COVID-19 i zaštita podataka zaposlenih: Odgovori na dileme poslodavca

04.
Jul 2020.

Poslodavci se ovih dana masovno suočavaju sa situacijom da imaju zaposlene koji su zaraženi sa COVID-19. Takav izazov često nosi mnoštvo nedoumica u vezi sa razmenama informacija i primenom mera zaštite zdravlja na radnom mestu, sa jedne strane i zaštitom privatnosti zaposlenih, sa druge.

Ova pitanja se ne javljaju samo u pogledu odnosa poslodavac – zaposleni, već i u pogledu drugih posetilaca radnih prostorija (na primer, klijenata, dobavljača, kandidata za posao i sl.).

Za razliku od većine država u okviru EU, domaće nadzorno telo, Poverenik za zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) nije doneo konkretno uputstvo o tome kako treba da postupaju poslodavci u vezi sa obradom podataka o ličnosti zaposlenih i posetilaca. Poverenik je apelovao na čitavu javnost, a naročito na medije i organe javne vlasti, da u aktuelnoj situaciji, vezanoj za aktivnosti sprečavanja širenja korona virusa, treba da vode računa da se tim aktivnostima ne povređuje pravo na privatnost obolelih lica. Poverenik se kratko izjasnio u pogledu obaveza poslodavaca u svom Saopštenju od 01.04.2020, ali takvo saopštenje ne sadrži konkretnija uputstva.

Imajući u vidu da je Zakon o zaštiti podataka o ličnosti, svojsvrstan “klon” Uredbe EU o zaštiti podataka o ličnosti (u daljem tekstu: GDPR) (objašnjeno u tekstu Novi Zakon o zaštiti podataka o ličnosti – ključne novine), izlaz može biti u konsultovanju Uputstva o obradi podataka o ličnosti u kontekstu virusa COVID-19, koje je doneo Evropski odbor za zaštitu podataka (u daljem tekstu: EOZP ili Evropski odbor). Osim toga, analiziramo kako su u državama EU rešena pojedina pitanja i izvodimo zaključke vezane za Srbiju.

Analizu vršimo kroz odgovore na hipotetička pitanja, sa kojima smo se najviše susretali u praksi.

I pitanje: Da li poslodavac može da suspeduje pravila o zaštiti podataka o ličnosti zaposlenih, imajući u vidu da se radi o zaštiti zdravlja?

Vrlo kratko: NE

Evropski odbor naglasio je da norme u vezi sa zaštitom podataka ni na koji način ne ometaju sprovođenje vanrednih mera uvedenih u cilju suzbijanja korona virusa te da obrađivači podataka o ličnosti (u šta se ubrajaju i poslodavci) moraju održati određeni nivo zaštite prikupljenih podataka nezavisno od vanrednog stanja ili vanredne situacije u toj državi.

Takođe, i Poverenik je u sopštenju datom za vreme vanrednog stanja istakao da tokom vanrednog stanja pravo na zaštitu podataka o ličnosti nije ograničeno, za razliku od drugih prava (na primer, prava na okupljanje). Sada, nakon što je vanredno stanje ukinuto, još manje ima mesta razmatranju ograničenja prava na zaštitu podataka o ličnosti.

II pitanje: Koje podatke o zaposlenom poslodavac sme da obrađuje?

Podatke koje poslodavac prikuplja o zaposlenima u kontekstu COVID-19 se sa aspekta zaštite podataka o ličnosti mogu podeliti u dve grupe:

Podaci o ličnosti u opštem režimu zaštite su svi podaci o ličnosti osim izuzetaka koji spadaju u grupe izričito propisane zakonom. Njihova obrada se vrši prema opštim pravilima.

Kao što smo ranije pisali, kompanije moraju da vode računa o šest načela obrade podataka o ličnosti. Nazivamo ih „svetim zapovestima” jer svaka procedura i pravilo, koju kompanija uvede, mora da bude u skladu sa svih šest načela u svako doba. Osim toga, da bi obrada bila zakonita, neophodno je da se svrha obrade može podvesti pod jedan od šest zakonskih pravnih osnova. Dakle, dok može da postoji neograničen broj svrha za obradu, svaka od njih mora da se podvede pod jedan od šest pravnih osnova. Više o načelima i zakonskim osnovima za obradu vidite u prethodnom tekstu Tik-tak, sat otkucava…da li ste se uskladili sa novim Zakonom o zaštiti podataka o ličnosti?.

