Защитата на данните и COVID-19

Ирландският надзорен орган излезе с отговори на често задавани въпроси от работодатели и служители

Ирландската комисия за защита на данните DPC публикува съвети за обработката на лични данни по време на епидемията от коронавирус. Ето някои съвети от публикацията: правителствата, както и публичните, частните и доброволческите организации предприемат необходимите стъпки за ограничаване на разпространението и смекчаване на ефектите на COVID-19, широко наричан „коронавирус“. Много от тези стъпки ще включват обработка на лични данни (като име, адрес, работно място, данни за пътуване) на лица, включително в много случаи чувствителни лични данни от „специална категория“ (например данни, свързани със здравето).

Организациите също трябва да имат предвид следните задължения.

Законност

Съществуват редица правни основи за обработка на лични данни съгласно член 6 от GDPR и условия, позволяващи обработването на специални категории лични данни, като например здравни данни, съгласно член 9, които могат да бъдат приложими в този контекст. Важно е да бъдат предприети подходящи предпазни мерки. Такива предпазни мерки могат да включват ограничаване на достъпа до данните, строги срокове за заличаване и други мерки, като подходящо обучение на персонала за защита правата на лицата за защита на данните.

Работодателите обработват лични данни, включително здравни, когато това се счете за необходимо и пропорционално. Всякакви данни, които се обработват, трябва да бъдат поверителни, т.е. всякаква комуникация с персонала за евентуалното наличие на коронавирус на работното място не трябва да идентифицира отделни служители.

Допустимо е също да се обработват лични данни за защита на жизнените интереси на отделен субект на данни или други лица, когато е необходимо. Здравните данни на дадено лице могат да бъдат обработвани в това отношение, когато физически или юридически не могат да дадат своето съгласие. Това обикновено се прилага само в извънредни ситуации, когато не може да бъде идентифицирано друго правно основание.

Прозрачност

Организациите, които обработват лични данни, трябва да бъдат прозрачни по отношение на мерките, които прилагат в този контекст, включително целта на събирането на личните данни и колко дълго ще се съхраняват . Те трябва да предоставят на хората информация относно обработката на личните им данни във формат, който е кратък, лесно достъпен, лесен за разбиране и на ясен и разбираем език.

Поверителност

Всяка обработка на данни в контекста на предотвратяване на разпространението на COVID-19 трябва да се извършва по начин, който гарантира сигурността на данните, по-специално когато става въпрос за здравни данни. Самоличността на засегнатите лица не трябва да се разкрива на трети страни или на техните колеги без ясна обосновка.

Минимизиране на данни

Както при всяка обработка на данни, само минимално необходимото количество данни трябва да се обработва, за да се постигне целта на прилагането на мерки за предотвратяване или ограничаване на разпространението на COVID-19.

Отговорност

Администраторите трябва да гарантират, че документират всеки процес на вземане на решение относно мерките, приложени за управление на COVID-19, които включват обработка на лични данни.

Често задавани въпроси:

Може ли работодател да изиска от целия персонал и посетителите на сградата да попълнят въпросник, изискващ информация за тяхната неотдавнашна история на пътуванията за страни, засегнати от вируса, и медицинска информация като например симптоми на треска, висока температура и т.н.?

Работодателите имат правно задължение да защитават здравето на своите служители и да поддържат безопасно място на работа. В тази връзка и при настоящите обстоятелства работодателите биха били оправдани да помолят служителите и посетителите да ги информират дали са посетили засегнат район и / или имат симптоми.

Прилагането на по-строги изисквания, като въпросник, би трябвало да има категорична обосновка, основана на необходимостта и пропорционалността и на оценката на риска. Това трябва да вземе предвид специфичните организационни фактори, като например служебните пътувания на служителите, присъствието на уязвими лица на работното място и всички указания или насоки на органите на общественото здравеопазване.

Няма да има последици за защитата на данните, ако от персонала и посетителите наскоро са пътували до засегнат район и / или имат симптоми.

Може ли работодател да поиска по-конкретни подробности за заболяването на служителя си във връзка с COVID-19?

Въпреки че работодателите имат правно задължение да защитават здравето на своите служители, служителите имат задължение да полагат разумни грижи, за да защитят своето здраве и здравето на всяко друго лице на работното място. В тази връзка работодателите биха били оправдани да изискват от служителите да ги информират, ако имат медицинска диагноза COVID-19, за да се предприемат необходимите стъпки.

Важно е обаче да се има предвид, че записването на всяка здравна информация трябва да бъде обосновано и трябва да бъде ограничено до необходимото.

Работодателите трябва да следват съветите и указанията на органите за обществено здраве, които могат да изискват разкриването на лични данни от обществен интерес, за защита от сериозни заплахи за общественото здраве.

Служителите трябва да следват съветите на своите лекари и обществените здравни органи при тези обстоятелства, които ще ги инструктират какво трябва да направят, ако имат симптоми на COVID-19.

Може ли работодател да изпрати служители по домовете им, ако бъде потвърдено, че имат вируса?

Задължението на работодателите да се грижат за служителите и да осигуряват безопасно място на работа може да включва преценка относно достъпа до помещения. В ситуация, в която служител е потвърдил, че има COVID-19, трябва спешно да се потърси съвет от органите на общественото здравеопазване какви стъпки трябва да се предприемат.

Решението да изпратят служители от работа вкъщи не е въпрос на защита на данните и може да има други последици за работодателите, свързани с трудовото законодателство, например правото на заплащане на болнични.

Може ли работодател да разкрие, че служител има вируса на колегите му?

Това трябва да се избягва, за да се запази поверителността на личните данни на служителя. Например, работодателят би бил оправдан да информира персонала, че е имало случай или подозиран случай на COVID 19 в организацията и да поиска от тях да работят от вкъщи. Тази комуникация не трябва да назовава засегнатото лице. Разкриването на тази информация може да се изисква от органите на общественото здравеопазване, за да изпълняват функциите си.

 

Можете да споделите: