Nadzorno telo u Srbiji za zaštitu podataka o ličnosti – Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti – nije izdao smernice o obradi podataka o ličnosti na radnom mestu tokom epidemije koronavirusa. Poslodavcima u Srbiji, koji žele da znaju granice dozvoljene obrade podataka u trenutnim okolnostima, ostaje da sami utvrde ograničenja.
Budući da srpski Zakon o zaštiti podataka o ličnosti (2018) (“ZZPL“) gotovo doslovno transponuje principe i pravila sadržana u GDPR-u, poslodavci bi dobro učinili ako bi konsultovali smernice koje su izdala nadzorna tela za zaštitu podataka o ličnosti u državama članicama EU. Međutim, takav pristup bi mogao biti previše zahtevan. Osim toga, kako su pokazale uporedne analize, države članice EU ne tumače GDPR, u ovom aspektu, na isti način: neke imaju restriktivniji ili permisivniji pristup od drugih.
Ispod je lista najznačajnijih pitanja i odgovora vezanih za obradu podataka o ličnosti na radnom mestu u Srbiji, uz uzimanje u obzir toga kako su države članice EU protumačile odredbe GDPR-a ekvivalentne odredbama ZZPL.
1. Da li izuzetnost trenutne situacije omogućava poslodavcima da, kada je u pitanju obrada informacija u vezi sa COVID-19, zanemaruju propise u oblasti zaštite podataka o ličnosti?
Ne. Zakonodavstvo o zaštiti podataka o ličnosti, koji ima za cilj zaštitu osnovnog prava, u potpunosti se primenjuje na trenutnu situaciju. Stoga, čak i u ovim izuzetnim vremenima, rukovaoci podacima moraju osigurati zaštitu podataka o ličnosti lica na koja se podaci odnose.
U svakom slučaju, srpski ZZPL sadrži neophodne zaštitne mere i pravila kako bi se legitimno omogućila obrada podataka o ličnosti u situacijama kao što je trenutna, a u kojima postoji opšta opasnost za zdravlje.
2. Koje vrste ličnih podataka će poslodavci verovatno obrađivati u kontekstu epidemije koronavirusa?
- Kontakt zaposlenih sa zaraženim osobama ili putovanje u rizične zone, što prema ZZPL ne bi spadalo u posebne vrste podataka o ličnosti (“osetljive” podatke).
- Da li je neki zaposleni zaražen koronavirusom, što predstavlja zdravstvene podatke i smatra se posebnom vrstom podataka o ličnosti u skladu sa čl. 17 ZZPL.
- Zaposleni koji su u karantinu. Nije sasvim jasno da li ova vrsta informacija predstavlja podatke koji se tiču zdravlja. Prema izjašnjenjima nadzornih tela za zaštitu podataka u skandinavskim zemljama, informacija da je neko u karantinu nije zdravstveni podatak o ličnosti, osim ako sadrži detaljnije informacije o razlogu.
3. Na osnovu kojih pravnih osnova poslodavci mogu da obrađuju gorenavedene vrste podataka o ličnosti?
Iako svaki slučaj zahteva analizu konkretne situacije, pravni osnovi za obradu podataka koji ne spadaju o osetljive bi verovatno bili članovi 12(3) (poštovanje pravnih obaveza rukovaoca, kao što je sprečavanje profesionalnog rizika zaposlenih), 12(4) (zaštita životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica) i 12(6) (legitimni interesi poslodavca ili trećih lica (uključujući ostale zaposlene)) Zakona o zaštiti podataka o ličnosti.
Ne mogu se svi ovi osnovi koristiti za obradu zdravstvenih podataka. Na primer, nadzorna tela za zaštitu podataka o ličnosti u EU nisu uvrstila legitiman interes među osnove koji čine obradu zdravstvenih informacija zakonitom.
Obrada zdravstvenih podataka zahteva, pored jednog od generalno važećih pravnih osnova za obradu podataka o ličnosti, primenjivost bar jednog od zakonskih izuzetaka od opšte zabrane obrade osetljivih podataka. U konkretnom slučaju, izuzetak koji se može koristiti je izvršenje obaveza ili primena zakonom propisanih ovlašćenja u oblasti rada, socijalnog osiguranja i socijalne zaštite (član 17(2)(2) ZZPL).
Nije jasno da li ZZPL, posmatran zajedno sa zakonima u oblasti zdravstva u Srbiji, omogućava poslodavcima da se oslone na čl. 17(2)(7) (ostvarivanje značajnog javnog interesa) ili čl. 17 (2) (9) (ostvarivanje javnog interesa u oblasti javnog zdravlja). Zapravo, čini se da je negativan odgovor verovatniji od pozitivnog, ali stvar je komplikovana i Poverenikovo pojašnjenje bilo bi naročito dobrodošlo.
