![OBRADA ZDRAVSTVENIH PODATAKA ZAPOSLENIH ZA VREME TRAJANJA COVID - 19 OBRADA ZDRAVSTVENIH PODATAKA ZAPOSLENIH ZA VREME TRAJANJA COVID - 19](https://www.securitysee.com/wp-content/uploads/2020/07/news-feb2018-data-privacykeyred_Cropped-696x463.jpg)
Pandemijska kriza koronavirusa izazvala je turobolentne posledice na globalnom nivou koje se odražavaju kako na zdravstveni, tako lančano i na ekonomski i socijalni aspekt. U cilju smanjivanja negativnih konsekvenci, međunarodne organizacije u sradnji sa nacionalnim akterima preduzele su inicjativu u pogledu zakonksih regulativa, pri čemu se kao najrelevantnija uzima Opšta uredba evropske unije o zaštiti podataka o ličnosti – GDPR, odnosno Zakon o zaštiti podataka o ličnosti / ZZPL, imajući u vidu prirodu i osetljivost podataka i specifičnost situacije u pogledu obrade istih za vreme epidemije.
Budući da je Covid -19 izazvao veliku recesiju na polju ekonomije, da je veliki broj ljudi ostao bez posla, a kompanije i preduzetnici koji su nastavili sa radom, nastavili su u znatno izmenjenim uslovima i drugačijem režimu, pri čemu je rad od kuće postao dominantan način rada zaposlenih.
U cilju postepenog vraćanja poslovanja u pređašnje stanje, veliki broj kompanija nastavlja sa režimom rada iz poslovnih porstorija, pri čemu poslodavci mogu da odluče da li će uvesti obavezno testitanje u cilju utvrđivanja obolelih i time preduzeli mere prevencije i sprčavanje nastanka žarišta u okviru kolektiva i firme, i daljeg širenja virusa. U daljem tekstu biće detaljno prikazano kako se reguliše rad iz poslovnog prostora i rad od kuće kroz prizmu ZZPL.
U vezi sa tim, nameće se nekoliko pitanja važnih sa aspekta rukovaoca, obrađivača i sa aspekta lica čiji se podaci obrađuju:
- da li kompanija može da vrši testiranje na COVID-19 i u tu svrhu obrađuje podatke svojih zaposlenih; koji je pravni osnov poslodavca za testiranje zaposlenih na COVID-19;
- šta poslodavac mora da preduzme pre početka obrade podataka zaposlenih?
- Da li prikupljeni podaci mogu da se otkrivaju trećim licima i pod kojim uslovima?
- Kako obezbediti siguran rad od kuće?
Sagledavajući problematiku Covid19 kroz trenutnu situaciju, sadašnje i moguće konsekvence i zakonodavni okvir, trebalo bi dozvoliti testiranje na Covid 19, i to onim kompanijama čiji proces rada iziskuje veliki broj ljudi na radnim mestima i međusobne interakcije.
Testiranje zaposlenih podrazumeva obradu zdravstvenih podataka, koje ZZPL svrstava u posebne podatke, a koji se obrađuju samo u izuzetnim slčajevima i u ograničenom obimu. Kako bi mogla da vrši testiranje, svaka kompanija, trebalo bi da izvrši procenu osnova za obradu podataka.
Imajući u vidu ZZPL, koji je najjednostavnije rečeno, prevod GDPR regulative, u najvećem broju slučajeva biće osnov za obradu podataka o ličnosti, u ovom slučaju, zdravstvenih podataka koji će se sagledati i obrađivati kroz obaveze rukovaoca shodno članu 12. i članu 17. Obrada posebnih podataka je “neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektiv- nim ugovorom koji propisuje primenu od- govarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose“.
Da bi se pristupilo obradi podataka, neophodno je da, u skladu sa odredbama ZZPL, poslodavac vodi evidencije, jer, kako je već gore napomenuto, zdravstevni podaci predstavljaju posebne podatke u kontekstu testiranja na COVID- 19. Uvek kada se vrši obrada posebnih vrsta podataka o ličnosti u velikom obimu, neophodno je sprovesti procenu uticaja, imajući u vidu da je reč o veoma osetljivim podacima koji zadiru u intimnu sferu pojedinca (posebno ako su rezultati testiranja pozitivni ). Upravo ta procena predstavlja još jednu obavezu poslodavca u kontekstu obrade, shodno čanu 54.ZZPL:
“Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
…
Procena uticaja iz stava 1. ovog člana obavezno se vrši u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) obrade posebnih vrsta podataka o ličnosti iz člana 17. stav 1. i člana 18. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu;
3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri.“
Obrada može da otpočne nakon ispunjavanja navedenih obaveza i poštovanja načela transparentnosti kojim se zaposleni jasno i nedvosmisleno infomriše o svim uslovima i informacijama koje se tiču obrade njegovih ličnih podataka.
Nakon izvršene obrade, nadovezuje se logično pitanje – Da li poslodavac može da otkrije personalne podatke trećim licima? Ukoliko su rezultati testova pozitivni, poslodavac ima pravo da obavesti druge zaposlene u svrhu sprečavanja širenja virusa, a otkrivanje identita može samo ako je to jedini način da se spreči dalje širenje. Takođe može obavestiti nadležne organe za javno zdravlje kako bi se sproveo dalji postupak lečenja.
![pravni osnov obrade sema pravni osnov obrade sema](https://www.securitysee.com/wp-content/uploads/2020/07/Slide1-1030x713-1.jpg)
Obrada podataka o ličnosti zaposlenih za vreme rada od kuće
Usled opšte pandemije, zaposleni su prešli na drugačiji režim rada – rad od kuće, koji zahteva ispunjavanje bezbednosnih uslova kako u pogledu samog procesa rada tako i u pogledu zaštite privatnosti zaposlenih. Poslodavci su dužni da obezbede adekvatne kadrovske, tehničke i organizacione mere prilagođene radnom procesu od kuće, pri čemu se garantuje adekvatan nivo zštite zaposlenih. U tu svrhu navode se preporuke usvojene na evropskom planu, čija primena može biti veoma korisna na domaćem terenu.
1.Postupanje u vezi sa uređajima
- Na svim kompanijskim uređajima – nosačima podataka treba postaviti adekvatnu pristupnu šifru
- U slučaju krađe istih, obezbediti momentalno brisanje svih podataka
2.Postupanje u vezi sa elektronskom poštom
- Kriptozaštita
- Pseudonimizacija
- Provera tačnosti mail adresa na koje se šalje email
3.Postupanje u vezi sa Cloud i mrežnim pristupom
- Korišćenje isključivo kompanijskih servera i mrežnih sistema
- Dosledno pooštovanje procedura
4.Postupanje u vezi sa hrad copy dokumentacijom
- Sva dokumentacija sa osetljivim ličnim podacima u paprnoj formi treba da se odlaže i čuva na sigurnom mestu kako bi se sprečilo nezakonito pristupanje istim
- Vođenje evidencije o hard copy dokumentaciji radi preglednosti