Podaci o zdravlju zaposlenika: kako njima upravljati tijekom COVID-19?

Podaci o zdravlju zaposlenika: kako njima upravljati tijekom COVID-19? Među izazovima s kojima se naša društva suočavaju u kontekstu zdravstvene krize, onaj s kojim se suočavaju poslodavci nije najmanje važan.

Uz uvjete rada koji se moraju prilagoditi, postavlja se i pitanje podataka koji se mogu ili čak moraju prikupljati i obrađivati u okviru radnog odnosa.

Poslodavac se, s jedne strane, nalazi podložan zakonska obveza očuvanja zdravlja svojih zaposlenika, dok se s druge strane zdravstveni podaci zakonom smatraju osjetljivi podaci, čiji su uvjeti obrade strogo regulirani.

Nedavni podsjetnik CNIL-a o okviru koji treba poštivati i o konkretnim mjerama koje se mogu provesti na radnom mjestu je stoga dobrodošao.

Sljedeći elementi su zadržani:

Iako je obrada zdravstvenih podataka u načelu zabranjena, ona je i dalje moguća pod određenim uvjetima, ovisno o svrhama koje se žele postići.

Dakle, u kontekstu pandemije, poslodavac može valjano:

• Obavijestite svoje zaposlenike o zaštitnim mjerama, osigurajte im svu potrebnu zaštitnu opremu i podsjetite ih na obvezu da ih obavijestite ili obavijestite nadležna zdravstvena tijela u slučaju kontaminacije ili sumnje na kontaminaciju, s isključivom svrhom da im se omogući prilagodba uvjeta rada (npr. rad na daljinu).

• Olakšati prijenos informacija uspostavljanjem, gdje je to potrebno, namjenskih i sigurnih kanala

• Promicati metode rada na daljinu i poticati korištenje medicine rada.

• Kao dio provedbe Plana kontinuiteta poslovanja radi zaštite sigurnosti zaposlenika i identificiranja bitnih aktivnosti koje se moraju održavati, izradite nominativnu datoteku za razvoj i održavanje plana, ograničenu na podatke potrebne za postizanje tog cilja.

Poslodavac može pristupiti samo određenim ograničenim informacijama kako bi poduzeo potrebne organizacijske mjere, dok podatke koji se izravnije odnose na zdravlje mora obrađivati zdravstveni djelatnik.

(Na primjer, za produljenje karantene i opravdanje rada na daljinu) i u okviru službi medicine rada:

Poslodavac nije ovlašten provoditi dijagnozu zdravstvenog stanja svakog od svojih zaposlenika niti sam upravljati sustavom za procjenu njihove ranjivosti (na primjer putem koda boje).

Prema važećem zakonu, poslodavac ne može provoditi elektroničko prikupljanje temperature ili putem termovizijske kamere s pohranjivanjem podataka, serološke testove i zdravstvene upitnike. Situacija bi se razlikovala od ručnog mjerenja temperature bez pohranjivanja podataka: takva praksa ne spada u područje primjene GDPR-a, ali može pokrenuti druga pitanja o učinkovitosti.

Konačno, i dalje zbog osjetljive prirode obrađenih podataka, najveća pozornost mora se posvetiti sigurnosnim mjerama koje jamče povjerljivost obrađenih podataka.

Ukratko, glavne mjere koje je poslodavac ovlašten poduzeti odnose se na organizaciju rada, na temelju podataka ograničenih na rizike izloženosti zaposlenika, dok je upravljanje podacima koji se izravnije odnose na bolest izravna odgovornost zdravstvenih djelatnika. Svi ostali zahtjevi poslodavcima za prijavljivanje informacija zdravstvenim vlastima ili za poduzimanje određenih mjera mogu se pronaći na web stranici Ministarstva rada.

• I također

Francuska:

• CNIL je 1. listopada objavio konačnu verziju svojih smjernica u vezi s korištenjem kolačića i drugih alata za praćenje.

Posebno se navodi da se nastavak pregledavanja web stranice ne može smatrati valjanim pristankom na korištenje tragača.

Također preporučuje da kontrolori podataka u sučelje za prikupljanje privola uključe ne samo gumb „prihvati sve“ već i gumb „odbij sve“.

• Listopad je mjesec kibernetičke sigurnosti.

U tom kontekstu, CNIL i ANNSSI objavljuju niz preporuka.

Kibernetički napadi u posljednjih nekoliko mjeseci posebno su pogodili zdravstveni sektor, industrijski sektor i lokalne vlasti.

Pojedinci su posebno meta ucjene putem web kamere, a CNIL na svojoj web stranici pruža savjete o tome kako se zaštititi.

Europa:

• Vijeće Europe objavilo je izvješće o otpornosti načela zaštite podataka u 57 zemalja koje su ratificirale Konvenciju 108, s obzirom na mjere poduzete za suzbijanje pandemije.

• Nadzorno tijelo u Hamburgu kaznilo je H&M s 35 milijuna eura 1. listopada zbog kršenja privatnosti svojih zaposlenika.

Tvrtka je prikupljala podatke o godišnjim odmorima, zdravstvenom stanju i vjeroispovijesti svojih zaposlenika.

Tvrtka trenutno provodi brojne mjere kako bi osigurala da je obrada u skladu sa zakonom.

• Dva nacrta smjernica dostupna su za javno savjetovanje na mrežnim stranicama Europskog odbora za zaštitu podataka (EDPB).

Ti se dokumenti odnose, s jedne strane, na koncepte kontrolora podataka i podizvođača, a s druge strane na ciljanje korisnika društvenih mreža.

• Nakon presude Europskog suda pravde u slučaju Schrems II, kojom se zabranjuje transatlantski prijenos podataka (vidi rujanski uvodnik o ovoj temi), Europska komisija najavila je nove standardne ugovorne klauzule za kraj godine.

Međunarodno:

• Razvoj prepoznavanja lica potiče raspravu u različitim dijelovima svijeta.

U Singapuru korištenje prepoznavanja lica za pristup javnim uslugama organizacija "Privacy International" smatra neviđenim zadiranjem u privatnost građana, dok u Rusiji zabrinutost izaziva njegova upotreba u javnim prostorima i ulaznim hodnicima privatnih zgrada.

• Etika i umjetna inteligencija tema su članka u najnovijem biltenu Globalne skupštine o privatnosti, koja okuplja CNIL-ove na međunarodnoj razini.

Posebno se bavi pitanjima vezanim uz digitalne alate koji se koriste u zdravstvenom sektoru, uključujući aplikacije za praćenje COVID-19.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.