Zaštita podataka o ličnosti (ni)je stala zbog COVID-19

26.
Mar 2020.

Radi uspešnijeg lečenja obolelih i širenja svesti o korona virusu (COVID-19) i načinima zaštite, podaci o zdravlju građana prethodnih dana su izloženi u većem obimu nego što je to uobičajeno. U ovom tekstu, osvrnućemo se na sukob dva fundamentalna ljudska prava: pravo na zdravlje i pravo na zaštitu podataka o ličnosti.

U nedeljama koje su iza nas, korona virus – COVID-19 dospeo je na naslovne strane novina u većini država širom sveta. Proglašenje vanrednog stanja na globalnom nivou dovelo je do potrebe prilagođavanja novonastaloj situaciji prouzrokovanoj pandemijom. Nacionalni izvršni organi u samo nekoliko dana doneli su veliki broj odluka kojima se uvode brojne mere sa ciljem suzbijanja virusa i očuvanja javnog zdravlja. Pored onih koje su široko poznate zbog medijske pažnje koju privlače, poput zatvaranja ugostiteljskih objekata i uvođenja policijskog časa, uvedene su i mere koje su naročito značajne sa aspekta prava privatnosti.

Pravni okvir EU

Prema članu 9 Opšte uredbe o zaštiti podataka o ličnosti (GDPR), podaci o zdravstvenom stanju se svrstavaju pod posebnu kategoriju podataka, koja uživa viši stepen zaštite od uobičajenog. Dok je obrada podataka koji ne spadaju u „posebne” dozvoljena, uvek kada postoji jedan od šest predviđenih pravnih osnova, obrada ovih podataka po pravilu nije dozvoljena. Od svakog pravila postoji izuzetak, pa tako GDPR predviđa situacije u kojima je dozvoljeno odstupiti od ovog.

Obrada osetljivih podataka može se vršiti kada je, na primer, neophodna radi zaštite javnih interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji za zdravlje, radi zaštite vitalnih interesa društva ili radi ispunjenja druge zakonske obaveze.

Vanredno stanje

Ako se osvrnemo na pitanje zaštite podataka sa aspekta radnih odnosa, evidentno je da poslodavci širom sveta preduzimaju različite mere zaštite svojih zaposlenih i prostorija u kojima se rad obavlja, od korona virusa. Nastojeći da ispune svoje dužnosti u ovom pravcu, susreću se sa izazovom sprovođenja zakonite zaštite podataka o ličnosti. Postupanje sa ličnim podacima zaposlenih može dobiti drugačije dimenzije u vanrednim okolnostima te se postavlja pitanje: koji podaci se smeju prikupljati i u kojoj meri je dozvoljeno raspolagati njima?

Na ovo pitanje odgovorio je Evropski odbor za zaštitu podataka (u daljem tekstu: EOZP), izdajući Uputstvo o obradi podataka o ličnosti u kontekstu virusa COVID-19, kojim ukazuje da se značaj primene evropskog pravnog okvira zaštite podataka o ličnosti ne umanjuje čak ni tokom vanrednog stanja. Tako, rukovodioci ovog tela naglašavaju da norme u vezi sa ovim pitanjem ni na koji način ne ometaju sprovođenje vanrednih mera uvedenih u cilju suzbijanja korona virusa te da obrađivači podataka o ličnosti (u šta se ubrajaju i poslodavci) moraju održati određeni nivo zaštite prikupljenih podataka nezavisno od vanrednog stanja.

Šta se ne sme izgubiti iz vida

Zakonitost: legitiman pravni osnov.

Saglasnost lica na koje se podaci odnose na obradu ličnih podataka, posmatrano u kontekstu COVID-19, ne igra značajnu ulogu. Stoga je poslodavac u obavezi da za svaki pojedinačni slučaj utvrdi pravni osnov za otkrivanje podataka, odnosno da ispita da li su ispunjeni uslovi za primenu vanrednih mera.

Na primer:

Osnov koji je predviđen kao „izvršavanje zakonske obaveze” se može upotrebiti ukoliko je prikupljanje neophodno radi postupanja u skladu sa normama evropskog prava ili nacionalnim zakonima države članice. Ili, „legitimni interesi čijem ostvarenju teži rukovalac ili treće lice” bi mogao biti odgovarajući pravni osnov ukoliko se može primeniti u konkretnom slučaju.

