Naujienos

Covid-19 krizė: Asmens duomenų apsauga

Covid-19 krizė: Lietuva

Paskelbus koronaviruso (COVID-19) pandemiją, dažnam darbdaviui ar kitam duomenų valdytojui kyla klausimas, ar, siekiant sukurti saugias darbo sąlygas darbuotojams, galima reikalauti iš savo darbuotojų ar lankytojų pateikti informaciją, kuri leistų įvertinti rizikos faktorius, susijusius su galimu asmens užsikrėtimu koronavirusu ir ar tokios informacijos pareikalavimas yra suderinamas su Bendrajame duomenų apsaugos reglamente (toliau – BDAR) numatytu reglamentavimu.

Siekiant įvesti tam tikrą teisinį aiškumą, Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) pateikė duomenų sąrašą, kuriuo remiantis darbdaviai arba kiti duomenų valdytojai gali tvarkyti duomenis susijusius su informacija,

(i)                  ar asmuo buvo išvykęs į „rizikos valstybę“;

(ii)                 ar asmuo kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu koronavirusu;

(iii)                ar asmuo yra namuose dėl karantino (nenurodant priežasties) ir karantino laikotarpis;

(iv)                ar asmuo serga (nenurodant konkrečios ligos ar kitokios priežasties).

Be kita ko, darbdavys ar kitas duomenų valdytojas taip pat turi teisę teirautis savo darbuotojų ar lankytojų apie tai, ar jiems pasireiškė koronaviruso simptomai ir ar yra nustatyta koronaviruso diagnozė. Galimybė teirautis tokios
informacijos yra sudaryta dėl to, jog ši informacija yra itin svarbi vertinant,
ar reikalinga imtis papildomų apsaugos priemonių, pvz. įpareigoti kartu
dirbusius ar su sergančiu (turinčiu simptomus) asmeniu kontaktavusius darbuotojus laikytis karantino, sudaryti sąlygas nuotoliniam darbui ar sveikatos tikrinimui ir pan. Tačiau VDAI pabrėžia, kad teisė gauti minėtą informaciją nereiškia, kad darbdaviai ar kiti duomenų valdytojai gali gautą informaciją dokumentuoti ar sudaryti atitinkamas duomenų rinkmenas.

Svarbu atkreipti dėmesį, jog šiuo atveju darbdavys ar kitas duomenų valdytojas įgyja itin jautrią informaciją apie asmenį ir jo sveikatos būklę. Todėl yra patartina vengti minėti koronavirusu susirgusiųjų (arba įtariamų dėl susirgimo) asmenų vardus ir pavardes nesant tam pagrįsto bei objektyviai įvertinto pagrindo, siekiant apsaugoti tokių asmenų teises ir teisėtus interesus.

Taip pat yra sudaroma galimybė tvarkyti tokius su darbuotoju susijusius asmens duomenis kaip darbo nuotoliniu būdu pasirinkimo faktas ir kiti darbuotojo darbui taikomi apribojimai. Ši teisė yra tiesiogiai išvedama iš darbdavio teisinės prievolės (BDAR 6 str. 1 d. c p.), kuri kyla remiantis Darbuotojų saugos ir sveikatos įstatyme numatytu reglamentavimu, susijusiu su darbdavio pareiga užtikrinti saugias darbo sąlygas savo darbuotojams, taip pat iš BDAR kylančia būtinybe apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus (BDAR 6 str. 1 d. d p.). 

Svarbu paminėti, jog tuo atveju, jeigu darbuotojas pasirenka dirbti nuotoliniu būdu ir yra būtinybė stebėti darbuotojo elektroninę komunikaciją, darbuotojui dirbant nuotoliniu būdu, informacija apie darbo priemonių stebėjimą darbuotojui turėtų būti pateikiama nuotolinio darbo taisyklėse dėl darbo vietos reikalavimų arba kitose panašaus pobūdžio tvarkose.

Nepaisant pakankamai plačių darbdavio ar kito duomenų valdytojo teisių, visgi pastariesiems yra numatyti ir tam tikri ribojimai. Darbdavys ar kitas duomenų
valdytojas negali reikalauti darbuotojų ar lankytojų pateikti jų temperatūros rodmenų, medicininių pažymų, prašyti pildyti tokio pobūdžio klausimynus ar kt., kadangi tai negali būti laikoma darbdavio ar kito asmens valdytojo pareiga. Taip pat tais atvejais, kai yra nustatytos visuotinės priemonės esamai situacijai
valdyti, pavyzdžiui, komandiruočių ir susitikimų ribojimas, renginių atšaukimas, tam tikrų higienos reikalavimų užtikrinimas, duomenų valdytojai neturėtų dėl to pažeisti savo darbuotojų ar kitų duomenų subjektų teisės į asmens duomenų apsaugą, pavyzdžiui, neturėtų reikalauti pateikti asmens duomenis, nebūtinus nustatytos tvarkos vykdymui užtikrinti.

