Za vrijeme sastanka na koji nije bila pozvana, vođenom od strane njenog rukovoditelja raspravljalo se o njenom odlasku iz ustanove i pročitano je izvješće liječnika kojeg je ustanova angažirala i koje je opisivalo njenu zdravstvenu nesposobnost obavljanja poslovnih obveza.
 
Sve je to ušlo i u pisani zapisnik sa sastanka.
 
Naravno, zaposlenica o čijim se zdravstvenim podacima radi, čim je čula priče po hodnicima ustanove, poslala je pritužbu nadzornom tijelu za zaštitu osobnih podataka radi nezakonitog otkrivanja podataka o njenom zdravlju i radi činjenice da je zapisnik sa svim detaljima bio pohranjem na serveru tvrtke dostupan svim zaposlenicima.
 
Ovakvo postupanje sa zdravstvenim podacima zaposlenice je bilo definitivno nezakonito.
 
Članak 9.1. GDPR-a nam općenito zabranjuje bilo kakvu obradu posebnih kategorija osobnih podataka u koje spadaju i podaci o zdravlju.
 
Članak 9.2. GDPR-a utvrđuje točno 10 iznimki od opće zabrane ispunjenjem kojih se smiju obrađivati zdravstveni podaci.
 
Neke od tih iznimki odnose se na situacije kad je takva obrada nužna za izvršenje obveza u području radnog prava ili na situacije kad je nužno vršiti procjene radne sposobnosti zaposlenika, medicinske dijagnoze ili za pružanje zdravstvene skrbi.
 
Naravno da prvi nadređeni ili uzak krug zaposlenika tvrtke koji su ovlašteni imati uvid u zdravstveno stanje zaposlenika radi izvršenja obveza u području radnog prava, trebaju imati sve medicinske nalaze.
 
Ali otkrivanje zdravstvenog stanja širem krugu zaposlenika koji po svojoj prirodi posla i radnog mjesta nemaju nikakvu ovlast dobivanja uvida u takve osjetljive osobne podatke, je definitivno u suprotnosti s člankom 9. GDPR-a.
 
Osim nepostojanja zakonitog temelja za takvo postupanje s osobnim podacima, ovdje je i očito kršenje temeljnih načela zaštite osobnih podataka - Data Protection by Default and by Design.
 
Nemali je broj slučajeva u kojima se od ispitanika prekomjerno traže ili prikupljaju osobni podaci, npr. traži mobilni broj i prati lokacija iako nisu nužni za traženu funkcionalnost, traže osobni podaci svih zaposlenika radi unosa u sustav automatiziranog otvaranja vrata ili parkirne rampe bez promišljanja mogu li se takva rješenja postići i bez ijednog osobnog podatka, široko rasprostranjeno traženje kopija osobnih dokumenata i bankovnih kartica jer se tako oduvijek radilo, trajno čuvanje životopisa i zamolbi neprimljenih kandidata za radna mjesta u ladicama i registratorima, zadržavanje osobnih podataka u neodređenim rokovima uz izostanak sigurnosnih mjera i ograničenja prava pristupa.
 
Ovo su samo neki od primjera u kojima se danas organizacije vrlo često ogriješe o GDPR.
 
Nadamo se da će nekome ovaj primjer pomoći.
 
 
Više o slučaju iz Belgije na:
 
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_115/2022&mtc=today
 
 
Photo by Ivan Samkov from Pexels
 
#gdprcroatia