Какво пише в британските насоки към работодателите за тестването за коронавирус на служителите?

ICO дава отговорите на често задаваните от въпроси, свързани с правата и задълженията на работодателите и работниците

ICO актуализира рубриката с въпроси и отговори, свързани с правата на работодатели и служители по време на ограниченията във връзка с пандемията от COVID-19. Със заглавие Тестване на работното място – насоки за работодателите, британският надзорен орган за защита на данните разяснява как при проверка дали сред персонала има носители на COVID-19 трябва да се спази законодателството за защита на данните и точно кои са нормативните основания, които могат да се цитират.

Ето и някои от въпросите и отговорите:

„Как мога да покажа, че подходът ни за тестване е съобразен със закона за защита на данните? 

За да покажете, че вашата обработка на данните от тестването е съвместима със законодателството, ще трябва да използвате принципа на отчетност. Така се спазва GDPR и се демонстрира съответствие и към допълнителните изисквания за документиране при обработка на чувствителни данни.  Един от начините за демонстриране на отчетност е чрез оценка на въздействието върху защитата  на  данните  (DPIA).

Ако вашата организация ще предприеме тестване и обработка на здравна информация, тогава трябва да проведете DPIA, фокусирайки се върху новите области на риск.

Този DPIA трябва да определя:

  • предлаганата дейност;
  • рисковете за защита на данните;
  • дали предложената дейност е необходима и пропорционална;
  • смекчаващи действия, които могат да бъдат предприети за противодействие на рисковете; и
  • план или потвърждение, че смекчаването е било ефективно.

DPIA са проектирани да бъдат гъвкави, според случая“, пише в текста на надзорния орган.  Службата на комисаря за защита на данните ICO е изготвила шаблон, който организациите могат да използват, за да им помогнат да се съсредоточат върху минималните изисквания. Важен момент е, че първоначалната оценка трябва редовно да се преглежда и актуализира. Това е особено важно в бързо развиваща се кризисна ситуация, тъй като се появяват нови рискове и ползи.

Как да гарантирам, че не събирам прекалено много данни? 

За данните от специална категория, като например здравни данни, е особено важно само да събирате и запазвате минималния обем информация, който ви е необходим, за да изпълните своята цел.

За да не събирате твърде много данни, трябва да сте сигурни, че:

те са адекватни – достатъчно, за да се изпълни правилно  поставената цел;

са уместни – има рационална връзка с тази цел; и

ограничени до необходимото – не са повече от необходимото.

В контекста на резултатите от тестовете трябва да се уверите, че не събирате ненужна или прекомерна информация от хората. Например, вероятно ще ви е необходима само информация за резултата от теста, а не допълнителни подробности за основните условия. Помислете кои опции за тестване са налични, за да сте сигурни, че събирате само резултати, които са необходими и пропорционални. Като работодател трябва да можете да покажете причината за тестване на хора или получаване на резултатите от тестовете.

Законът за защита на данните също изисква всички лични данни, които притежавате, да са точни. Трябва да запишете датата на резултатите от тестовете, тъй като здравословното състояние на хората може да се промени с времето и резултатът от теста може да не е вече валиден.

Мога ли да поддържам списъци с служители, които или имат симптоми, или са били тествани като положителни?

Да. Ако трябва да събирате конкретни здравни данни за служителите, трябва да се уверите, че използването на данните в действителност е необходимо и подходящо за вашата заявена цел. Трябва също така да гарантирате, че обработката на данни е защитена и да обмислите всяко задължение за поверителност, дължимо на служителите.

Като работодател трябва също така да гарантирате, че такива списъци не водят до нечестно или вредно отношение към служителите. Например, това може да се дължи на неточна информация, която се записва, или заради промяна на здравословното състояние на индивида във времето. Също така не би било честно да използвате или запазвате събраната от вас информация за броя на персонала, съобщили за симптоми на COVID-19, за други цели.

Какво трябва да кажа на моя персонал?

Прозрачността е много важна. Работодателите трябва да са ясни, отворени и честни със служителите от самото начало как и защо искат да използват личните им данни. Това е изключително важно при обработката на здравна информация. Ако тествате служители за COVID-19 или проверявате за симптоми, трябва да сте наясно какви решения ще вземете с тази информация.

Където е възможно, трябва да имате ясна и достъпна информация за поверителност на служителите, преди да започне обработка на здравни данни. Признаваме обаче, че в този изключителен период може да не е възможно да се предостави подробна информация.

Преди да извършите каквито и да било тестове, най-малкото трябва да уведомите служителите си какви лични данни се изискват, за какво ще се използват и с кого ще ги споделяте. Трябва също така да им уведомите колко дълго възнамерявате да съхранявате данните. Също така би било полезно да предоставите на служителите възможност да обсъдят събирането на такива данни, ако имат някакви притеснения.

Мога ли да споделя факта, че някой е дал положителен резултат на теста с останалите служители? А при разкриване на тази информация на трети страни? 

Трябва да информирате персонала за потенциални или потвърдени случаи на COVID-19 сред своите колеги. Въпреки това, трябва да избягвате да назовавате хора, ако е възможно, и не трябва да предоставяте повече информация, отколкото е необходимо.

Като работодател е ваше задължение да осигурите здравето и безопасността на всичките си служители. Защитата на данните не ви пречи да правите това и не трябва да се разглежда като пречка за споделянето на данни с органите за обществено здравеопазване или с полицията, когато е необходимо и пропорционално“, пише в указанията на ICO. Ето и отговорите на надзорния орган на въпроса как да се спази изискването за предоставяне на информация на служителите: За да могат лицата да упражняват правата си, те трябва да разберат какви лични данни притежавате и за какво ги използвате. По този начин прозрачността е от решаващо значение и трябва да уведомите служителите си как ще използвате техните данни по начин, който е достъпен и лесен за разбиране.

Трябва също така да гарантирате, че персоналът може да упражнява правата си за информация. Надзорния орган дава и примери за внедряване на  процеси или системи, които ще помогнат на служителите да упражняват правата си по време на кризата COVID-19 – защитени портали или системи за самообслужване, които позволяват на персонала да управлява и актуализира личните си данни, когато е необходимо. Това може също така да позволи на физическите лица да упражняват други права като правото на коригиране или изтриване на техните данни. Където това не е възможно, трябва да сте сигурни, че са въведени основни политики и процедури, за да може данните за служителите да бъдат лесно достъпни, когато е необходимо. 

Някои служители вече имат резултатите от тестовете, които са си подредили сами. Ако ми разкрият тези резултати, какви са съображенията за защита на данните? 

За всички резултати от тестове, които доброволно са ви разкрити, като работодател трябва да се съобразявате със сигурността на тези данни и да имате предвид задължението за поверителност, дължимо на тези лица, които са предоставили резултати от теста.

Вашият фокус трябва да се съсредоточи върху това дали използването на данните е необходимо и уместно, и да не събирате и не споделяте неподходящи или прекомерни данни пред органите, ако това не се изисква.

Може ли да се извършват проверки на температурата или да се използват термокамери като част от тестването или за текущ мониторинг на персонала?

Всяко наблюдение на служителите трябва да бъде необходимо и пропорционално и в съответствие с техните разумни очаквания. Отново, прозрачността е ключова.

Трябва също да помислите дали можете да постигнете същите резултати чрез други, по-малко натрапчиви средства за поверителност. Ако е така, мониторингът може да не се счита за пропорционален.

Двете служби  – за надзора на данните и за камерите за наблюдение (SCC) са разработили шаблона на SCC DPIA, което е специален за системите за наблюдение.