4. Mogu li poslodavci da na sistematski i generalizovan način prikupljaju informacije čiji je cilj otkrivanje mogućih simptoma koronavirusa kod zaposlenih i/ili posetilaca?
Ne, ako bi srpski Poverenik sledio vođstvo nadzornih tela za zaštitu podataka o ličnosti u državama članicama EU. Takvo postupanje poslodavaca bi se u većini slučajeva smatralo nesrazmernim i protivnim principu minimizacije podataka (čl. 5, st. 2 i 3 ZZPL). Poslodavci bi trebalo da se suzdrže od stvari kao što su:
- svakodnevno merenje telesne temperature zaposlenih ili zahtevanje da popune medicinske formulare o svom zdravlju, kontaktu sa zaraženim osobama ili poseti rizičnim zemljama; ili
- zahtevanje od posetilaca ili drugih spoljnih lica da potpišu unapred utvrđenu izjavu koja potvrđuje da nemaju simptome koronavirusa, da nisu putovali u rizične zone, itd.
Može se braniti stav da poslodavci mogu zatražiti od zaposlenih da ih obaveste o tome da li su bili u kontaktu sa zaraženim osobama ili posetili rizične zemlje. Ovaj pristup bi trebalo da pomogne minimizaciji podataka koje poslodavci treba da prikupe.
Nije jasno da li poslodavci mogu pitati konkretnog zaposlenog da li ima simptome. Neka nadzorna tela za zaštitu podataka o ličnosti zauzela su restriktivni stav, po kom poslodavac ne može pitati zaposlenog o prirodi i uzroku njegovog zdravstvenog stanja. U tom slučaju, poslodavac bi mogao samo naložiti očigledno bolesnom radniku da ode kod lekara na pregled; naknadno poslodavac ne bi mogao tražiti ni od zaposlenog ni od lekara da poslodavcu otkriju detalje zdravstvenog stanja.
5. Ako je poslodavac obavešten da je neki od njegovih zaposlenih zaražen koronavirusom, treba li o tome obavestiti ostale zaposlene?
Informaciju da je neko od zaposlenih pozitivan na koronavirus poslodavac treba da prosledi onim zaposlenima koji su radili sa zaraženim zaposlenim na istom mestu, kako bi efikasno obezbedili njihove sigurne uslove rada i zaštitili njihovo zdravlje na radnom mestu.
6. Da li poslodavci treba da, prilikom saopštavanja gorenavedene informacije zaposlenima, otkriju ime (imena) zaraženog zaposlenog (zaposlenih)?
Kao što je gore navedeno, poslodavci bi trebalo da svoje zaposlene obaveštavaju o postojanju slučajeva COVID-19 u kompaniji. Međutim, u skladu sa principom poverljivosti (čl. 5, st. 6. ZZPL), osim ako je to nužno potrebno, poslodavci bi trebalo da izbegavaju imenovanje konkretnih zaraženih osoba.
7. Da li poslodavci treba da pripreme novo obaveštenje o obradi podataka o ličnosti usled obrade podataka u vezi sa koronavirusom?
Ne nužno. Poslodavci moraju da osiguraju da imaju takvo obaveštenje o obradi podataka o ličnosti koje se može adekvatno primeniti i u odnosu na obradu podataka u vezi sa COVID-19, što uključuje navođenje vrste podataka koji će se obrađivati, svrhe obrade, pravnog osnova i perioda čuvanja podataka.
Poslodavci koji do sada nisu imali takva obaveštenja mogu ili ažurirati postojeća obaveštenja ili pripremiti nova, posebno vezana za obradu u vezi sa koronavirusom.
8. Postoji li nešto što bi poslodavci trebalo da uzmu u obzir u vezi s radom na daljinu?
Obaveza da se uspostave odgovarajuće tehničke, organizacione i kadrovske mere kojima se dostiže odgovarajući nivo bezbednost podataka o ličnosti (član 50. ZZPL) nastavlja da važi u trenutnim okolnostima, gde u mnogim kompanijama većina zaposlenih radi od kuće.
U tom smislu, smernice o zaštiti podataka o ličnosti pri radu na daljinu koje je dao irski organ za zaštitu podataka mogu biti korisne. Da biste pristupili smernicama, kliknite ovde.
9. Da li je verovatno da će rukovaoci podacima koji zbog trenutne situacije nisu u mogućnosti da se strogo pridržavaju svojih obaveza u vezi sa zaštitom podataka o ličnosti (na primer, kada je u pitanju pravovremenost odgovora na zahteve lica na koja se podaci odnose) biti kažnjeni?
Nemoguće je znati kakav će biti stav srpskog Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
U svakom slučaju, bilo bi razumno da se koristi pristup sličan onome koji su najavili irski i britanski organi za zaštitu podataka o ličnosti. Oni su priznali izuzetnost trenutne situacije i predložili (ovde i ovde) da, do izvesne mere, pruže veći stepen fleksibilnosti rukovaocima podacima.