Pandemijska kriza koronavirusa izazvala je turobolentne posledice na globalnom nivou koje se odražavaju kako na zdravstveni, tako lančano i na ekonomski i socijalni aspekt. U cilju smanjivanja negativnih konsekvenci, međunarodne organizacije u sradnji sa nacionalnim akterima preduzele su inicjativu u pogledu zakonksih regulativa, pri čemu se kao najrelevantnija uzima Opšta uredba evropske unije o zaštiti podataka o ličnosti – GDPR, odnosno Zakon o zaštiti podataka o ličnosti / ZZPL, imajući u vidu prirodu i osetljivost podataka i specifičnost situacije u pogledu obrade istih za vreme epidemije.
Budući da je Covid -19 izazvao veliku recesiju na polju ekonomije, da je veliki broj ljudi ostao bez posla, a kompanije i preduzetnici koji su nastavili sa radom, nastavili su u znatno izmenjenim uslovima i drugačijem režimu, pri čemu je rad od kuće postao dominantan način rada zaposlenih.
U cilju postepenog vraćanja poslovanja u pređašnje stanje, veliki broj kompanija nastavlja sa režimom rada iz poslovnih porstorija, pri čemu poslodavci mogu da odluče da li će uvesti obavezno testitanje u cilju utvrđivanja obolelih i time preduzeli mere prevencije i sprčavanje nastanka žarišta u okviru kolektiva i firme, i daljeg širenja virusa. U daljem tekstu biće detaljno prikazano kako se reguliše rad iz poslovnog prostora i rad od kuće kroz prizmu ZZPL.
U vezi sa tim, nameće se nekoliko pitanja važnih sa aspekta rukovaoca, obrađivača i sa aspekta lica čiji se podaci obrađuju:
- da li kompanija može da vrši testiranje na COVID-19 i u tu svrhu obrađuje podatke svojih zaposlenih; koji je pravni osnov poslodavca za testiranje zaposlenih na COVID-19;
- šta poslodavac mora da preduzme pre početka obrade podataka zaposlenih?
- Da li prikupljeni podaci mogu da se otkrivaju trećim licima i pod kojim uslovima?
- Kako obezbediti siguran rad od kuće?
Sagledavajući problematiku Covid19 kroz trenutnu situaciju, sadašnje i moguće konsekvence i zakonodavni okvir, trebalo bi dozvoliti testiranje na Covid 19, i to onim kompanijama čiji proces rada iziskuje veliki broj ljudi na radnim mestima i međusobne interakcije.
Testiranje zaposlenih podrazumeva obradu zdravstvenih podataka, koje ZZPL svrstava u posebne podatke, a koji se obrađuju samo u izuzetnim slčajevima i u ograničenom obimu. Kako bi mogla da vrši testiranje, svaka kompanija, trebalo bi da izvrši procenu osnova za obradu podataka.
Imajući u vidu ZZPL, koji je najjednostavnije rečeno, prevod GDPR regulative, u najvećem broju slučajeva biće osnov za obradu podataka o ličnosti, u ovom slučaju, zdravstvenih podataka koji će se sagledati i obrađivati kroz obaveze rukovaoca shodno članu 12. i članu 17. Obrada posebnih podataka je “neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektiv- nim ugovorom koji propisuje primenu od- govarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose“.
Da bi se pristupilo obradi podataka, neophodno je da, u skladu sa odredbama ZZPL, poslodavac vodi evidencije, jer, kako je već gore napomenuto, zdravstevni podaci predstavljaju posebne podatke u kontekstu testiranja na COVID- 19. Uvek kada se vrši obrada posebnih vrsta podataka o ličnosti u velikom obimu, neophodno je sprovesti procenu uticaja, imajući u vidu da je reč o veoma osetljivim podacima koji zadiru u intimnu sferu pojedinca (posebno ako su rezultati testiranja pozitivni ). Upravo ta procena predstavlja još jednu obavezu poslodavca u kontekstu obrade, shodno čanu 54.ZZPL:
“Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
…
Procena uticaja iz stava 1. ovog člana obavezno se vrši u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) obrade posebnih vrsta podataka o ličnosti iz člana 17. stav 1. i člana 18. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu;
3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri.“
Obrada može da otpočne nakon ispunjavanja navedenih obaveza i poštovanja načela transparentnosti kojim se zaposleni jasno i nedvosmisleno infomriše o svim uslovima i informacijama koje se tiču obrade njegovih ličnih podataka.
Nakon izvršene obrade, nadovezuje se logično pitanje – Da li poslodavac može da otkrije personalne podatke trećim licima? Ukoliko su rezultati testova pozitivni, poslodavac ima pravo da obavesti druge zaposlene u svrhu sprečavanja širenja virusa, a otkrivanje identita može samo ako je to jedini način da se spreči dalje širenje. Takođe može obavestiti nadležne organe za javno zdravlje kako bi se sproveo dalji postupak lečenja.
Obrada podataka o ličnosti zaposlenih za vreme rada od kuće
Usled opšte pandemije, zaposleni su prešli na drugačiji režim rada – rad od kuće, koji zahteva ispunjavanje bezbednosnih uslova kako u pogledu samog procesa rada tako i u pogledu zaštite privatnosti zaposlenih. Poslodavci su dužni da obezbede adekvatne kadrovske, tehničke i organizacione mere prilagođene radnom procesu od kuće, pri čemu se garantuje adekvatan nivo zštite zaposlenih. U tu svrhu navode se preporuke usvojene na evropskom planu, čija primena može biti veoma korisna na domaćem terenu.
1.Postupanje u vezi sa uređajima
- Na svim kompanijskim uređajima – nosačima podataka treba postaviti adekvatnu pristupnu šifru
- U slučaju krađe istih, obezbediti momentalno brisanje svih podataka
2.Postupanje u vezi sa elektronskom poštom
- Kriptozaštita
- Pseudonimizacija
- Provera tačnosti mail adresa na koje se šalje email
3.Postupanje u vezi sa Cloud i mrežnim pristupom
- Korišćenje isključivo kompanijskih servera i mrežnih sistema
- Dosledno pooštovanje procedura
4.Postupanje u vezi sa hrad copy dokumentacijom
- Sva dokumentacija sa osetljivim ličnim podacima u paprnoj formi treba da se odlaže i čuva na sigurnom mestu kako bi se sprečilo nezakonito pristupanje istim
- Vođenje evidencije o hard copy dokumentaciji radi preglednosti