Mađutim, prema članu 9 Opšte uredbe o zaštiti podataka o ličnosti (GDPR), podaci o zdravstvenom stanju se svrstavaju pod posebnu (naročito osetljivu) kategoriju podataka, koja uživa viši stepen zaštite od ostalih podataka. To znači da se ovakvoj obradi mora pokloniti naročita pažnja.

Dakle, dok je obrada podataka o ličnosti generalno dozvoljena u skladu sa GDPR (opšti režim zaštite), obrada naročito osetljivih podataka po pravilu nije dozvoljena.

Ipak, po ugledu na član 9 GDPR, u članu 17 Zakona o zaštiti podataka o ličnosti postoji 10 taksativno nabrojanih izuzetaka od zabrane obrade naročito osetljivih podataka. U svakoj konkretnoj situaciji neophodno je podvesti obradu pod jedan od izuzetaka.

Dakle, ako podatak o ličnosti spada u zdravstveno stanje, moraju da se ispune svi zakonski uslovi kako za opšti tako i za poseban režim.

Na osnovu iznetog, proističe da će prvi korak poslodavca biti određivanje da li podatak o ličnosti spada u podatak o zdravstvenom stanju (poseban režim zaštite) ili u podatak koji je u opštem režimu zaštite.

Izložićemo nekoliko najčešćih primera:

PODATAK O LIČNOSTIREŽIM ZAŠTITE
Podatak o simptomima COVID-19 kod zaposlenogUživa poseban režim zaštite
Podatak o rezultatima testa na COVID-19 kod zaposlenogUživa poseban režim zaštite
Podatak o kontaktima zaposlenog koji je zaražen sa COVID-19Uživa opšti režim zaštite
Podatak o putovanju u rizične zoneUživa opšti režim zaštite

III pitanje: O čemu poslodavac treba da vodi računa u konkretnom slučaju?

Nažalost, ne postoji mogućnost primene jedne formule za sve slučajeve. U svakom konkretnom slučaju, poslodavac će morati da utvrdi svrhu obrade i podvede je pod zakonom propisan pravni osnov, vodeći računa o načelima obrade.

Uopšteno, zakonski osnovi za obradu podataka u opštem režimu zaštite će najčešće biti:

  • Poštovanje pravnih obaveza rukovaoca (poslodavca) kao što je obezbeđivanje bezbednosti i zaštite života i zdravlja na radu (Član 80 Zakona o radu i Zakon o bezbednosti i zdravlju na radu)
  • Legitimni interes poslodavca ili trećeg lica

a samo u izuzetnim slučajevima:

  • Zaštita životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica
  • Saglasnost zaposlenog.

U pogledu naročito osetljivih podataka, legitimni interes neće igrati nikakvu ulogu. Biće potrebno da se ispune uslovi jednog od izuzetaka propisanih u članu 17 Zakona o zaštiti podataka o ličnosti (odnosno član 9 GDPR). Najčešće će obrada biti neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite.

U nastavku dajemo neke od dobrih i loših primera prikupljanja podataka od strane poslodavca:

VEROVATNO DOZVOLJENA OBRADAVEROVATNO NEDOZVOLJENA OBRADA
Dijagnoza nadležnog lekara na zaraženost COVID-19Implementacija testova krvi ili drugih testova od strane poslodavca (odnosno lica koje poslodavac angažuje za te svrhe) ili svakodnevno merenje temperature
Bliski kontakti koji su zaraženi ili koji imaju simptomePodaci o licima sa kojima je zaposleni bio u kontaktu

Treba imati u vidu da će se drugačija pravila primenjivati u slučaju da zaposleni rade od kuće u odnosu na slučaju da zaposleni dolaze u radne prostorije poslodavca.

U slučaju kada zaposleni rade od kuće, prikupljanje podataka od zaposlenih će sigurno biti uže jer poslodavac ima manje obaveza u vezi sa merama bezbednosti i zaštite u radnim prostorijama. Međutim, Poverenik je istakao da, ukoliko taj rad obuhvata i obradu podataka o ličnosti, u skladu sa načelom integriteta i poverljivosti, poslodavci su obavezni da obezbede odgovarajuće mere zaštite podataka o ličnosti, što podrazumeva mere kao što su provera bezbednosti veze i korespondencije putem službenih mejlova i dr.

work from home

IV pitanje: Da li poslodavac može jednostavno da reši ovo pitanje sa pribavljanjem saglasnosti zaposlenog?