Nasuprot tome, samo pozivanje na „zaštitu vitalnih interesa” u najvećem broju slučajeva ne bi bio dovoljan pravni osnov.

Transparentnost: obaveštavanje zaposlenih.

U skladu sa principom transparentnosti, poslodavac je dužan da obavesti lice na koje se podaci odnose o tome koji njegovi podaci su otkriveni, kome, za koje svrhe i koji je vremenski period čuvanja podataka.

Pored toga, poslodavac može zaposlenom osoblju otkriti informaciju o prisutnosti virusa u okviru preduzeća, ali bez navođenja imena i drugih identifikacionih podataka zaraženog zaposlenog, osim ukoliko je to zaista neizbežno. Korak dalje u sprovođenju mera u okviru preduzeća može da bude uvođenje posebne linije za hitne pozive u kontekstu korona virusa, koja bi omogućila zaposlenima koji sumnjaju da su potencijalno zaraženi, da anonimno i bez širenja panike, potraže potrebnu pomoć.

Minimizacija: prikupljanje i obrada samo neophodnih podataka.

Poslodavac treba da nastoji da prikuplja samo one podatke koji su mu neophodni radi procene rizika širenja zaraze i preduzimanja zaštitnih mera.

Radi razjašnjenja, navešćemo nekoliko primera.

Nakon što se pandemija okonča i virus više ne bude predstavljao pretnju, poslodavac je dužan da obriše sve prikupljene podatke o ličnosti svojih zaposlenih u vezi sa korona virusom.

Kada je dozvoljeno otkriti podatke o ličnosti?

Kao što je već pomenuto, podaci o zdravlju zaposlenih podležu višem stepenu zaštite, imajući u vidu njihovu prirodu i osetljivost. Nameće se pitanje granica raspolaganja ovakvim podacima, kao i opravdanost njihovog otkrivanja trećim licima. Većina nacionalnih tela specijalizovanih za zaštitu podataka o ličnosti su saglasna u ovom pogledu – podaci o ličnosti zaraženog zaposlenog lica se mogu otkriti samo do one mere do koje je to opravdano, radi zaštite javnih interesa i javnog zdravlja, kao na primer:

1.  Otkrivanje trećim licima zaduženim za sprovođenje zdravstvenih i sigurnosnih mera, ili

2. Otkrivanje državnim organima vlasti i drugim organizacijama, u slučajevima kada je to propisano.

Uporedni prikaz po državama

Evropske zemlje

  • Ujedinjeno Kraljevstvo je usaglasilo svoje postupanje sa Uputstvom EOZP: poslodavac treba da preduzme neophodne mere radi zaštite svojih zaposlenih što mu daje pravo da zna ukoliko je njegov zaposleni potencijalno zaražen. Pored toga, poslodavci čije poslovanje podrazumeva direktan kontakt sa klijentima, mogu zamoliti sve posetioce da postupaju u skladu sa uputstvima nadležnih organa, pre dolaska u prostorije poslodavca.
  • U Francuskoj, poslodavac ima ovlašćenje da prikuplja podatke o zaposlenima u vezi sa korona virusom samo na zahtev nadležnih organa, pod uslovom da je prethodno sproveo propisane mere zaštite i organizacije rada u toku trajanja epidemije.
  • Italijanske vlasti predviđaju da je zadatak otkrivanja i sprečavanja korona virusa isključivo u nadležnosti subjekata civilne zaštite građana i profesionalnih zdravstvenih ustanova, koje to čine u skladu sa propisanim uputstvima. U skladu sa tim, poslodavci su u obavezi da se uzdrže od samoinicijativnog preduzimanja mera u pogledu prikupljanja podataka.
  • Špansko telo za zaštitu podataka o ličnosti izdalo je uputstvo, po uzoru na ono objavljeno od strane EOZP, kojim naglašava dva osnovna preduslova za obradu podataka u uslovima korona virusa: a) pravni osnov – pre svega član 9 GDPR, a zatim i odredbe španskog Zakona o zaštiti podataka i Zakona o radu i b) minimizacija obrade.

