COVID-19 I ZAŠTITA PODATAKA ZAPOSLENIH: NAJČEŠĆE DILEME POSLODAVACA

04.
Jun 2022.

Iako je prisustvo virusa COVID-19 postalo sastavni deo današnjice, u praksi se i dalje javljaju određena pitanja koja stvaraju nedoumice. Od početka pandemije COVID-19, jedna od čestih situacija sa kojom su se poslodavcu susretali jesu zaposleni koji su pozitivni na virus COVID-19. Takav izazov stvara mnoštvo nedoumica u vezi sa primenom mera zaštite zdravlja na radu i razmenama informacija, sa jedne strane i zaštitom privatnosti zaposlenih, sa druge.

Ova pitanja nisu sporna samo u pogledu odnosa između poslodavaca i zaposlenih, već i u pogledu drugih posetilaca poslovnih prostorija (na primer, klijenata, dobavljača, kandidata za posao i sl.).

Poverenik za zaštitu podataka o ličnosti (u daljem tekstu: Poverenik), kao nadležni organ, za razliku od organa većine država u Evropi, nije doneo konkretno uputstvo o tome kako kompanije treba da postupaju u vezi sa obradom podataka o ličnosti kako zaposlenih, tako i drugih posetilaca. Poverenik je u više navrata apelovao na čitavu javnost, a naročito na državne organe i medije, da prilikom sprovođenja aktivnosti radi sprečavanja širenja korona virusa, treba da obezbede da se tim aktivnostima ne povređuje pravo na privatnost obolelih lica. Poverenik se kratko izjasnio u pogledu obaveza poslodavaca u svom Saopštenju od 01.04.2020, ali takvo saopštenje ne sadrži konkretnija uputstva.

Budući da je Zakon o zaštiti podataka o ličnosti, svojsvrstan “klon” Uredbe EU o zaštiti podataka o ličnosti (u daljem tekstu: GDPR) (detaljno objašnjeno u tekstu Novi Zakon o zaštiti podataka o ličnosti – ključne novine), potencijalno rešenje može biti u konsultovanju Uputstva o obradi podataka o ličnosti u kontekstu virusa COVID-19, koje je doneo Evropski odbor za zaštitu podataka (u daljem tekstu: EOZP ili Evropski odbor). Osim toga, do određenih zaključaka se može doći i analizom određenih rešenja kako su u pojedinim državama EU.

Analizu vršimo kroz odgovore na hipotetička pitanja, sa kojima smo se najviše susretali u praksi.

1. pitanje: Da li poslodavac može odstupiti od propisa o zaštiti podataka o ličnosti zaposlenih, budući da se radi o zaštiti zdravlja?

Vrlo kratko: NE

Evropski odbor je istakao da propisi u vezi sa zaštitom podataka ni na koji način ne remete sprovođenje vanrednih mera uvedenih radi suzbijanja pandemije korona virusa, te da obrađivači podataka o ličnosti (u šta spadaju i poslodavci) moraju da održe određeni nivo zaštite prikupljenih podataka o ličnosti nezavisno od vanrednog stanja ili vanredne situacije u toj državi.

Dodatno, i Poverenik je svom saopštenju datom za vreme vanrednog stanja istakao da, za razliku od drugih prava (na primer, prava na okupljanje), pravo na zaštitu podataka o ličnosti nije ograničeno tokom vanrednog stanja. Stoga, u situaciji u kojoj vanredno stanje nije na snazi, još manje ima mesta razmatranju ograničenja prava na zaštitu podataka o ličnosti.

2. pitanje: Koje lične podatke zaposlenih poslodavac ima pravo da obrađuje?

Sa aspekta zaštite podataka o ličnosti, podaci koje poslodavac prikuplja o zaposlenima u kontekstu COVID-19 se mogu podeliti u dve grupe:

Podaci o ličnosti u opštem režimu zaštite su svi podaci o ličnosti osim podataka koji spadaju u grupe izričito propisane zakonom. Njihova obrada se vrši prema opštim pravilima.

Kao što smo ranije pisali, kompanije moraju uvek da uzmu u obzir o šest načela obrade podataka o ličnosti. Nazivamo ih „svetim zapovestima” jer svaka procedura i pravilo, koju kompanija uvede, uvek mora biti u skladu sa svih šest načela u svako doba. Osim toga, da bi obrada bila zakonita, neophodno je da se svrha obrade može podvesti pod jedan od šest zakonskih pravnih osnova. Dakle, dok može da postoji neograničen broj svrha za obradu, svaka od njih mora da se podvede pod jedan od šest pravnih osnova. Više o načelima i zakonskim osnovima za obradu vidite u prethodnom tekstu Tik-tak, sat otkucava…da li ste se uskladili sa novim Zakonom o zaštiti podataka o ličnosti?.

