Obdelava osebnih podatkov v kontekstu izbruha virusa COVID-19

V nadaljevanju smo pripravili kratek pregled nekaterih stališč in mnenj slovenskega Informacijskega pooblaščenca (v nadaljnjem besedilu: IP) glede obdelave in varstva osebnih podatkov v kontekstu izbruha virusa SARS-CoV-2 (COVID-19), ki smo jih strnili v obliki vprašanj in odgovorov.

Ali in pod kakšnimi pogoji veljavna zakonodaja v Sloveniji dovoljuje obdelavo zdravstvenih podatkov zaposlenih, zlasti glede merjenja in spremljanja telesne temperature zaposlenih ter morebitne obveznosti obveščanja delavca o pojavu okužbe z virusom COVID-19?

Uvodoma poudarjamo, da delodajalci glede na določbe delovno-pravne zakonodaje v običajnih razmerah sicer niso upravičeni do obdelave zdravstvenih podatkov zaposlenih, med katere sodijo tudi podatki o diagnozi, telesni temperaturi zaposlenih ipd. Tovrstni podatki sodijo med posebne vrste osebnih podatkov in GDPR v členu 9 določa, da je njihova obdelava prepovedana, če ni podana katera od izjem iz drugega odstavka člena 9 GDPR. Po mnenju IP lahko v času, ko se soočamo s širjenjem okužb s COVID-19, in je ogroženo tako zdravje posameznika kot javno zdravje, posebne okoliščine terjajo ukrepe, ki lahko posegajo tudi na področje obdelave posebnih vrst osebnih podatkov.

Vendar pa gre za vprašanje, na katerega mora primarno podati odgovor zdravstvena stroka, zlasti pooblaščena oseba za medicino dela. Iz stališč IP zlasti izhaja zahteva, da mora ustrezna oseba zdravstvene stroke preveriti nujnost posameznih ukrepov za dosego določenega cilja. IP prav tako poudarja, da je nujnost posameznih ukrepov potrebno presojati glede na konkretne okoliščine (za kakšno vrstno dela gre, ali delo poteka od doma, kakšna je narava dela ipd.).

Glede merjenja in spremljanja telesne temperature zaposlenih je IP izpostavil, da je potrebno preveriti, ali obstajajo morebitni drugi manj invazivni ukrepi, ki so morda celo bolj učinkoviti z vidika dejanskega preprečevanja širjenja okužbe in zagotavljanja nemotenega delovnega procesa (tako so npr. kot poročajo mediji določene organizacije delo organizirale na način, da določena skupina zaposlenih dela določeno število dni, drugi ostanejo v domači izolaciji (torej se možnost okužbe bistveno zmanjša)). IP prav tako izraža dvom o nujnosti morebitnega neprekinjenega spremljanja zaposlenih. Dalje IP meni, da bi morali delodajalci, v primeru nameravane uvedbe tovrstnega ukrepa izvesti oceno učinkov glede varstva osebnih podatkov, ki pa je lahko tudi specifična, kratka in jedrnata. V vsakem primeru pa je potrebno zaposlene skladno s členom 13 GDPR ustrezno obvestiti, da se tovrstno merjenje ali spremljanje izvaja.

IP dalje meni, da je upravičenost zahteve delodajalca, da je delavec v primeru okužbe s COVID-19 to dolžan sporočiti delodajalcu, odvisna od tega, za kakšno vrsto dela gre, kako je to uredil delodajalec in kakšna je narava dela. Takšno obveznost zaposlenega lahko posamezno podjetje odredi po presoji pristojnih institucij in pooblaščene osebe za medicino dela (glede na posebno naravo in organizacijo dela) in upoštevajoč ZDR-1 v povezavi s področnimi predpisi ter ukrepi za zagotavljanje zdravja in varstva pri delu. V primeru seznanitve delodajalca s takšnim podatkom pa ga mora delodajalec ustrezno varovati in ga brez ustrezne pravne podlage ni upravičen posredovati naprej. Načeloma za nadaljnje obveščanje zadoščajo statistični podatki (npr. zgolj podatek o pojavu okužbe v določenem podjetju, razredu, nadstropju ipd.) brez drugih podatkov, ki omogočajo določljivost posameznika.

Ali in pod kakšnimi pogoji veljavna zakonodaja v Sloveniji dovoljuje prevezavo telefonskih klicev na zasebne telefone zaposlenih?

Uvodoma pojasnjujemo, da lahko delodajalec odredi delo na domu tudi skladno 169. členom ZDR-1, ki omogoča, da delodajalec v času izrednih razmer kraj opravljanja dela začasno spremeni tudi brez soglasja delavca, vendar le, dokler trajajo take okoliščine. V takšnem primeru lahko delodajalec določi, da je dosegljivost določenega delavca preko telefona nujno potrebna zaradi opravljanja njegovih nalog (npr. zaradi dela s strankami), pri čemer bi mu moral zagotoviti temu primerna delovna sredstva (npr. službeni telefon).

IP meni, da lahko delavec da na voljo tudi svoja delovna sredstva (na primer preusmeritev na svoj mobilni telefon), vendar mora v to izrecno privoliti. Delodajalec torej lahko določi preusmeritev službenih klicev na zasebne telefone zaposlenih, vendar mora imeti za to ustrezno privolitev, lahko pa je takšno privolitev delavec podal že v pogodbi o zaposlitvi. V vsakem primeru pa je potrebno upoštevati načelo najmanjšega obsega podatkov, kar pomeni, da se naj telefonska številka uporablja zgolj v obsegu, ki je nujno potreben za opravljanje nalog dela na domu. Ob prenehanju izrednih okoliščin delodajalec zasebne številke brez ustrezne pravne podlage ne sme nadalje obdelovati oz. hraniti.