Vadovaujantis BDAR 17 str. nuostata matyti, jog duomenų subjektui yra eliminuojama teisė pareikalauti ištrinti duomenis („teisė būti pamirštam“), kurie būtų susiję su aukščiau paminėtais duomenimis, kuriuos turi teisę gauti darbdavys arba kitas duomenų tvarkytojas. Ši išvada daroma atsižvelgiant į tai, jog BDAR 17 str. 3 d. c p. apriboja duomenų subjekto teisę pareikalauti ištinti duomenis („teisė būti pamirštam“), kai tai yra susiję su viešojo intereso priežastimis visuomenės sveikatos srityje. Šis reglamentavimas leidžia daryti išvadą, jog būtent tokiais atvejais, kuris yra susiklostęs šiuo metu, šios teisės apribojimas yra susijęs su visuomenės interesu bei leidžia tinkamai apsaugoti kitų asmenų sveikatą bei gerovę.

Visgi, net ir esant pandeminei situacijai asmens duomenų apsauga veikia ir jos pamiršti nevalia. Todėl bet kokie darbdavių ar kitų duomenų valdytojų tvarkomi asmens duomenys valstybės institucijoms visuomenės sveikatos užtikrinimo tikslu turi būti teikiami laikantis BDAR reikalavimų. Pažymėtina ir tai, jog prašymai pateikti asmens duomenis turi būti vertinami atskirai kiekvienu konkrečiu atveju.

 

VIETOS NUSTATYMO DUOMENŲ TVARKYMAS

Kai kuriose Europos Sąjungos valstybėse narėse šiuo metu yra numatytas elektroninių ryšių vietos nustatymo duomenų panaudojimas, siekiant kontroliuoti, stebėti, sulaikyti ar sušvelninti COVID-19 plitimą. Šių duomenų svarbumas pasireiškia tuo, jog sudaro galimybę nustatyti ne tik esamą asmens buvimo vietą, tačiau ir ankščiau lankytas vietas, o tai ypač aktualu COVID-19 plitimo kontroliavimo kontekste. Taip pat tokie duomenys sudaro galimybę siųsti visuomenės sveikatos pranešimus konkrečioje vietoje esantiems asmenims pranešant apie svarbius atitinkamoje vietovėje su visuomenės sveikatos klausimais susijusius pranešimus.

Analizuojant šio pobūdžio duomenų tvarkymą Lietuvos Respublikoje yra svarbu paminėti, kad privalomai turi būti laikomasi Lietuvos Respublikos elektroninių ryšių įstatyme (toliau – ERĮ) nustatytų reikalavimų.

Pirmiausia paminėtina, jog vietos nustatymo duomenys gali būti tvarkomi tik tada, kai jie yra anonimiški (iš jų nėra galima iš naujo nustatyti asmenų tapatybės) arba gavus asmens sutikimą (ERĮ 61 ir 68 straipsniai). Anoniminiai duomenys gali būti naudojami ataskaitoms apie mobiliųjų įrenginių koncentraciją tam tikroje vietoje („kartografija“). Pažymėtina, kad asmens duomenų apsaugos taisyklės nėra taikomos duomenims, kurie yra anoniminiai.

2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), kurios nuostatas įgyvendina ERĮ, papildomai leidžia Europos Sąjungos valstybėms narėms patvirtinti teisines priemones, kuriomis siekiama apsaugoti visuomenės saugumą. Tačiau atkreiptinas dėmesys, kad tai turi būti daroma atitinkamomis teisinėmis priemonėmis ir tik tuo atveju, jeigu tai demokratinėje visuomenėje yra būtina, tinkama ir proporcinga priemonė. Šios priemonės turi atitikti Europos Sąjungos pagrindinių teisių chartiją ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją bei Europos Sąjungos Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką. Jei tokios priemonės įvedamos, valstybė narė privalo nustatyti tinkamas apsaugos priemones, įskaitant galimybę asmeniui kreiptis į teismą dėl tokio duomenų tvarkymo.

 

 

 

Advokatų profesinė bendrija „Deloitte Legal“, jos darbuotojai ar atstovai nėra atsakingi už www.deloittelegal.lt pateiktą informaciją ir konsultacijas, t. y. patarimai neturėtų būti vertinami kaip profesionali teisinė konsultacija ar paslauga. Prieš priimdami sprendimą ir imdamiesi bet kokių veiksmų, galinčių paveikti Jūsų finansinę būklę ar veiklą, pasikonsultuokite su kvalifikuotu profesionaliu teisės patarėju individualiai.

Ar ši informacija Jums buvo naudinga?