Corona Desk

Zaštita osobnih podataka i COVID-19
Mislav Bradvica | 21.03.2020

Informativni pregled s osobitim naglaskom na GDPR

Izdvojili smo nekoliko pitanja koja se u ovoj fazi najčešće pojavljuju

[PREUZMITE PDF DOKUMENT NA DNU STRANICE]

“Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of  personal data.”

Andrea Jelinek, predsjednica Europskog odbora za zaštitu podataka 16. ožujka 2020.

UVOD
U ovom trenutku više nije potrebno naglašavati da je globalno širenje korona-virusne bolesti Covid-19 uzrokovalo brojne izazove za države u pogledu organizacije efektivnog zdravstvenog mehanizma i u pogledu izrade planova za održanje ekonomija od naglog urušavanja.
Jednako je tako i svaki poduzetnik u ovom trenutku suočen sa izazovom pronalaska brzih i prikladnih rješenja za održanje svog poslovanja vitalnim, ali mnogo bitnije - i sa izazovom zaštite zdravlja i sigurnosti svojih zaposlenika.
U tim trenutcima poslodavci posežu za mjerama poput prikupljanja informacija o trenutnom zdravstvenom stanju zaposlenika (osobito o postojanju simptoma korona-virusne bolesti Covid-19), informiraju se o nedavnim kretanjima svojih zaposlenika (putovanjima u rizična područja), ostvarenim kontaktima s drugim osobama i slično.
Već iz ovog je naravno jasno da se ne radi o uobičajenom setu podataka čije bi se kolanje očekivalo u odnosu poslodavac – zaposlenik. Dapače, poslodavci čak zadiru u tzv. posebnu kategoriju osobnih podataka s kojom se većina još uvijek „svježe uspostavljenih” sustava još nije susrela.
Stoga, sasvim je razumljivo da se većina poslodavaca – osobito na području Europske Unije - u ovom trenutku pita barem sljedeće: Smijem li prikupljati ove informacije? Ako da, kako organizirati obradu i čuvanje tih podataka? Je li to sve u skladu s GDPR-om?
Kako bismo Vam olakšali ovaj proces, izdvojili smo nekoliko pitanja koja se u ovoj fazi najčešće pojavljuju i neka druga za koja smatramo da trebaju biti pojašnjena te smo na svako smo dali sažeti i informativni odgovor – s osobitim naglaskom na GDPR.

Što se u ovoj situaciji smatra zakonitom obradom osobnih podataka (osobito zdravstvenih podataka)?
Na koje se temelje obrade iz GDPR-a mogu pozivati?

Ovdje najprije treba osvijestiti da GDPR podatke o zdravlju svrstava u tzv. posebnu kategoriju osobnih podataka (članak 9. GDPR-a) koja se stoga treba štititi s dodatnom dozom opreza.
Međutim, zabrana obrade podataka iz te kategorije također nije apsolutna, odnosno dozvoljena je ako su ispunjeni određeni uvjeti.
Tako je čak i ovim izvanrednim okolnostima obrada zdravstvenih podataka zaposlenika dopuštena ako je nužna:
- radi poštovanja pravnih obveza voditelja obrade (članak 6(1)c) GDPR), odnosno za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade u polju radnog prava (članak 9(2)b) GDPR)  – npr. obveze zaštite sigurnosti, zdravlja i života radnika kako su određene Zakonom o radu i Zakonom o zaštiti na radu;
- kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe - (članak 6(1)d) GDPR) – npr. komuniciranje zdravstvenih podataka zaposlenika liječničkom osoblju;
- za potrebe legitimnih interesa (članak 6(1)f) GDPR) – pod uvjetom da je obrada nužna, prikladna i proporcionalna (LIA test);
Odnosno kao najnaglašeniji temelj
- obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju (članak 9(2)i) GDPR).

Savjet:
Ovdje zastanite i zatražite pravnu pomoć internog pravnog tima ili vanjskih pravnih savjetnika (odvjetnika).
U slučaju da u datom trenutku to nije moguće, zabilježite proces obrade osobnih podataka i temelj na koji ste se pozvali te što je prije moguće obavijestite pravne savjetnike o procesu.

Što se uopće smatra osobnim i/ili zdravstvenim podatcima u ovoj situaciji?
I dalje, osobni podatci u smislu GDPR su svi podatci koji  se odnose na pojedinca čiji je identitet utvrđen ili se može izravno ili neizravno utvrditi putem određenih identifikatora.
S druge strane, za sad ne postoji jedinstveni stav što bi u perspektivi COVID-19 predstavljalo zdravstvene podatke čija je obrada opravdana – niti na razini Republike Hrvatske kao niti na razini EU.
Ipak, generalno gledajući europske države koje su na srednje restriktivan način pristupile ovom problemu tumače da bi se zdravstvenim podatkom smatrala informacija da je određena osoba zaražena virusom COVID-19. Činjenica da je neka osoba doputovala iz „rizičnog područja” ili da je u izolaciji (bez dodatnih objašnjenja razloga izolacije) se samo po sebi ne bi trebalo smatrati zdravstvenim podatkom. Pritom, smatramo da bi u kategoriju zdravstvenih podataka neupitno ulazile i informacije o postojanju simptoma virusa COVID-19 kod određenih osoba.
U svakom slučaju, ono što se u ovom trenutku i dalje ne smije zaboraviti je činjenica da bi obrada osobnih podataka o zdravlju ispitanika trebala biti nužna i proporcionalna, a osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