Vanevropske zemlje

Kineske vlasti su propisale obavezu poslodavca da pribavi saglasnost lica na koje se podaci odnose pre nego što pristupi prikupljanju njegovih ličnih podataka koji se odnose na zdravstveno stanje. Slično rešenje sadrži i australijsko pravo, koje predviđa obaveznu saglasnost lica na koje se podaci odnose na obradu podataka o njegovom zdravstvenom stanju, a uspostavljena su i posebna pravila u pogledu upotrebe i otkrivanja prikupljenih podataka. S druge strane, prema zakonima Hong Konga nije neophodan prethodni pristanak lica na koje se podaci o ličnosti odnose, ukoliko je obrada tih podataka neophodna za sprečavanje nastupanja ozbiljne fizičke ili mentalne štete po druga lica.

Ima li privatnosti u digitalnom svetu?

Pored navedenog, u svom Uputstvu EOZP ističe da se posebna pravila primenjuju kada je reč o podacima koji se prenose putem elektronskih vidova komunikacije, kao što su podaci o lokaciji. Ovde na scenu stupa Direktiva EU o privatnosti i elektronskim komunikacijama (u daljem tekstu: Direktiva), koja izričito propisuje da se podaci o lokaciji lica mogu obrađivati samo nakon što su učinjeni anonimnim ili uz pristanak lica na koje se ti podaci odnose. Ipak, ukoliko nije moguće sprovesti obradu anonimno, Direktiva ovlašćuje države članice EU da nacionalnim zakonima propišu posebne mere radi zaštite nacionalne i javne bezbednosti.

Mogućnost koju im pruža Direktiva iskoristile su brojne evropske zemlje, kao i neki delovi Azije. Na primer: italijanska vlada razvila je saradnju sa mobilnim operaterima, koji prikupljene podatke o lokaciji dostavljaju Ministarstvu zdravlja, na taj način im pružajući informacije o broju građana koji su se oglušili o propisane mere ograničenja kretanja. Poljske vlasti su lansirale aplikaciju namenjenu građanima koji su u karantinu. Aplikacija, sa vremena na vreme, zahteva od vlasnika telefona da uslika selfie sa uključenom geo-lokacijom, kako bi nadležni organi bili sigurni da se izdate naredbe poštuju.

Interesantne vanredne mere su izdate u Hong Kongu u pogledu građana koji su doputovali iz inostranstva – prilikom dolaska dodeljuje im se narukvica koja beleži kretanje lica koje je nosi i šalje obaveštenje nadležnim organima ukoliko je prekršena naredba o izolaciji. U Singapuru su svi podaci o zaraženim licima učinjeni javnim, nakon toga je lansirana aplikacija koja omogućava praćenje lokacije žrtava korona virusa. Suvišno je reći – zakonitost ovakve mere je definitivno upitna.

Republika Srbija

Kada je reč o domaćem pravu, i dalje nisu uvedene vanredne mere kojim se čine izuzeci u vezi sa zaštitom podataka o ličnosti. Za razliku od gore pomenutih zemalja, domaće vlasti nisu izdale izričito saopštenje u pogledu ovog pitanja, izuzev apela građanima da se u svemu ponašaju u skladu sa uputstvima nadležnih organa. Pitanje je da li je reakcija slučajno izostala ili srpske vlasti nisu uvidele potrebu za takvom regulativom. Nadamo se što skorijem odgovoru od strane domaćih državnih organa.

Pandemija virusa COVID-19 svakako će u velikoj meri uticati na brojne aspekta života i nakon što se završi, ali to ne mora biti slučaj sa zaštitom podataka o ličnosti. Važno je da poslodavci na vreme ustanove bezbednosna pravila i procedure, kako bi uticaj epidemije na radne odnose sveli na minimum. Podaci o ličnosti zaposlenih treba da ostanu zaštićeni u najvećoj mogućoj meri, a sve u skladu sa pravilima koja GDPR predviđa i uputstvima nadležnih organa.

Drugim rečima – pružite zaštitu svojim zaposlenima, u svakom smislu.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama

NOVI SAD

BEOGRAD

NOVI SAD

BEOGRAD