Työntekijöiden terveystiedot: miten niitä hallitaan COVID-19-pandemian aikana?

Työntekijöiden terveystiedot: miten niitä hallitaan COVID-19-pandemian aikana? Terveyskriisin yhteydessä yhteiskuntiemme kohtaamista haasteista työnantajien kohtaama haaste ei ole vähäisin.

Mukautettavien työolojen lisäksi on kysymys tiedoista, joita voidaan tai jopa täytyy kerätä ja käsitellä työsuhteen puitteissa.

Työnantaja on toisaalta alttiina lakisääteinen velvollisuus suojella terveyttä työntekijöistään, kun taas toisaalta terveystietoja pidetään lain mukaan arkaluonteiset tiedot, jonka käsittelyolosuhteet ovat tiukasti säännellyt.

Siksi CNIL:n äskettäinen muistutus noudatettavasta kehyksestä ja työpaikalla toteutettavista konkreettisista toimenpiteistä on tervetullut.

Seuraavat elementit säilytetään:

Vaikka terveystietojen käsittely on periaatteessa kiellettyä, se on tietyin edellytyksin mahdollista käsittelyn tarkoituksesta riippuen.

Näin ollen pandemian yhteydessä työnantaja voi pätevästi:

• Tiedota työntekijöillesi suojatoimenpiteistä, anna heille kaikki tarvittavat suojavarusteet ja muistuta heitä velvollisuudesta ilmoittaa heille tai toimivaltaisille terveysviranomaisille kontaminaatio- tai kontaminaatioepäilytapauksissa, jotta he voivat mukauttaa työolojaan (esimerkiksi etätyö).

• Helpottaa tiedonsiirtoa perustamalla tarvittaessa erillisiä ja turvallisia kanavia

• Edistä etätyömenetelmiä ja kannusta työlääketieteen käyttöön.

• Osana liiketoiminnan jatkuvuussuunnitelman toteuttamista työntekijöiden turvallisuuden suojelemiseksi ja tärkeiden ylläpidettävien toimintojen tunnistamiseksi luo nimitiedosto suunnitelman kehittämistä ja ylläpitoa varten, joka rajoittuu tämän tavoitteen saavuttamiseksi tarvittaviin tietoihin.

Työnantaja voi käyttää vain tiettyjä rajoitettuja tietoja voidakseen toteuttaa tarvittavat organisatoriset toimenpiteet, kun taas terveyttä suoremmin koskevat tiedot on käsiteltävä terveydenhuollon ammattilaisen toimesta.

(Esimerkiksi karanteenin pidentämiseksi ja etätyön perustelemiseksi) ja työterveyspalvelujen puitteissa:

Työnantajalla ei ole valtuuksia suorittaa kunkin työntekijänsä terveydentilan diagnosointia tai hallinnoida itse järjestelmää heidän haavoittuvuutensa arvioimiseksi (esimerkiksi värikoodin avulla).

Nykyisen lain mukaan työnantaja ei voi toteuttaa lämpötilojen keräämistä sähköisesti tai lämpökameralla tietojen säilyttämisen kera, serologisia testejä tai terveyskyselyitä. Tilanne olisi erilainen kuin manuaalinen lämpötilan mittaus ilman tietojen säilyttämistä: tällainen käytäntö ei kuulu GDPR:n soveltamisalaan, mutta voi herättää muita tehokkuuskysymyksiä.

Lopuksi, edelleen käsiteltävien tietojen arkaluonteisuuden vuoksi on kiinnitettävä erityistä huomiota turvatoimenpiteisiin, jotka takaavat käsiteltävien tietojen luottamuksellisuuden.

Yhteenvetona voidaan todeta, että työnantajan pääasialliset valtuudet koskevat työn organisointia ja perustuvat työntekijöiden altistumisriskeihin rajoittuviin tietoihin, kun taas tautia suoremmin koskevien tietojen hallinta on terveydenhuollon ammattilaisten suorassa vastuulla. Muita työnantajille osoitettuja pyyntöjä ilmoittaa tietoja terveysviranomaisille tai ryhtyä erityisiin toimenpiteisiin voi tarkastella työministeriön verkkosivuilla.

• Ja myös

Ranska:

• CNIL julkaisi 1. lokakuuta lopullisen version evästeiden ja muiden seurantalaitteiden käyttöä koskevista ohjeistaan.

Siinä täsmennetään erityisesti, että verkkosivuston selaamisen jatkamista ei voida pitää pätevänä suostumuksena jäljitteiden käytölle.

Se suosittelee myös, että rekisterinpitäjät sisällyttävät suostumusten keräämisrajapintaan paitsi "hyväksy kaikki" -painikkeen myös "hylkää kaikki" -painikkeen.

• Lokakuu on kyberturvallisuuden kuukausi.

Tässä yhteydessä CNIL ja ANNSSI julkaisevat sarjan suosituksia.

Viime kuukausien kyberhyökkäykset ovat vaikuttaneet erityisesti terveydenhuoltoalaan, teollisuuteen ja paikallisviranomaisiin.

Yksilöt ovat erityisen alttiita verkkokamerakiristykselle, ja CNIL antaa verkkosivuillaan neuvoja suojautumiseen.

Eurooppa:

• Euroopan neuvosto on julkaissut raportin tietosuojaperiaatteiden sietokyvystä 57 maassa, jotka ovat ratifioineet yleissopimuksen 108, ottaen huomioon pandemian hillitsemiseksi toteutetut toimenpiteet.

• Hampurin valvontaviranomainen sakotti H&M:ää 35 miljoonalla eurolla 1. lokakuuta työntekijöidensä yksityisyyden loukkaamisesta.

Yritys keräsi tietoja työntekijöidensä lomista, terveydentilasta ja uskonnosta.

Yhtiö toteuttaa parhaillaan useita toimenpiteitä varmistaakseen, että käsittely on lainmukaista.

• Kaksi ohjeluonnosta on saatavilla julkista kuulemista varten Euroopan tietosuojaneuvoston (EDPB) verkkosivustolla.

Nämä asiakirjat koskevat yhtäältä rekisterinpitäjän ja alihankkijan käsitteitä ja toisaalta sosiaalisen median käyttäjien kohdentamista.

• Euroopan unionin tuomioistuimen Schrems II -tapauksessa antaman päätöksen jälkeen, joka jarruttaa Atlantin yli tapahtuvia tiedonsiirtoja (katso syyskuun pääkirjoitus aiheesta), Euroopan komissio on ilmoittanut uusista mallisopimuslausekkeista, jotka ovat voimassa vuoden loppuun mennessä.

Kansainvälinen:

• Kasvojentunnistuksen kehitys herättää keskustelua eri puolilla maailmaa.

Singaporessa kasvojentunnistuksen käyttöä julkisten palvelujen käyttämiseen pidetään Privacy International -järjestön toimesta ennennäkemättömänä kansalaisten yksityisyyden loukkauksena, kun taas Venäjällä sen käyttö julkisissa tiloissa ja yksityisten rakennusten eteishallissa aiheuttaa huolta.

• Etiikka ja tekoäly ovat aiheena Global Privacy Assemblyn uusimmassa uutiskirjeessä, joka kokoaa yhteen CNIL:t kansainvälisellä tasolla.

Se käsittelee erityisesti terveydenhuoltoalalla käytettyihin digitaalisiin työkaluihin, mukaan lukien COVID-19-seurantasovelluksiin, liittyviä kysymyksiä.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.