Kako zaštititi sigurnost osobnih i zdravstvenih podataka mojih zaposlenika?
Osnovni zahtjevi GDPR-a uvjetuju da se obrada mora temeljiti barem na sljedećim načelima:
- Načelu nužnosti;
- Načelu proporcionalnosti; te
- Implementaciji mjera zaštita prava ispitanika.
U tu svrhu, mjere zaštite osobnih podataka povezanih uz COVID-19 bi trebale uključivati:
- Ograničavanje broja osoba koje imaju pristup takvim podacima – npr. oformiti interni krizni stožer;
- Uvođenje strogih vremenski limita vezano – npr. ograničiti obrade evidencije dok su na snazi javne mjere i preporuke za izvanredno stanje;
- Osobe koje obrađuju osobne podatke moraju biti osobe već upoznate sa pravilima koja reguliraju obradu osobnih podataka – ili se pokušajte osloniti na 0-24 dostupnu pomoć vanjskih savjetnika;
- Osiguravanje transparentnosti u odnosu na kategoriju podataka koji se obrađuju i razloge takve obrade – dakle jasno odrediti što vam je sve od informacija potrebno i zašto te ne prelaziti zadane okvire;
Pri tome, u svrhu ostvarenja dužnosti voditelj obrade da osigura poštovanje GDPR-a te da mora biti u mogućnosti dokazati  isto (načela pouzdanosti), poduzetnici bi trebali dokumentirati odluke koje donose te ako je moguće i razloge donošenje takvih odluka u vezi s obradom osobnih podatka.
Konačno, ako se unutar vaše organizacije i pojavi slučaj zaraze virusom COVID-19, GDPR vam ne priječi da o pojavi zaraze obavijestite ostale zaposlenike i uputite ih na odgovarajuće mjere.
Međutim, pritom zaštitite privatnost zaraženog i izbjegnite otkrivanje njegova identiteta.

Smije li poduzetnik javnim vlastima slati zdravstvene podatke svojih zaposlenika?
Kako je već prije istaknuto, u ovoj izvanrednoj situaciji postoji čak nekoliko zakonitih temelja obrade osobnih i zdravstvenih podataka zaposlenika i pritom njihove komunikacije zdravstvenim ustanovama.
U tom smislu zdravstvene ustanove mogu tražiti dostavu takvih podataka na temelju:
članka 6(1)e) - obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
članka 9(2)i) - obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi.
Ponovno, svaki poslodavac je obvezan proporcionalno obrađivati osobne i zdravstvene podatke ispitanika, transparentno bilježiti sve procese obrade, ali pritom primjenjivati odgovarajuće sigurnosne mjere.

Rad od kuće i GDPR?
GDPR ne predstavlja barijeru bilo kakvoj organizaciji rada od kuće.
Ovdje se od poslodavca najprije u sklopu radnopravnih propisa očekuje da zaposleniku osigura adekvatne mogućnosti takvog rada.
Međutim svakako nemojte zaboraviti provjeriti jesu li u vašoj organizaciji uspostavljene adekvatne sigurnosne mjere za takvu vrstu rada (npr. siguran daljinski pristup serverima i bazama podataka te mogućnost daljinskog korištenja elektroničke pošte organizacije).

Preporuke i status quo
Zaključno u ovom je trenutku najbitnije osigurati da ste kao poslodavac svjesni
- kategorija osobnih podataka koje prikupljate zbog pandemije uzrokovane virusom COVID-19,
- da je takva obrada obuhvaćena barem jednim prikladnim temeljem obrade (odgovor na prvo pitanje) te
- da ste adekvatno zaštitili sigurnost osobnih i zdravstvenih podataka svojih zaposlenika.
Također, uzmite u obzir da će se savjeti i preporuke nadležnih tijela vjerojatno mijenjati dopunjavati ovisno o tome kako će se ova situacija razvijati.
Zbog toga savjetujemo vam da redovno pratite preporuke koje se objavljuju na sljedećim poveznicama:
- Agencija za zaštitu osobnih podataka: https://azop.hr/
- Europski odbor za zaštitu podataka: https://edpb.europa.eu/news/news_hr
Također, BMWC GDPR tim vam u svako doba stoji na raspolaganju.

Kontaktirajte nas u slučaju pitanja na naš e-mail za podršku (0-24): coronadesk@bmwc.hr

o autoru

Mislav Bradvica

Mislav Bradvica je hrvatski odvjetnik poznat po svojem radu u polju parničnog prava, restrukturiranja te prava zaštite tržišnog natjecanja.

kontaktirajte nas