U najvećem broju slučajeva, saglasnost neće biti adekvatan pravni osnov. Poslodavac i zaposleni se nalaze u odnosu subordinacije u kom slučaju saglasnost često može biti iznuđena. Detaljnije objašnjenje o saglasnosti kao pravnom osnovu u radnopravnom kontekstu možete pročitati u prethodnom tekstu 9 najčešćih zabluda poslodavaca u pogledu obrade podataka o ličnosti.

V pitanje: Da li poslodavac može da deli podatke o tome ko je od zaposlenih oboleo drugim zaposlenim licima?

Poslodavac može zaposlenom osoblju otkriti informaciju o prisutnosti virusa u okviru preduzeća, ali bez navođenja imena i drugih identifikacionih podataka zaraženog zaposlenog, osim ukoliko je to zaista neizbežno.

Ukoliko je zaposleni radio od kuće u periodu kada se zarazio, te ukoliko se kod poslodavca obavlja rad od kuće, ne vidimo osnov da se dele podaci o ličnosti obolelih lica.

Korak dalje u sprovođenju mera u okviru preduzeća može da bude uvođenje posebne linije za hitne pozive u kontekstu korona virusa, koja bi omogućila zaposlenima koji sumnjaju da su potencijalno zaraženi, da anonimno i bez širenja panike, potraže potrebnu pomoć.

VI pitanje: Kakve obaveze ima poslodavac prema zaposlenom koji je pozitivan na COVID-19 u pogledu zaštite podataka?

U skladu sa principom transparentnosti, poslodavac je dužan da obavesti lice na koje se podaci odnose o tome koji njegovi podaci su otkriveni, kome, za koje svrhe i koji je vremenski period čuvanja podataka.

Nakon što se pandemija okonča i virus više ne bude predstavljao pretnju, poslodavac je dužan da obriše sve prikupljene podatke o ličnosti svojih zaposlenih u vezi sa korona virusom.

VII pitanje: Kada je dozvoljeno otkriti podatke o ličnosti?

Kao što je već pomenuto, podaci o zdravlju zaposlenih podležu višem stepenu zaštite, imajući u vidu njihovu prirodu i osetljivost. Nameće se pitanje granica raspolaganja ovakvim podacima, kao i opravdanost njihovog otkrivanja trećim licima. Većina nacionalnih tela specijalizovanih za zaštitu podataka o ličnosti su saglasna u ovom pogledu – podaci o ličnosti zaraženog zaposlenog lica se mogu otkriti samo do one mere do koje je to opravdano, radi zaštite javnih interesa i javnog zdravlja, kao na primer:

  • Otkrivanje trećim licima zaduženim za sprovođenje zdravstvenih i sigurnosnih mera, ili
  • Otkrivanje državnim organima vlasti i drugim organizacijama, u slučajevima kada je to propisano.

Uporedni prikaz u državama EU

  • Ujedinjeno Kraljevstvo je usaglasilo svoje postupanje sa Uputstvom EOZP: poslodavac treba da preduzme neophodne mere radi zaštite svojih zaposlenih što mu daje pravo da zna ukoliko je njegov zaposleni potencijalno zaražen. Pored toga, poslodavci čije poslovanje podrazumeva direktan kontakt sa klijentima, mogu zamoliti sve posetioce da postupaju u skladu sa uputstvima nadležnih organa, pre dolaska u prostorije poslodavca.

  • U Francuskoj, poslodavac ima ovlašćenje da prikuplja podatke o zaposlenima u vezi sa korona virusom samo na zahtev nadležnih organa, pod uslovom da je prethodno sproveo propisane mere zaštite i organizacije rada u toku trajanja epidemije.

  • Italijanske vlasti predviđaju da je zadatak otkrivanja i sprečavanja korona virusa isključivo u nadležnosti subjekata civilne zaštite građana i profesionalnih zdravstvenih ustanova, koje to čine u skladu sa propisanim uputstvima. U skladu sa tim, poslodavci su u obavezi da se uzdrže od samoinicijativnog preduzimanja mera u pogledu prikupljanja podataka.

  • Špansko telo za zaštitu podataka o ličnosti izdalo je uputstvo, po uzoru na ono objavljeno od strane EOZP, kojim naglašava dva osnovna preduslova za obradu podataka u uslovima korona virusa: a) pravni osnov – pre svega član 9 GDPR, a zatim i odredbe španskog Zakona o zaštiti podataka i Zakona o radu i b) minimizacija obrade.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama

NOVI SAD

BEOGRAD

NOVI SAD

BEOGRAD