Ali in pod kakšnimi pogoji veljavna zakonodaja v Sloveniji dovoljuje spletno komuniciranje med ponudnikom storitev in stranko ter prenos posebnih kategorij osebnih podatkov preko telekomunikacijskih omrežij?

Posebno soglasje za spletno komuniciranje ni potrebno, opozarjamo pa, da je treba posameznike ustrezno informirati, in sicer jim mora biti jasno in razumljivo predstavljeno, kateri osebni podatki bodo obdelovani, za katere namene, kakšne so njihove pravice itd., kot to zahteva in določa člen 13 GDPR.

Zakonodaja o varstvu osebnih podatkov ne prepoveduje uporabe spletnih orodij in načinov komuniciranja, vendar pa je potrebno biti pozoren, da se pri uporabi zagotovi varnost in zaupnost podatkov, še zlasti kadar gre za obdelavo posebnih vrst osebnih podatkov (npr. podatkov o zdravstvenem stanju). Upravljavec osebnih podatkov (tj. ponudnik storitev) mora preveriti, ali posamezno orodje omogoča varovanje zaupnosti, predvsem z omogočanjem šifrirane komunikacije, ki nepooblaščenim osebam preprečuje seznanitev z vsebino komunikacije. Podrobnosti tehničnih zahtev glede prenosa posebnih vrst osebnih podatkov preko telekomunikacijskih omrežij lahko najdete na naslednji povezavi: https://www.ip-rs.si/vop/?tx_jzgdprdecisions_pi1%5BshowUid%5D=1448, pri čemer izpostavljamo, da navadna elektronska pošta kot taka ne omogoča posebne varnosti.

Pozornost je treba nameniti tudi morebitnemu prenosu osebnih podatkov v tretje države, saj številni ponudniki tovrstnih rešitev prihajajo iz ZDA. IP priporoča, da preverite, ali je ponudnik rešitve na seznamu certificiranih organizacij po dogovoru Privacy Shield med EU in ZDA (dostopno na: https://www.privacyshield.gov/welcome).

Ali in pod kakšnimi pogoji veljavna zakonodaja v Sloveniji dovoljuje obdelovanje podatkov o geolokaciji?

Uvodoma poudarjamo, da je potrebno, kadar gre za upravljavca osebnih podatkov, ki ga zavezujejo določbe Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12 s spremembami in dopolnitvami; ZEKom-1), upoštevati posebne pogoje in omejitve za obdelavo podatkov o geolokacijah, ki jih določa 152. člen ZEKom-1. Omenjena določba ZEKom-1 zavezuje operaterje elektronskih komunikacijskih storitev.

Kadar ne gre za upravljavca, ki bi ga zavezovale določbe ZEKom-1 oziroma določbe druge specialne zakonodaje, mora odločitev o pravnih podlagah za obdelavo podatka o geolokacijah upravljavec sprejeti glede na določbe GDPR, ob upoštevanju konkretnega konteksta in namenov obdelave takih podatkov ter tveganj za pravice posameznikov ob obdelavi podatkov o njihovih geolokacijah, ki so lahko precejšnja. V odsotnosti izrecne privolitve posameznika bi lahko ustrezno pravno podlago lahko predstavljali tudi zakoniti interesi upravljavca. IP poudarja, da je pri tem potrebno zadostiti testu tehtanja med zakonitim interesom upravljavca na eni in posegom v interese oziroma temeljne pravice in svoboščine posameznika na drugi strani. Takšno tehtanje mora izvesti upravljavec.

V vsakem primeru pa mora upravljavec upoštevati temeljna načela obdelave osebnih podatkov, med drugim načelo sorazmernosti, zaradi česar je treba v zvezi z obdelavo geolokacij posameznikov izbirati rešitve, ki najmanj posegajo v pravice posameznikov, ob upoštevanju namena, ki ga upravljavec zasleduje. IP meni, da se invazivni ukrepi, kot je “sledenje” posameznikom za določen namen (tj. obdelava zgodovinskih ne-anonimiziranih lokacijskih podatkov), lahko štejejo za sorazmerne le v izjemnih okoliščinah in če so zagotovljene močne varovalke za pravice posameznika (sorazmernost obdelave glede na trajanje in obseg, omejitev roka hrambe podatkov in omejitev namena obdelave). Ne glede na pravno podlago mora biti posameznik o obdelavi osebnih podatkov ustrezno obveščen, skladno s členi 12, 13 in 14 GDPR.

* * * * *

V odvetniški družbi aktivno spremljamo dogajanje, povezano s COVID-19. Kot doslej, smo vam na voljo po elektronski pošti  ali telefonu 012445500, seveda pa so vam na voljo tudi odvetniki, s katerimi vsakodnevno sodelujete.

Odvetniška družba Kavčič, Bračun in partnerji, o.p., d.o.o.

Ljubljana, dne 6.4.2020

 

Vljudno opozarjamo, da odgovori na posamezna vprašanja predstavljajo povzetke mnenj in stališč slovenskega IP in ne stališč odvetniške pisarne KBP. Odgovori so pripravljeni zgolj v splošno informacijo in niso nadomestilo za pravno svetovanje. KBP ne jamči za točnost informacij in ne prevzema odgovornosti za kakršnokoli škodo oziroma stroške v povezavi z vašo morebitno uporabo v tem dokumentu navedenih informacij ali zanašanje nanje.