Darbinieku veselības dati: kā tos pārvaldīt COVID-19 laikā?

Darbinieku veselības dati: kā tos pārvaldīt COVID-19 laikā? Starp izaicinājumiem, ar kuriem mūsu sabiedrība saskaras veselības krīzes kontekstā, darba devēju problēma nav mazāk svarīga.

Papildus darba apstākļiem, kas ir jāpielāgo, pastāv jautājums par datiem, kurus var vai pat ir jāapkopo un jāapstrādā darba attiecību ietvaros.

Darba devējs, no vienas puses, ir pakļauts juridisks pienākums saglabāt veselību savu darbinieku, savukārt veselības dati saskaņā ar likumu tiek uzskatīti par sensitīvie dati, kuras apstrādes apstākļi ir stingri reglamentēti.

Tāpēc nesen sniegtais CNIL atgādinājums par ievērojamo regulējumu un konkrētiem pasākumiem, ko var īstenot darba vietā, ir apsveicams.

Tiek saglabāti šādi elementi:

Lai gan veselības datu apstrāde principā ir aizliegta, tā joprojām ir iespējama noteiktos apstākļos atkarībā no sasniedzamajiem mērķiem.

Tādējādi pandēmijas kontekstā darba devējs var pamatoti:

• Informējiet savus darbiniekus par barjeras pasākumiem, nodrošiniet viņus ar visiem nepieciešamajiem aizsarglīdzekļiem un atgādiniet viņiem par pienākumu informēt viņus vai informēt kompetentās veselības aizsardzības iestādes piesārņojuma vai aizdomu par piesārņojumu gadījumā, tikai un vienīgi lai viņi varētu pielāgot darba apstākļus (piemēram, attālināts darbs).

• Atvieglot informācijas nosūtīšanu, nepieciešamības gadījumā izveidojot īpaši paredzētus un drošus kanālus

• Veicināt attālinātā darba metodes un mudināt izmantot arodslimību.

• Īstenojot uzņēmējdarbības nepārtrauktības plānu, lai aizsargātu darbinieku drošību un identificētu būtiskās darbības, kas ir jāuztur, izveidojiet nominācijas failu plāna izstrādei un uzturēšanai, kas aprobežojas ar datiem, kas nepieciešami šī mērķa sasniegšanai.

Darba devējs var piekļūt tikai noteiktai ierobežotai informācijai, lai veiktu nepieciešamos organizatoriskos pasākumus, savukārt dati, kas tiešāk attiecas uz veselību, jāapstrādā veselības aprūpes speciālistam.

(Piemēram, lai pagarinātu karantīnu un pamatotu attālināto darbu) un arodslimību pakalpojumu ietvaros:

Darba devējam nav tiesību veikt katra darbinieka veselības stāvokļa diagnostiku vai pašam pārvaldīt sistēmu viņu ievainojamības novērtēšanai (piemēram, izmantojot krāsu kodu).

Saskaņā ar spēkā esošajiem tiesību aktiem darba devējs nedrīkst veikt temperatūras elektronisku vākšanu vai datu vākšanu ar termokameru, seroloģisko testu veikšanu un veselības anketu aizpildīšanu. Situācija atšķirtos no manuālas temperatūras mērīšanas bez datu saglabāšanas: šāda prakse neietilpst GDPR darbības jomā, bet var radīt citus jautājumus par efektivitāti.

Visbeidzot, joprojām ņemot vērā apstrādāto datu sensitīvo raksturu, vislielākā uzmanība jāpievērš drošības pasākumiem, kas garantē apstrādāto datu konfidencialitāti.

Rezumējot, galvenie pasākumi, ko darba devējs ir pilnvarots veikt, attiecas uz darba organizēšanu, pamatojoties uz datiem, kas attiecas tikai uz darbinieku pakļaušanas riskiem, savukārt datu pārvaldība, kas tiešāk attiecas uz slimību, ir veselības aprūpes speciālistu tieša atbildība. Jebkurus citus pieprasījumus darba devējiem ziņot informāciju veselības iestādēm vai veikt konkrētus pasākumus var apskatīt Darba ministrijas tīmekļa vietnē.

• Un arī

Francija:

• 1. oktobrī CNIL publicēja savu vadlīniju galīgo versiju par sīkfailu un citu izsekotāju izmantošanu.

Tajā jo īpaši norādīts, ka tīmekļa vietnes pārlūkošanas turpināšana nevar tikt uzskatīta par derīgu piekrišanu izsekošanas līdzekļu izmantošanai.

Tāpat tiek ieteikts datu pārziņiem piekrišanas vākšanas saskarnē iekļaut ne tikai pogu “pieņemt visu”, bet arī pogu “noraidīt visu”.

• Oktobris ir kiberdrošības mēnesis.

Šajā kontekstā CNIL un ANNSSI publicē virkni ieteikumu.

Pēdējo mēnešu kiberuzbrukumi ir īpaši skāruši veselības aprūpes nozari, rūpniecības nozari un vietējās pašvaldības.

Personas ir īpaši vērstas pret tīmekļa kameru šantāžām, un CNIL savā tīmekļa vietnē sniedz padomus par to, kā sevi pasargāt.

Eiropa:

• Eiropas Padome ir publicējusi ziņojumu par datu aizsardzības principu noturību 57 valstīs, kas ratificējušas 108. konvenciju, ņemot vērā pasākumus, kas veikti pandēmijas ierobežošanai.

• Hamburgas uzraudzības iestāde 1. oktobrī piesprieda H&M 35 miljonu eiro sodu par darbinieku privātuma pārkāpumu.

Uzņēmums apkopoja informāciju par savu darbinieku atvaļinājumiem, veselības stāvokli un reliģisko pārliecību.

Uzņēmums pašlaik īsteno daudzus pasākumus, lai nodrošinātu, ka apstrāde atbilst likumam.

• Eiropas Datu aizsardzības kolēģijas (EDAK) tīmekļa vietnē publiskai apspriešanai ir pieejami divi vadlīniju projekti.

Šie dokumenti attiecas, no vienas puses, uz datu pārziņa un apakšuzņēmēja jēdzieniem, un, no otras puses, uz sociālo tīklu lietotāju mērķauditorijas atlasi.

• Pēc Eiropas Savienības Tiesas sprieduma Šremsa II lietā, kas aptur transatlantisko datu pārsūtīšanu (skatīt septembra redakcijas rakstu par šo tēmu), Eiropas Komisija ir paziņojusi par jaunām standarta līguma klauzulām, kas stāsies spēkā gada beigās.

Starptautiskās:

• Sejas atpazīšanas tehnoloģiju attīstība izraisa diskusijas dažādās pasaules daļās.

Singapūrā sejas atpazīšanas izmantošanu, lai piekļūtu sabiedriskajiem pakalpojumiem, organizācija "Privacy International" uzskata par nepieredzētu iejaukšanos pilsoņu privātumā, savukārt Krievijā bažas rada tās izmantošana sabiedriskās vietās un privātu ēku vestibilos.

• Ētika un mākslīgais intelekts ir aplūkoti rakstā jaunākajā Globālās privātuma asamblejas informatīvajā biļetenā, kas apvieno CNILs starptautiskā līmenī.

Tas īpaši risina jautājumus, kas saistīti ar veselības aprūpes nozarē izmantotajiem digitālajiem rīkiem, tostarp COVID-19 izsekošanas lietotnēm.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.