Údaje o zdravotnom stave zamestnancov: ako ich spravovať počas pandémie COVID-19?

Údaje o zdravotnom stave zamestnancov: ako ich spravovať počas pandémie COVID-19? Medzi výzvami, ktorým naše spoločnosti čelia v kontexte zdravotnej krízy, nie je tá, ktorej čelia zamestnávatelia, najmenšia.

Okrem pracovných podmienok, ktoré je potrebné prispôsobiť, existuje aj otázka údajov, ktoré sa môžu alebo dokonca musia zhromažďovať a spracovávať v rámci pracovnoprávneho vzťahu.

Zamestnávateľ sa na jednej strane ocitá vystavený zákonná povinnosť chrániť zdravie svojich zamestnancov, zatiaľ čo na druhej strane sú zdravotné údaje zo zákona považované za citlivé údaje, ktorých podmienky spracovania sú prísne regulované.

Nedávna pripomienka CNIL o rámci, ktorý treba dodržiavať, a o konkrétnych opatreniach, ktoré možno zaviesť na pracovisku, je preto vítaná.

Nasledujúce prvky sú zachované:

Hoci je spracovanie zdravotných údajov v zásade zakázané, za určitých podmienok je možné v závislosti od sledovaných účelov.

V kontexte pandémie teda zamestnávateľ môže oprávnene:

• Informujte svojich zamestnancov o bariérových opatreniach, poskytnite im všetky potrebné ochranné prostriedky a pripomeňte im povinnosť informovať ich alebo informovať príslušné zdravotnícke orgány v prípade kontaminácie alebo podozrenia na kontamináciu, a to výlučne s cieľom umožniť im prispôsobiť si pracovné podmienky (napríklad práca na diaľku).

• Uľahčiť prenos informácií vytvorením vyhradených a bezpečných kanálov, ak je to potrebné

• Podporovať metódy práce na diaľku a nabádať k využívaniu pracovného lekárstva.

• V rámci implementácie plánu kontinuity podnikania na ochranu bezpečnosti zamestnancov a identifikáciu základných činností, ktoré je potrebné zachovať, vytvorte nominatívny súbor pre vývoj a údržbu plánu, obmedzený na údaje potrebné na dosiahnutie tohto cieľa.

Zamestnávateľ má prístup iba k určitým obmedzeným informáciám, aby mohol prijať požadované organizačné opatrenia, zatiaľ čo údaje, ktoré sa priamo týkajú zdravia, musí spracovávať zdravotnícky pracovník.

(Napríklad na predĺženie karantény a odôvodnenie práce na diaľku) a v rámci služieb pracovného lekárstva:

Zamestnávateľ nie je oprávnený vykonávať diagnostiku zdravotného stavu každého zo svojich zamestnancov ani si sám spravovať systém na posudzovanie ich zraniteľnosti (napríklad pomocou farebného kódu).

Podľa súčasného zákona nemôže zamestnávateľ vykonávať elektronické meranie teploty alebo meranie teploty pomocou termokamery s uchovávaním údajov, sérologické testy a zdravotné dotazníky. Situácia by sa líšila od manuálneho merania teploty bez uchovávania údajov: takýto postup nespadá do rozsahu pôsobnosti GDPR, ale môže vyvolať ďalšie otázky týkajúce sa jeho účinnosti.

Napokon, stále vzhľadom na citlivú povahu spracovávaných údajov, je potrebné venovať najväčšiu pozornosť bezpečnostným opatreniam zaručujúcim dôvernosť spracovávaných údajov.

Stručne povedané, hlavné opatrenia, ktoré je zamestnávateľ oprávnený prijať, sa týkajú organizácie práce na základe údajov obmedzených na riziká vystavenia zamestnancov, zatiaľ čo správa údajov, ktoré sa priamo týkajú choroby, je priamou zodpovednosťou zdravotníckych pracovníkov. Akékoľvek ďalšie žiadosti adresované zamestnávateľom o nahlásenie informácií zdravotníckym orgánom alebo o prijatie konkrétnych opatrení sú k dispozícii na webovej stránke ministerstva práce.

• A tiež

Francúzsko:

• CNIL 1. októbra zverejnila finálnu verziu svojich pokynov týkajúcich sa používania súborov cookie a iných sledovacích nástrojov.

Najmä sa v ňom uvádza, že pokračovanie v prehliadaní webovej stránky nemožno považovať za platný súhlas s používaním sledovacích zariadení.

Taktiež odporúča, aby prevádzkovatelia údajov do rozhrania na zhromažďovanie súhlasov zahrnuli nielen tlačidlo „prijať všetko“, ale aj tlačidlo „odmietnuť všetko“.

• Október je mesiacom kybernetickej bezpečnosti.

V tejto súvislosti CNIL a ANNSSI publikujú sériu odporúčaní.

Kybernetické útoky v posledných mesiacoch zasiahli najmä sektor zdravotníctva, priemyselný sektor a miestne samosprávy.

Vydieranie prostredníctvom webkamery je obzvlášť terčom jednotlivcov a CNIL poskytuje na svojej webovej stránke rady, ako sa chrániť.

Európa:

• Rada Európy zverejnila správu o odolnosti zásad ochrany údajov v 57 krajinách, ktoré ratifikovali Dohovor č. 108, vzhľadom na opatrenia prijaté na zamedzenie pandémie.

• Dozorný orgán v Hamburgu udelil 1. októbra spoločnosti H&M pokutu 35 miliónov eur za porušenie súkromia jej zamestnancov.

Spoločnosť zhromažďovala informácie o dovolenkách, zdravotnom stave a náboženstve svojich zamestnancov.

Spoločnosť v súčasnosti zavádza množstvo opatrení na zabezpečenie súladu spracovania so zákonom.

• Dva návrhy usmernení sú k dispozícii na verejnú konzultáciu na webovej stránke Európskeho výboru pre ochranu údajov (EDPB).

Tieto dokumenty sa týkajú na jednej strane pojmov prevádzkovateľ údajov a subdodávateľ a na druhej strane cielenia na používateľov sociálnych sietí.

• V nadväznosti na rozhodnutie Európskeho súdneho dvora vo veci Schrems II, ktoré brzdí transatlantické prenosy údajov (pozri septembrový úvodník na túto tému), Európska komisia oznámila nové štandardné zmluvné doložky na koniec roka.

Medzinárodné:

• Vývoj rozpoznávania tváre vyvoláva diskusie v rôznych častiach sveta.

V Singapure považuje organizácia „Privacy International“ používanie rozpoznávania tváre na prístup k verejným službám za bezprecedentný zásah do súkromia občanov, zatiaľ čo v Rusku vyvoláva obavy jeho používanie vo verejných priestoroch a vstupných halách súkromných budov.

• Etika a umelá inteligencia sú predmetom článku v najnovšom bulletine Globálneho zhromaždenia o ochrane súkromia, ktoré združuje CNILs na medzinárodnej úrovni.

Konkrétne sa zaoberá otázkami súvisiacimi s digitálnymi nástrojmi používanými v sektore zdravotníctva vrátane aplikácií na sledovanie COVID-19.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.