Kuo ji aktuali šiuo laiku? Darbdaviai turi pareigą užtikrinti saugią ir sveiką darbuotojų darbo aplinką, o kartu – verslas privalo imtis visų savo galioje esančių veiksmų, kad ši ypatinga situacija būtų kuo greičiau suvaldyta ir viskas grįžtų į savo vėžes. Tuo tikslu, neapsieiname be asmens duomenų rinkimo (kur darbuotojas keliavo žiemos atostogų metu, ar yra sveikas ir neturi viruso požymių ir pan.). Be to, kur dar klausimai dėl asmens duomenų rinkimo ir naudojimo, darbuotojui dirbant nuotoliniu būdu.
Trumpai apie tai kviečiu skaityti žemiau.
Europos reglamentavimas
ES Bendrojo duomenų apsaugos reglamento (BDAR) nuostatos leidžia numanyti, kad rengdami BDAR tekstą, jo autoriai ruošėsi ir apsvarstė tokią situaciją, kuri klostosi šiuo metu, ir BDAR reglamentavimą formavo taip, kad jis būtų joms pritaikytas. BDAR 9 str. draudžia tvarkyti specialiųjų kategorijų asmens duomenis, įskaitant ir duomenis apie asmens sveikatos būklę, neturint asmens sutikimo, išskyrus specifinius konkrečiai apibrėžtus atvejus, pavyzdžiui, kuomet reikia apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, kai duomenų subjektas yra fiziškai ar teisiškai nepajėgus duoti sutikimo, taip pat dėl svarbių visuomenės interesų, profilaktinės ar profesinės medicinos tikslais, medicininės diagnozės, sveikatos ar socialinės priežiūros ar gydymo teikimo tikslais, dėl visuomenės interesų visuomenės sveikatos srityje, pavyzdžiui, apsisaugoti nuo rimtų tarpvalstybinių grėsmių sveikatai ir pan.
Apibrėžiant asmens duomenų tvarkymo pagrindus, BDAR preambulės 46 p. pažymima, kad kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais. Remiantis minėtu BDAR preambulės 46 p., asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Minėtoje nuostatoje siūloma „gyvybiškai svarbaus intereso“ išimtį aiškinti siaurai ir teigti, kad asmens duomenų tvarkymas, pagrįstas kito fizinio asmens gyvybiniais interesais, iš principo turėtų vykti tik tada, kai tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu.
Lietuvos reglamentavimas
Nors Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas specifiškai nereglamentuoja asmens duomenų tvarkymo tokioje situacijoje, tačiau pagrindus tokiam tvarkymui sudaro kituose Lietuvos Respublikos teisės aktuose įtvirtintos nuostatos. Remiantis Darbo kodeksu bei Darbuotojų saugos ir sveikatos įstatymu, darbdavio pareiga yra sudaryti darbuotojams saugias ir sveikatai nekenksmingas darbo sąlygas visais su darbu susijusiais aspektais, įskaitant ir viruso, tokio kaip COVID-19, prevenciją. Todėl, kaip minėta, darbdavys privalo užtikrinti, kad laikytųsi izoliacijos tie darbuotojai, kurie yra grįžę iš užsienio ir nekeltų pavojaus kitiems. Tad akivaizdu, kad tokiu atveju, darbdaviui ne tik patariama, bet ir privaloma rinkti tam tikrą informaciją, susijusią su jo darbuotojais, kuri neišvengiamai apima ir asmens duomenis.
Kitų šalių praktika
Klausimas, susijęs su asmens duomenų rinkimu ir tvarkymu šios ekstremalios padėties ir karantino atveju, yra pakankamai naujas ir kol kas Lietuvoje reglamentuotas fragmentiškai. Tačiau šalys, kurios yra paveiktos jau kuris laikas, jau yra priėmusios tam tikrų duomenų apsaugą reglamentuojančių teisės aktų ir apribojimų būtent šiomis specifinėmis aplinkybėmis. Kinijoje, kuri su iššūkiais susidūrė pirmoji, kilo nemenkas sąmyšis, kuomet visi asmenys buvo pradėti sekti ir stebėti epidemiologiniais tikslais, įvyko netgi keletas rimtų duomenų saugumo pažeidimų.
Šiuo metu Kinija yra griežtai nurodžiusi visiems asmenims, įstaigoms ir organizacijoms:
- jei įstatymai ir kiti teisės aktai nenustato kitaip, nerinkti ir nenaudoti asmens duomenų be duomenų subjektų sutikimo;
- laikytis būtinumo ir minimalaus rinkimo principų (pavyzdžiui, renkami duomenys turėtų būti teikiami tik tiems, kuriems patvirtinta arba įtariama, kad jie yra COVID-19 viruso nešiotojai, ir tiems, kurie turėjo artimą kontaktą su patvirtintais ar įtariamais viruso nešiotojais);
- asmens duomenų, surinktų siekiant užkirsti kelią ar gydyti epidemijas, nenaudoti jokiems kitiems tikslams;
- jokios asmeninės informacijos, surinktos tokiu tikslu, neviešinti be duomenų subjektų sutikimo, išskyrus atvejus, kai tai būtina siekiant užkirsti kelią epidemijai ir jei informacija yra anonimiška;
- asmenims, renkantiems ir kontroliuojantiems asmens duomenis, turėti griežtas technines ir valdymo priemones, kad būtų išvengta duomenų pažeidimų;
- verslas, turintis didelę duomenų patirtį ir galimybes, raginamas bendradarbiauti su vyriausybe, siekiant naudoti didelius duomenis ligų prevencijai ir kontrolei.
