Primjenjuje li se GDPR ako u čekaonici kod našeg liječnika prozovu osobu sa sifilisom umjesto prozivanja po imenu 😉 ili ako saznamo koji lijek pije osoba prije nas na redu u ljekarni i kakve zdravstvene tegobe ima?
Europski je sud donio itekako važnu i zanimljivu presudu u okviru donošenja preliminarnog stajališta na jedan slučaj iz Finske.
Presuda se odnosi na GDPR definiciju obrade osobnih podataka iz članka 4. točke 2. koji utvrđuje da je obrada osobnih podataka znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Ključne riječi su „obrada osobnih podataka znači svaki postupak“ kojima se ta definicija mora tumačiti prilično široko i time i usmeno otkrivanje osobnih podataka ulazi u GDPR režim kao obrada osobnih podataka.
Ovakvo tumačenje može imati značajne implikacije u našoj svakodnevici, zar ne?
Moramo svakako uzeti u obzir odredbu članka 2. stavka 1. GDPR-a koja kaže da se GDPR primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.
Drugim i najvažnijim riječima to znači da se GDPR primjenjuje na ručnu obradu osobnih podataka samo ako obrađeni podaci „čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.”
A sustav pohrane je definiran člankom 4. točkom 6. GDPR-a kao svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi.
Hmmm, to bi značilo da se cijela tema svodi na STRUKTURIRANI skup osobnih podataka, odnosno, ako se usmenim putem otkrivaju nečiji osobni podaci i ako su namijenjeni pohrani ili već pohranjeni, tada se primjenjuje GDPR u cijelosti i u cijeloj svojoj gnjavaži 😉
Presuda EUCJ od 07.03.2024. u predmetu C-740/22 je ovdje:
Image from FreePik
#gdprcroatia