Mađutim, prema članu 9 Opšte uredbe o zaštiti podataka o ličnosti (GDPR), podaci o zdravstvenom stanju se svrstavaju pod posebnu (naročito osetljivu) kategoriju podataka, koja uživa viši stepen zaštite od ostalih podataka. To znači da se ovakvoj obradi mora pokloniti naročita pažnja.

Dok je obrada podataka o ličnosti generalno dozvoljena u skladu sa GDPR (opšti režim zaštite), obrada naročito osetljivih podataka po pravilu nije dozvoljena.

Ipak, po ugledu na član 9 GDPR, u članu 17 Zakona o zaštiti podataka o ličnosti postoji 10 taksativno nabrojanih izuzetaka od zabrane obrade naročito osetljivih podataka. Kako bi obrada bila zakonita, u svakoj konkretnoj situaciji neophodno je podvesti obradu pod jedan od izuzetaka.

Dakle, ako se podatak o ličnosti odnosi na zdravstveno stanje pojedinca, prilikom obrade moraju biti ispunjeni svi zakonski uslovi kako za opšti, tako i za poseban režim.

Na osnovu iznetog, proističe da će prvi korak poslodavca biti određivanje da li je određeni podatak o ličnosti podatak o zdravstvenom stanju (poseban režim zaštite) ili podatak koji je u opštem režimu zaštite.

Izložićemo nekoliko najčešćih primera:

PODATAK O LIČNOSTIREŽIM ZAŠTITE
Podatak o simptomima COVID-19 kod zaposlenogUživa poseban režim zaštite
Podatak o rezultatima testa na COVID-19 kod zaposlenogUživa poseban režim zaštite
Podatak o kontaktima zaposlenog koji je zaražen sa COVID-19Uživa opšti režim zaštite
Podatak o putovanju u rizične zoneUživa opšti režim zaštite

3. pitanje: O čemu poslodavac treba da vodi računa u konkretnom slučaju?

Nažalost, ne postoji mogućnost primene jedne formule za sve slučajeve. U svakom konkretnom slučaju, poslodavac će morati da utvrdi svrhu obrade, kao i zakonit osnov za takvu obradu, pritom vodeći računa o načelima obrade.

Uopšteno, zakonski osnovi za obradu podataka u opštem režimu zaštite će najčešće biti:

  • Poštovanje pravnih obaveza rukovaoca (poslodavca) kao što je obezbeđivanje bezbednosti i zaštite života i zdravlja na radu (Član 80 Zakona o radu i Zakon o bezbednosti i zdravlju na radu)
  • Legitimni interes poslodavca ili trećeg lica

a samo u izuzetnim slučajevima:

  • Zaštita životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica
  • Saglasnost zaposlenog.

U pogledu naročito osetljivih podataka, legitimni interes neće igrati nikakvu ulogu, budući da ne može biti osnov za obradu naročito osetljivih podataka o ličnosti. Sa druge strane, biće potrebno da se ispune uslovi jednog od izuzetaka propisanih u članu 17 Zakona o zaštiti podataka o ličnosti (odnosno član 9 GDPR). U praski, najčešće će obrada biti neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite.

U nastavku dajemo neke od dobrih i loših primera prikupljanja podataka od strane poslodavca:

VEROVATNO DOZVOLJENA OBRADAVEROVATNO NEDOZVOLJENA OBRADA
Dijagnoza nadležnog lekara na zaraženost COVID-19Implementacija testova krvi ili drugih testova od strane poslodavca (odnosno lica koje poslodavac angažuje za te svrhe) ili svakodnevno merenje temperature
Bliski kontakti koji su zaraženi ili koji imaju simptomePodaci o licima sa kojima je zaposleni bio u kontaktu

Važno je imati u vidu da će se drugačija pravila primenjivati u zavisnosti od toga da li zaposleni rade od kuće ili dolaze u radne prostorije poslodavca.

U slučaju kada zaposleni rade od kuće, obim prikupljanja podataka o zaposlenima će sigurno biti manji, jer poslodavac ima manje obaveza u vezi sa merama bezbednosti i zaštite u radnim prostorijama. Međutim, Poverenik je istakao da, ukoliko rad od obuhvata i obradu podataka o ličnosti, u skladu sa načelom integriteta i poverljivosti, poslodavci su obavezni da obezbede odgovarajuće mere zaštite podataka o ličnosti, što podrazumeva primenu adekvatnih tehničkih i organizacionih mera, kao što su provera bezbednosti veze i korespondencije putem službenih mejlova i dr.

work from home

4. pitanje: Da li saglasnost zapolenog može biti rešenje?

