tzv. liste za cijepljenje predstavljaju kršenje zakona

Pojavom cjepiva i njihovom sve većom dostupnošću, porastao je optimizam da će nam mnoge ne tako davne navike ponovo biti dostupne u cijelosti i bez restrikcija. Premda je rano za prognoze kada i što će predstavljati kraj pandemije, svijet već sada ima dostupne dvije osnovne varijante za prevenciju širenja epidemije, a to su dijagnostički testovi i postupak cijepljenja.

Kompanije, posebice u sektoru turizma, sve više u cilju povećanja produktivnosti, ali i opstanka na tržištu brigu o zdravlju i sigurnosti korisnika svojih usluga ističu kroz svoje marketinške aktivnosti. Kako bi to povjerenje opravdali u svojim ponudama imaju dostupne usluge dijagnostičkog testiranja.

S druge strane, uz stanovite poteškoće na određenim razinama i s različitim intenzitetom, u Hrvatskoj gotovo četiri mjeseca traje cijepljenje stanovništva. U tom kontekstu, određeni sektori poput zdravstvenog, a od nedavno i turističkog, imaju dostupno prioritetno cijepljenje za svoje djelatnike.

U konačnici, organizacije iz sektora turizma danas imaju na raspolaganju mehanizme da u svojim poslovnim prostorima mogu osigurati zdravstveno sigurnije okruženje, a to podrazumijeva vlastite zaposlenike i svoje goste.

Međutim, usprkos velikoj medijskoj kampanji i glasnim političkim porukama o važnostima testiranja i cijepljenja, izvjesno je da je svaki pristanak za testiranje i cijepljenje dobrovoljan i da je postupak takvih procedura potrebno dodatno urediti i osobne podatke dodatno zaštititi.

Premda se može učiniti da tvrtke imaju dovoljno prostora da internim aktima osiguraju efikasno testiranje i cijepljenje svojih zaposlenika, treba napomenuti da posebne okolnosti izazvane pandemijom nisu stavile pravila privatnosti i zaštite osobnih podataka po strani, već su ona primjenjiva i u uvjetima izazvanima pandemijom.

Obrada osobnih podataka u svrhu testiranja ili cijepljenja predstavlja novu obradu osobnih podataka i zahtijevaju posebnu pažnju. To se posebice očituje u načinu prikupljanja podataka osoba koja se žele testirati ili cijepiti i dostavi njihovih rezultata.

Primjerice, u mnogim organizacijama mogu se vidjeti „liste za cijepljenje“ koje prikupljaju hoteli radi dostave podataka HZJZ u svrhu organizacije cijepljenja djelatnika a u koje potrebne podatke kao što su ime i prezime, kontakt, adresa, broj zdravstvenog osiguranja unose sami zaposlenici (ispitanici). Na taj način se svakome od njih koji samostalno unosi svoje podatke otkrivaju podaci ostalih prijavljenih osoba čime se dovodi do neovlaštenog otkrivanja osobnih podataka trećim osobama i povrede GDPR.

Isto tako, kada hotel provodi testiranje za svoje goste potrebno je obratiti pozornost na način komunikacije i dostave rezultata od strane HZJZ-a. Ponekad hoteli navode generalni e-mail kojem ima pristup veći broj zaposlenika ili za dostavu rezultata navode dvije ili više e-mail adresa što rezultira otkrivanje rezultata testiranja neovlaštenim osobama. Potrebno je urediti točne procedure slanja i zaprimanja osobnih podataka koji se odnose na zdravlje gosta kako bi se rizik od neovlaštnog ili slučajnog otkrivanja sveo na minimum. Također, takve podatke potrebno je dostavljati kriptirane u mailu ili na drugi način adekvatno zaštićene.

Treba imati na umu da osobni podaci u vezi sa zdravstvenim stanjem uživaju posebnu zaštitu i bitan su element privatnog života svakog pojedinca. S obzirom na svoju prirodu osjetljivi podaci pri obradi mogu predstavljati rizik za njihove „vlasnike“ i treba ih dodatno zaštiti. Kako obrada posebnih kategorija osobnih podataka može imati značajan utjecaj na prava i slobode pojedinaca, potrebno je provesti I procjenu učinka na učinka na zaštitu podataka.

Preporuka je da se utvrde točne i jasne procedure prikupljanja i dostave takvih podataka kao i druge mjere u svrhu zaštite osobnih podataka i s time jasno upoznati goste ili zaposlenike, odnosno osobe čiji se podaci obrađuju. Svako neopravdano objavljivanje takvih podataka osobama koje nisu ovlaštene dovodi do povrede osobnih podataka te osobi čiji su podaci neovlašteno objavljeni može prouzročiti posramljenost, stigmatizaciju i diskriminaciju u društvu, a sve to može dovesti i do nastanka odgovornosti za štetu.