Tuo tarpu Italija neseniai pademonstravo, kad pagrindinės duomenų apsaugos teisės gali būti sustabdytos, kai 2020 m. vasario 3 d. Italijos duomenų apsaugos agentūra priėmė dekretą Nr. 630 kaip skubią kovos su COVID-19 viruso plitimo priemone priemonę. Šis Italijos dekretas suteikia civilinės saugos personalui (vyriausybės organui, kuriam tiesiogiai pavaldus ministras pirmininkas) didelius įgaliojimus tvarkyti duomenis COVID-19 viruso krizės atveju.
Šiuo metu jis galioja iki 2020 m. liepos 30 d., su galimybe pagal poreikį pratęsti. Būtina sąlyga yra tai, kad prieiga prie duomenų yra „būtina civilinės saugos funkcijai atlikti“, o tai labai platus terminas – neaišku, kur ir kiek laiko duomenys saugomi. Be to, Italija uždraudė „pasidaryk pats“ tipo asmens duomenų rinkimą – apribojo darbdavių galimybes rinkti duomenis apie savo darbuotojus. Italijos reguliatorius pareiškė, kad darbdaviai negali iš anksto sistemingai ir apibendrintai rinkti informacijos, įskaitant ir negali reikalauti pateikti pažymų apie sveikatą, gripo požymius ar informacijos apie artimus ryšius bei kontaktus.
Be abejo, Lietuvoje toks griežtas reikalavimas patikėti visos informacijos rinkimą ir tvarkymą išimtinai valstybės institucijoms nebūtų racionalus ir logiškas, o kartu – ir būtų sudėtingas dėl ribotų valdžios resursų. Taip pat ir darbdaviams negali būti draudžiama rinkti tokią informaciją, kadangi Lietuvoje, kaip minėta, teisės aktų reikalavimų pagrindu darbdavys yra įpareigotas užtikrinti darbuotojų saugą ir sveikatą, todėl turi imtis atitinkamų priemonių tokios informacijos rinkimui.
Pagrindinės asmens duomenų apsaugos gairės COVID-19 aplinkoje
Valstybinė duomenų apsaugos inspekcija jau paskelbė savo rekomendacijas šiuo klausimu. Jos glaustos ir aiškios.
Remiantis jomis bei aukščiau minėtomis teisės aktų nuostatomis ir nurodytais kitų šalių pavyzdžiais, renkant ir tvarkant su viruso paplitimu susijusius asmens duomenis, verslui reikėtų laikytis bent šių minimalių duomenų apsaugos gairių: tvarkyti tik tuos duomenis, kurie yra reikalingi darbuotojų saugos ir sveikatos prevencijos tikslais, ir netvarkyti perteklinių duomenų, kaip, pavyzdžiui, reikalauti iš darbuotojų pažymų, patvirtinančių neigiamą COVID-19 viruso diagnozę (duomenų kiekio mažinimo principas). VDAI nurodo, kad bendrovės turi teisę rinkti šią informaciją:
- ar asmuo buvo išvykęs į „rizikos valstybę“ (https://urm.lt/urm-informacija-keliaujantiems);
- ar asmuo kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu COVID-19;
- ar asmuo yra namuose dėl karantino (nenurodant priežasties) ir karantino laikotarpis;
- ar asmuo serga (nenurodant konkrečios ligos ar kitokios priežasties);
- Bendrovės turi teisę teirautis savo darbuotojų ar lankytojų apie tai, ar jiems yra pasireiškusių COVID-19 viruso simptomų, ar yra nustatyta COVID-19 diagnozė. Ši informacija yra svarbi darbdaviui vertinant, ar reikalinga imtis papildomų apsaugos priemonių – įpareigoti kartu dirbusius ar su sergančiu (turinčiu simptomus) asmeniu kontaktavusius darbuotojus laikytis karantino, sudaryti sąlygas nuotoliniam darbui ar sveikatos tikrinimui ir pan. Tačiau darbdaviai neturėtų šios informacijos dokumentuoti;
- Darbdaviai turėtų susilaikyti nuo darbuotojų ar lankytojų temperatūros rodmenų, medicininių pažymų ar kt. rinkimo. Tai negali būti laikoma darbdavio pareiga;
- tinkamai informuoti darbuotojus, kad tam tikru viruso aktyvumo laikotarpiu bus renkama ir tvarkoma papildoma informacija, konkrečiai nurodant informacijos apimtį (skaidrumo principas). Visa informacija, kurią darbuotojui būtina pateikti, yra nurodyta BDAR 13 str.;
- surinktą informaciją naudoti tik su COVID-19 susijusios rizikos mažinimui ir nenaudoti kitais, su šiuo tikslu nesusijusiais tikslais (tikslo apribojimo principas);
