Podatki o zdravju zaposlenih: kako jih upravljati med COVID-19?

Podatki o zdravju zaposlenih: kako jih upravljati med COVID-19? Med izzivi, s katerimi se soočajo naše družbe v kontekstu zdravstvene krize, ni najmanj pomemben izziv delodajalcev.

Poleg delovnih pogojev, ki jih je treba prilagoditi, se postavlja tudi vprašanje podatkov, ki se lahko ali celo morajo zbirati in obdelovati v okviru delovnega razmerja.

Delodajalec se po eni strani znajde podvržen zakonska obveznost ohranjanja zdravja svojih zaposlenih, medtem ko po drugi strani zakonodaja zdravstvene podatke obravnava kot občutljivi podatki, katerih pogoji predelave so strogo regulirani.

Nedavni opomnik CNIL o okviru, ki ga je treba spoštovati, in o konkretnih ukrepih, ki jih je mogoče izvajati na delovnem mestu, je zato dobrodošel.

Naslednji elementi so ohranjeni:

Čeprav je obdelava zdravstvenih podatkov načeloma prepovedana, je pod določenimi pogoji, odvisno od zastavljenih namenov, še vedno mogoča.

Tako lahko delodajalec v okviru pandemije upravičeno:

• Obvestite svoje zaposlene o zaščitnih ukrepih, jim zagotovite vso potrebno zaščitno opremo in jih opomnite na obveznost, da jih obvestijo ali obvestijo pristojne zdravstvene organe v primeru kontaminacije ali suma na kontaminacijo, z edinim namenom, da jim omogočite prilagoditev delovnih pogojev (na primer delo na daljavo).

• Olajšajte prenos informacij z vzpostavitvijo namenskih in varnih kanalov, kjer je to potrebno

• Spodbujajte metode dela na daljavo in uporabo medicine dela.

• Kot del izvajanja načrta za neprekinjeno poslovanje za zaščito varnosti zaposlenih in opredelitev bistvenih dejavnosti, ki jih je treba vzdrževati, ustvarite nominativno datoteko za razvoj in vzdrževanje načrta, omejeno na podatke, potrebne za dosego tega cilja.

Delodajalec lahko dostopa le do določenih omejenih informacij, da lahko sprejme potrebne organizacijske ukrepe, medtem ko mora podatke, ki se bolj neposredno nanašajo na zdravje, obdelovati zdravstveni delavec.

(Na primer za podaljšanje karantene in utemeljitev dela na daljavo) in v okviru služb medicine dela:

Delodajalec ni pooblaščen za diagnosticiranje zdravstvenega stanja vsakega od svojih zaposlenih ali za upravljanje sistema za ocenjevanje njihove ranljivosti (na primer z barvno kodo).

V skladu z veljavno zakonodajo delodajalec ne more izvajati elektronskega merjenja temperature ali merjenja s termovizijsko kamero s hrambo podatkov, seroloških testov in zdravstvenih vprašalnikov. Položaj bi se razlikoval od ročnega merjenja temperature brez hrambe podatkov: takšna praksa ne spada na področje uporabe GDPR, vendar lahko sproži druga vprašanja o učinkovitosti.

Nenazadnje je treba zaradi občutljive narave obdelanih podatkov največjo pozornost nameniti varnostnim ukrepom, ki zagotavljajo zaupnost obdelanih podatkov.

Skratka, glavni ukrepi, ki jih je delodajalec pooblaščen sprejeti, se nanašajo na organizacijo dela, ki temelji na podatkih, omejenih na tveganja izpostavljenosti zaposlenih, medtem ko je upravljanje podatkov, ki se bolj neposredno nanašajo na bolezen, neposredna odgovornost zdravstvenih delavcev. Vse druge zahteve delodajalcem za poročanje informacij zdravstvenim organom ali za sprejetje posebnih ukrepov so na voljo na spletni strani Ministrstva za delo.

• In tudi

Francija:

• CNIL je 1. oktobra objavil končno različico svojih smernic glede uporabe piškotkov in drugih sledilnikov.

Zlasti določa, da nadaljnje brskanje po spletnem mestu ne more veljati za veljavno soglasje za uporabo sledilcev.

Prav tako priporoča, da upravljavci podatkov v vmesnik za zbiranje soglasij vključijo ne le gumb »sprejmi vse«, temveč tudi gumb »zavrni vse«.

• Oktober je mesec kibernetske varnosti.

V tem kontekstu CNIL in ANNSSI objavljata vrsto priporočil.

Kibernetski napadi so v zadnjih mesecih še posebej prizadeli zdravstveni sektor, industrijski sektor in lokalne oblasti.

Posamezniki so še posebej tarča izsiljevanja prek spletnih kamer, CNIL pa na svoji spletni strani ponuja nasvete o tem, kako se zaščititi.

Evropa:

• Svet Evrope je objavil poročilo o odpornosti načel varstva podatkov v 57 državah, ki so ratificirale Konvencijo št. 108, glede na ukrepe, sprejete za zajezitev pandemije.

• Nadzorni organ v Hamburgu je 1. oktobra podjetju H&M naložil globo v višini 35 milijonov evrov zaradi kršitve zasebnosti zaposlenih.

Podjetje je zbiralo podatke o dopustih, zdravstvenem stanju in veroizpovedi svojih zaposlenih.

Podjetje trenutno izvaja številne ukrepe za zagotovitev, da je obdelava v skladu z zakonom.

• Na spletni strani Evropskega odbora za varstvo podatkov (EDPB) sta za javno posvetovanje na voljo dva osnutka smernic.

Ti dokumenti se na eni strani nanašajo na koncepta upravljavca podatkov in podizvajalca, na drugi strani pa na ciljanje uporabnikov družbenih omrežij.

• Po sodbi Evropskega sodišča v zadevi Schrems II, ki zavira čezatlantski prenos podatkov (glej septembrski uvodnik na to temo), je Evropska komisija napovedala nove standardne pogodbene klavzule za konec leta.

Mednarodno:

• Razvoj prepoznavanja obrazov sproža razprave v različnih delih sveta.

V Singapurju organizacija "Privacy International" uporabo prepoznavanja obrazov za dostop do javnih storitev ocenjuje kot brez primere poseg v zasebnost državljanov, medtem ko v Rusiji vzbuja zaskrbljenost prav njegova uporaba v javnih prostorih in vhodnih dvoranah zasebnih stavb.

• Etika in umetna inteligenca sta tema članka v najnovejšem glasilu Globalne skupščine za varstvo zasebnosti, ki združuje CNIL-e na mednarodni ravni.

Posebej obravnava vprašanja, povezana z digitalnimi orodji, ki se uporabljajo v zdravstvenem sektorju, vključno z aplikacijami za sledenje COVID-19.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.