Kaip turi būti tvarkomi asmens duomenys COVID-19 pandemijos metu?

Triniti

Ar darbdavys asmens duomenų apsaugos prasme gali reikalauti savo darbuotojų ar lankytojų pateikti informaciją, kuri galėtų padėti įvertinti riziką, susijusią su galimu užsikrėtimu koronavirusu?

Reaguodama į šių dienų situaciją, Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė rekomendacijas dėl asmens duomenų tvarkymo siekiant apsisaugoti nuo koronaviruso plitimo. 

Svarbiausia žinia – specifinių su esama situacija dėl koronaviruso susijusių asmens duomenų tvarkymas, yra suderinamas su Bendruoju duomenų apsaugos reglamentu (BDAR). 

Kokius duomenis galima tvarkyti?

Neretam darbdaviui, paskelbus koronaviruso pandemiją, siekiančiam apsaugoti savo darbuotojus bei sukurti kiek galima saugesnes darbo sąlygas savo kolektyvui, kyla klausimas, ar jis gali reikalauti savo darbuotojų ar lankytojų pateikti informacija, kuri galėtų padėti įvertinti riziką, susijusią su galimu užsikrėtimu koronavirusu? Ar tai suderinama su BDAR nustatytais draudimais? 

Atsakydama į tai VDAI patikina, kad tokius duomenis tvarkyti tikrai galima. Nurodoma, kad siekiant suvaldyti riziką yra galima tvarkyti vidinius asmens duomenų rinkinius apie darbuotojus ar lankytojus, įtraukiant tokią informaciją:

  • Ar asmuo buvo išvykęs į „rizikos valstybę“?
  • Ar asmuo kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu COVID-19?
  • Ar asmuo yra namuose dėl karantino (nenurodant priežasties) ir koks karantino laikotarpis? 
  • Ar asmuo serga (nenurodant konkrečios ligos ar kitokios priežasties)? 

Darbdavys ar kitas duomenų valdytojas, taip pat turi teisę teirautis savo darbuotojų ar lankytojų apie tai, ar jiems yra pasireiškusių COVID-19 viruso simptomų, ar yra nustatyta COVID-19 diagnozė? 

Ši informacija yra svarbi darbdaviui vertinant, ar reikalinga imtis papildomų apsaugos priemonių – įpareigoti kartu dirbusius ar su sergančiu (turinčiu simptomus) asmeniu kontaktavusius darbuotojus laikytis karantino, sudaryti sąlygas nuotoliniam darbui ar sveikatos tikrinimui ir pan.? 

Darbdaviai taip pat gali tvarkyti tokius su darbuotoju susijusius asmens duomenis kaip darbo nuotoliniu būdu pasirinkimo faktas ir kiti darbuotojo darbui taikomi apribojimai.

TRINITI partnerė advokatė Aurelija Rutkauskaitė aiškina, kad toks duomenų tvarkymas turėtų būti grindžiamas duomenų valdytojui taikytina teisine prievole (BDAR 6 str. 1 d. (c) p.), o konkrečiai – Darbo kodekso nuostatomis, nustatančiomis darbdavio pareigas užtikrinti saugias darbo sąlygas savo darbuotojams, būtinybe apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus (BDAR 6 str., 1 (d) p.), o kai tvarkomi su sveikata susiję duomenys, t.y. specialių kategorijų duomenys, papildomai turėtų būti taikomas BDAR 9 str. 2 d. (i) p., numatantis, kad draudimas tvarkyti specialių kategorijų asmens duomenis nėra taikomas, kai tvarkyti duomenis būtina, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai.

Ribojimas apie kurį šiuo atveju inspekcija įspėja – tai draudimas rinkti nereikalingus duomenis bei piktnaudžiauti jau surinkta informacija.

Nurodoma, kad jei yra nustatytos visuotinės priemonės esamai situacijai valdyti, pavyzdžiui, komandiruočių ir susitikimų ribojimas, renginių atšaukimas, tam tikrų higienos reikalavimų užtikrinimas, duomenų valdytojai neturėtų dėl to pažeisti savo darbuotojų ar kitų duomenų subjektų teisės į asmens duomenų apsaugą, pavyzdžiui, neturėtų reikalauti pateikti asmens duomenis, nebūtinus nustatytos tvarkos vykdymui užtikrinti.

Svarbu pabrėžti, kad duomenų valdytojai turėtų susilaikyti nuo darbuotojų ar lankytojų temperatūros rodmenų, medicininių pažymų ar kt. rinkimo. Tai negali būti laikoma darbdavio pareiga.

Duomenų valdytojas turėtų imtis aktyvių veiksmų, informuojant duomenų subjektus apie simptomus, galimas rizikas, jų valdymo būdus, taikytinas priemones, galimybes dirbti nuotoliniu būdu, darbuotojų pareigą informuoti apie pasireiškusius COVID-19 ar panašius simptomus ir kt.

Galiausiai, inspekcija pabrėžia, kad teisė gauti minėtą informaciją nereiškia, kad darbdaviai ar kiti duomenų valdytojai gali gautą informaciją dokumentuoti ar sudaryti atitinkamas duomenų rinkmenas, vėliau informaciją naudoti kitais tikslais, nei ji buvo gauta.

Kam gautus duomenis galima teikti?

Inspekcija paaiškina, kad net ir esant pandeminei situacijai asmens duomenų apsaugos nevertėtų pamiršti. Bet kokie darbdavių ar kitų duomenų valdytojų tvarkomi asmens duomenys valstybės institucijoms visuomenės sveikatos užtikrinimo tikslu turi būti teikiami laikantis BDAR reikalavimų. 

Prašymai pateikti asmens duomenis turi būti vertinami kiekvienu konkrečiu atveju atskirai, pavyzdžiui, tais atvejais, kai prašoma pateikti statistiką, duomenų valdytojas (duomenų tvarkytojas) neturėtų teikti konkretų duomenų subjektą identifikuojančių duomenų.

Inspekcija rekomenduoja kiekvieną asmens duomenų teikimo atvejį dokumentuoti, siekiant vėliau užtikrinti atskaitomybės principo įgyvendinimą.

Susisiekite su Aurelija aurelija.rutkauskaite@triniti.lt