- duomenis saugoti tik tokį laikotarpį, kuris yra pagrįstas, ir nesaugoti jų ilgiau, nei būtina (saugojimo trukmės apribojimo principas). Konkrečių įstatymo terminų šiuo atveju nėra, tačiau pagrįstu galėtų būti laikomas 3 mėnesių arba iki ekstremalios padėties valstybėje atšaukimo terminas;
- užtikrinti, kad tik įgalioti darbuotojai galėtų naudotis šiais duomenimis ir kad jie būtų tinkamai saugomi, imantis papildomų priemonių nuo duomenų nutekėjimo dėl neskelbtino duomenų pobūdžio (vientisumo ir konfidencialumo principas). Kadangi minėta informacija yra tiesiogiai susijusi su asmens sveikata ir laikoma neskelbtina, darbdaviai turėtų vengti šių duomenų perdavimo trečiosioms šalims ar kitiems darbuotojams, nebent būtų priimti specialūs šią situaciją reglamentuojantys teisės aktai. Pavyzdžiui, tais atvejais, kai darbdavys sužino, kad tam tikras darbuotojas turi virusą, darbdavys turėtų informuoti kitus darbuotojus apie padidėjusią užkrėtimo riziką ir pateikti rekomendacijas (pvz., išsitirti, imtis didesnių saugumo priemonių, karantinuotis, dirbti nuotoliniu būdu), nenurodant užkrėsto asmens. Darbdavys gali nusiųsti atskirą individualų pranešimą žmonėms, dirbantiems arčiausiai užkrėsto asmens (pvz., dirbančiam tame pačiame kabinete). Bet net ir tokiu atveju rekomenduotina apsiriboti komunikacija be konkrečių vardų (pvz., „Mes nustatėme, kad jūs galite būti padidintos rizikos grupėje, ir primygtinai patariame imtis priemonių, nurodytų šiandienos bendrame pranešime“ ir kt.).
Asmens duomenų apsauga dirbant nuotoliniu būdu
Įmonės taip pat gali tvarkyti tokius su darbuotoju susijusius asmens duomenis kaip darbo nuotoliniu būdu pasirinkimo faktas ir kiti darbuotojo darbui taikomi apribojimai. Šiame kontekste, su duomenų apsauga ir privatumu yra susijęs kitas svarbus klausimas dėl darbuotojo komunikacijos ir darbo priemonių stebėjimo ir kontrolės, darbuotojui dirbant iš namų nuotoliniu būdu.
Nuotolinio darbo būtinybę grindžiant darbdavio vidaus tvarkos pakeitimo privalomumu, Darbuotojų saugos ir sveikatos įstatymo bendromis nuostatomis ir Vyriausybės nutarimu dėl karantino, gali kilti būtinybė imtis priemonių stebėti ir kontroliuoti darbuotojo darbo vietą, kuri sutampa su privačia jo erdve. Todėl darbdavys turėtų imtis atitinkamų priemonių, kad nebūtų pažeistas darbuotojo privatumas.
Vadovaujantis Asmens duomenų teisinės apsaugos įstatymu, tvarkant vaizdo ir (ar) garso duomenis darbo vietoje duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, taip pat tvarkant asmens duomenis, susijusius su darbuotojų elgesio, buvimo vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu pateikiant visą būtiną informaciją, nurodytą BDAR 13 str. 1 ir 2 d. Priklausomai nuo būtinybės stebėti elektroninę komunikaciją, darbuotojui dirbant nuotoliniu būdu, visa informacija apie darbo priemonių stebėjimą darbuotojui turėtų būti pateikiama aukščiau minėtose nuotolinio darbo taisyklėse dėl darbo vietos reikalavimų ar darbo priemonių naudojimo ir aprūpinimo jomis tvarkose (ar bet kokiuose kituose dokumentuose, kuriais nustatomos nuotolinio darbo aplinkybės, tai gali būti ir standartinės vidaus darbo tvarkos taisyklės).
Priklausomai nuo priemonių apimties, reikėtų įvertinti, ar konkrečiu atveju nėra būtina atlikti poveikio duomenų apsaugai vertinimą – primintina, kad, be kita ko, toks vertinimas turi būti atliekamas visais atvejais, kai darbuotojų asmens duomenys yra tvarkomi stebėsenos ar kontrolės tikslais, konkrečiai – kai vykdomas asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, taip pat kai tvarkomi asmens duomenys, susiję su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena.