Saglasnost najčešće neće biti adekvatan pravni osnov za obradu podataka o ličnosti zaposlenih. Naime, poslodavac i zaposleni se nalaze u odnosu subordinacije, te saglasnost često može biti iznuđena. Detaljnije objašnjenje o saglasnosti kao pravnom osnovu u radnopravnom kontekstu možete pročitati u našem blogu 9 najčešćih zabluda poslodavaca u pogledu obrade podataka o ličnosti.

5. pitanje: Da li poslodavac može da deli sa drugim zaposlenim licima podatke o tome ko je od zaposlenih oboleo?

Poslodavac može zaposlenima otkriti informaciju o prisutnosti virusa u samim poslovnim prostorijama, ali bez navođenja imena ili drugih identifikacionih podataka zaraženog zaposlenog, osim ukoliko je to zaista neizbežno.

Ukoliko je zaposleni radio od kuće u periodu kada se zarazio, te ukoliko se kod poslodavca obavlja rad od kuće, teško bi bilo pronaći osnov za deljenje podataka o ličnosti obolelih lica.

Dodatni korak u sprovođenju mera u okviru kompanije može biti i uvođenje posebne linije za hitne pozive u vezi sa korona virusom, a koja bi omogućila zaposlenima koji sumnjaju da su potencijalno zaraženi, da anonimno i bez širenja panike, potraže potrebnu pomoć.

6. pitanje: Kakve obaveze ima poslodavac prema zaposlenom koji je COVID-19 pozitivan u pogledu zaštite podataka?

U skladu sa generalnim principom transparentnosti, poslodavac je dužan da obavesti lice na koje se podaci odnose o tome koji njegovi podaci su otkriveni, kome, za koje svrhe i koji je vremenski period čuvanja podataka.

Takođe, nakon što virus više ne predstavlja pretnju, poslodavac je dužan da obriše sve prikupljene podatke o ličnosti svojih zaposlenih u vezi sa korona virusom.

7. pitanje: Kada je dozvoljeno otkriti podatke o ličnosti?

Kao što smo napred naveli, podaci o zdravlju zaposlenih podležu višem stepenu zaštite, imajući u vidu njihovu prirodu i osetljivost. U tom smislu, dalje se nameće pitanje granica raspolaganja ovakvim podacima, kao i opravdanost njihovog obelodanjivanja trećim licima. Veliki broj nacionalnih tela specijalizovanih za zaštitu podataka o ličnosti su saglasna u ovom pogledu – podaci o ličnosti zaposlenog koji je zaražen mogu se otkriti samo do one mere do koje je to opravdano, radi zaštite javnih interesa i javnog zdravlja, kao na primer:

  • Otkrivanje trećim licima zaduženim za sprovođenje zdravstvenih i sigurnosnih mera, ili
  • Otkrivanje državnim organima vlasti i drugim organizacijama, u slučajevima kada je to propisano.

Uporedni prikaz u državama EU

  • Ujedinjeno Kraljevstvo je usaglasilo svoje postupanje sa Uputstvom EOZP: poslodavac treba da preduzme neophodne mere radi zaštite svojih zaposlenih što mu daje pravo da zna ukoliko je njegov zaposleni potencijalno zaražen. Takođe, poslodavci čije poslovanje podrazumeva direktan kontakt sa klijentima, mogu zamoliti sve posetioce da postupaju u skladu sa uputstvima nadležnih organa, pre dolaska u prostorije poslodavca.
  • Francuskoj, poslodavac ima ovlašćenje da prikuplja podatke o zaposlenima u vezi sa korona virusom isključivo na zahtev nadležnih organa, pod uslovom da je prethodno sproveo propisane mere zaštite i organizacije rada u toku trajanja epidemije.
  • Italijanskevlasti predviđaju da je zadatak otkrivanja i sprečavanja korona virusa isključivo u nadležnosti subjekata profesionalnih zdravstvenih ustanova i civilne zaštite građana, koje to čine u skladu sa propisanim uputstvima. U skladu sa tim, poslodavci su dužni da se uzdrže od samoinicijativnog preduzimanja mera u pogledu prikupljanja podataka.
  • Špansko telo za zaštitu podataka o ličnosti izdalo je uputstvo, sačinjeno po uzoru na ono objavljeno od strane EOZP, kojim naglašava dva osnovna preduslova za obradu podataka u uslovima korona virusa: a) pravni osnov –član 9 GDPR, a zatim i odredbe španskog Zakona o zaštiti podataka i Zakona o radu i b) minimizacija obrade.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama