COVID-19: Kako v času epidemije ostati skladen z GDPR?

COVID-19: Kako v času epidemije ostati skladen z GDPR?

Avtorici: Jana Šteblaj, Barbara Hočevar

V času, ko je širjenje bolezni COVID-19 v razmahu, se vse več podjetij srečuje s kompleksnimi vprašanji iskanja ravnovesja med zagotavljanjem zdravega in varnega delovnega okolja in varovanjem zasebnosti zaposlenih.

Ob spopadanju s COVID-19 so podjetja svoje ustaljene delovne procese čez noč obrnila na glavo. Delo na daljavo in obdelovanje podatkov o preteklih (zasebnih) potovanjih zaposlenih, njihovi zgodovini socialnih stikov in celo geo-lokaciji, so postali nova realnost.

Izredne razmere vendar zahtevajo izredne ukrepe, kajne?

Da, a ob upoštevanju, da je potrebno pravila Splošne uredbe o varovanju osebnih podatkov (»GDPR«) spoštovati tudi v času epidemije.

Ustrezna pravna podlaga za obdelavo

Kljub izrednim razmeram v času epidemije, zahteva GDPR, da upravljavci osebne podatke lahko obdelujejo le, če imajo za to ustrezno pravno podlago, ostaja v polni veljavi. V zvezi z obdelavo osebnih podatkov posameznikov, povezanih z COVID-19, se lahko upravljavci praviloma zanesejo na eno od naslednjih pravnih podlag:

  • izvajanje pogodbe (člen 6(1)(b) GDPR), ki bo na primer prišla v poštev, ko je obdelava osebnih podatkov potrebna zaradi izpolnjevanje pravic in obveznosti delodajalca in delavca iz delovnega razmerja;
  • izpolnitev zakonske obveznosti (člen 6(1)(c) GDPR), ki bo relevantna pravna podlaga predvsem v primeru, ko je delodajalec v zvezi z COVID-19 dolžan izvesti določene ukrepe za zagotovitev varnosti in zdravja pri delu;
  • obstoj zakonitih interesov (člen 6(1)(f) GDPR), ki bo prišla v poštev v primerih, ko bo obdelava določenih osebnih podatkov zaposlenih (in drugih posameznikov) zaradi zakonitih interesov delodajalca, kot sta na primer izvajanje delovnega procesa ali zdravje zaposlenih, prevladala nad interesi posameznikov.

Ob tem ne smemo pozabiti, da spadajo podatki kot so zdravstveni simptomi in diagnoza posameznikov, zgodovina potovanj in stikov z ljudmi s potrjeno diagnozo COVID-19, podatki o samoizolaciji ali karanteni skladno z GDPR med ti. posebne vrste osebnih podatkov. Gre za podatke, ki so zaradi izrazito osebne narave posebej občutljivi, in je zato za njihovo zakonito obdelovanje v skladu z GDPR potrebno izpolniti še dodatni pogoj.

Čeprav je zakonita obdelava posebnih vrst podatkov zelo omejena, GDPR dopušča nekatere izjeme, ki upravljavcem tudi v času epidemije omogočajo zakonito obdelavo podatkov o zdravju posameznika, če je obdelava na primer potrebna za:

  • zagotavljanje zdravja in varnosti na delovnem mestu (člen 9(2)(b) GDPR);
  • varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki (člen 9(2)(c) GDPR);
  • varovanje javnega zdravja (člen 9(2)(i) GDPR).

Pravila GDPR tako ne prepovedujejo obdelave podatkov o zdravju posameznikov, ki je potrebna v boju proti epidemiji COVID-19, a morajo upravljavci pri tem, tudi v času epidemije, upoštevati veljavna pravila GDPR in prilagoditi svoja ravnanja.

Ključne smernice

Za zagotavljanje zakonite obdelave osebnih podatkov, povezanih s COVID-19 in organizacijo poslovanja v času epidemije, ter zmanjšanja tveganja strogih sankcij, ki jih predvideva GDPR, razmislite o ukrepih, ki jih lahko izvedete in upoštevajte naslednje smernice:

Spoštujte sorazmernost. Iščite ravnotežje med zasebnostjo zaposlenih in delodajalčevo obveznostjo zagotavljanja zdravja in varnosti na delovnem mestu. Uporabite pristop »zdrave pameti«, če se vam zdi sprejeti ukrep pretiran, potem najbrž je.

Omejite obseg obdelave. Zbirajte in obdelujte le najmanjšo možno količino osebnih podatkov, potrebnih za preprečevanje neposrednih tveganj za zdravje in varnost ljudi in za odločitev o ustreznih odzivnih ukrepih. Med različnimi možnostmi za dosego cilja izberite najmanj invazivno.

Posodobite obvestila o zasebnosti in jih izročite zaposlenim. Zaposlenim izročite strnjeno in pregledno obvestilo, ki vsebuje posodobljene informacije o dejavnostih obdelave, vključno z namenom obdelave, obdobji hrambe in pravicami oseb, na katere se nanašajo osebni podatki.

Zagotovite kibernetsko varnost. Ob uvedbi dela na daljavo zaposlene poučite o ukrepih za zagotavljanje kibernetske varnosti, zagotovite šifriranje internetnega prometa, opremite naprave z najnovejšo varnostno programsko opremo in se pripravite na oddaljeno upravljanje morebitnih varnostnih incidentov.

Ohranite zaupnost. Razkrijte samo nujno potrebne podatke. Na primer, če je zaposleni zbolel za COVID-19, obvestite sodelavce o možni izpostavljenosti, brez da razkrijete identiteto zbolelega in podate več informacij, kot je to nujno potrebno.

Dokumentirajte postopek odločanja. V pisni obliki hranite zapise o implementiranih ukrepih za zagotovitev skladnosti z GDPR, da se ohrani dokaz o upoštevanju ustreznih pravil o varstvu osebnih podatkov.

Razmislite o izvedbi ocene učinkov za varstvo osebnih podatkov. Osebni podatki, povezani s COVID-19 in zdravstvenim stanjem posameznika, so podatki občutljive narave, katerih obdelava je tvegana. Razmislite o izvedbi ocene učinkov za varstvo osebnih podatkov (ti. DPIA, ki je v nekaterih primerih celo obvezen), da boste identificirali vsa s tem povezana tveganja in sprejeli ustrezne ukrepe za njihovo zmanjšanje.

Spremljajte smernice pristojnih organov za varstvo podatkov. Pristojni organi se zavedajo nejasnosti, povezanih s trenutnimi izzivi, zato redno pripravljajo napotke glede razlage GDPR in podajajo druga obvestila v povezavi s COVID-19. Smernice slovenskega Informacijskega pooblaščenca so na voljo tukaj.

Spremljajte razvoj dogodkov in ustrezno reagirajte. Izvedene ukrepe glede obdelave osebnih podatkov prilagajajte hitro spreminjajočemu stanju epidemije in ukrepov pristojnih organov.

Izbrišite osebne podatke, ko je namen njihove obdelave izpolnjen. Osebni podatki, povezani s COVID-19, se smejo načeloma obdelovati le toliko časa, kolikor je to potrebno za izvedbo ustreznih ukrepov ter izpolnitvijo pravic in obveznosti upravljavca v zvezi z (epidemijo) COVID-19. Ko bo namen njihove obdelave izpolnjen, takšne osebne podatke izbrišite.

Arhiv