COVID-19 keičia BDAR taikymą: visoje ES suteikta teisė rinkti privačius duomenis - ką tai reiškia ir ko galima tikėtis? ()
COVID-19 (koronaviruso) akivaizdoje valstybių vyriausybės ieško būdų užkardyti tolesnį infekcijos plitimą, o darbdaviai nori žinoti tikslią informaciją apie darbuotojų sveikatą ir šios informacijos naudojimo ribas. Kadangi asmens duomenų naudojimą šiems tikslams reglamentuoja ES Bendrasis duomenų apsaugos reglamentas (BDAR), pastarąsias savaites buvo laukiama Europos duomenų apsaugos valdybos (EDAV) išaiškinimo, ar pandemija keičia iki šiol galiojusias nuostatas.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Labiausiai Europos vyriausybes ir verslą domino du klausimai. Buvo laukiama atsakymo, ar galima naudoti mobiliųjų įrenginių vietos duomenis užsikrėtusiųjų maršrutui nustatyti. Ne mažiau dėmesio sulaukė ir klausimas, kokią informaciją apie darbuotojų sveikatą turi teisę rinkti ir skelbti darbdaviai.
Gali rinkti ir neanoniminius duomenis
EDAV pateiktame išaiškinime šalims siūloma pirmiausia naudotis nuasmenintais mobiliųjų įrenginių duomenimis apie buvimo vietą. Tačiau tokie duomenys rodo tik apibendrintą informaciją – pavyzdžiui, kiek procentų žmonių prekybos centre penktadienio vakarą buvo daugiau nei ketvirtadienio. Stabdant COVID-19 plitimą tokie duomenys svarbūs, tačiau jie nepadeda nustatyti, kur lankėsi ir su kuo kontaktavo užsikrėtęs asmuo.
Vis dėlto, jei valstybės šių tikslų negali pasiekti remdamosi vien nuasmenintais duomenimis, nuo šiol joms suteikiama teisė gauti platesnę informaciją, pavyzdžiui, bendradarbiaujant su ryšio operatoriais. Jų turimus duomenis valstybės galėtų pasiekti nustačiusios atitinkamą teisinį reglamentavimą – tą daryti leidžia ePrivatumo direktyva.
Be abejonės, tokios informacijos rinkimui taikomi griežti apribojimai: tą galima daryti tik ribotą laiką ir tik reikalaujant pandemijai suvaldyti būtinų duomenų. Kiekvienam piliečiui turi būti suteikta teisė į teisminę gynybą, jei šis mano, kad duomenų rinkimo ribos buvo peržengtos. Galiausiai, pasiekus keltus tikslus, duomenys privalės būti sunaikinti.
Sekti nesilaikančius saviizoliacijos – neproporcinga
Nors EDAV paskelbti ES reglamentų išaiškinimai privalomi visoms šalims narėms, kiekviena jų yra atsakinga už joje galiojančių taisyklių parengimą ir priemonių naudojimo tikslų nustatymą. Už tai atsakingos vyriausybės arba valstybių ekstremalių situacijų operacijų centrai, turintys numatyti, kokius duomenis ir kam naudos. Svarbu, kad užsibrėžti tikslai neperžengtų EDAV nubrėžtų ribų.
Šiandien Lietuvoje girdime apie saviizoliacijos ar karantino režimo nesilaikančius žmones, tačiau naudoti mobiliųjų įrenginių vietos duomenis siekiant nustatyti šiuos žmones kol kas būtų neproporcinga. Kita vertus, buvimo vietos duomenis būtų galima analizuoti, jei infekuotas žmogus atsisako atskleisti, kur ir kada lankėsi. Tokiu atveju pirmiausia iškeliamas tikslas, pavyzdžiui, perspėti kontaktą galėjusius turėti žmones, ir tik tada renkami duomenys jam pasiekti, o ne atvirkščiai.
Visuomenės interesams užtikrinti užtenka tik asmens buvimo vietos ir maršruto, todėl institucijos yra atsakingos, kad perteklinė informacija apie asmenį nebūtų skleidžiama (vardas pavardė, gyvenamoji vieta, telefono numeris ar pan.).
Už nutekintą informaciją apie sergantį darbuotoją – bauda
EDAV taip pat išaiškino, kad darbdaviai turi teisę personalui atskleisti informaciją apie COVID-19 užsikrėtimo atvejus bendrovėje. Ji pabrėžia, kad tai gali būti atliekama tik siekiant apsaugoti kitus darbuotojus, galimai turėjusius kontaktą su infekuotu kolega. Darbdavys negali teikti daugiau duomenų nei būtina – pavyzdžiui, darbuotojo vardą viešinti galima tik išimtiniais atvejais.
Darbdaviai galėtų rinkti duomenis apie neseniai įvykusias keliones ar matuoti darbuotojų temperatūrą prieš jiems patenkant į biurą. Tačiau visa tai turi būti daroma tik siekiant užkirsti kelią ligos plitimui ir apsaugoti personalą, o surinkta informacija privalo būti saugoma konfidencialiai ir sunaikinama praėjus pandemijai.
Darbdavys įpareigojamas dėti visas pastangas, kad surinkti asmens duomenys nepasklistų, o jei duomenis atskleistų patys darbuotojai, jų gali laukti asmeninė atsakomybė. Todėl būtina personalą perspėti turimą informaciją saugoti ir jos neplatinti remiantis tiek bendromis, tiek darbo santykius reglamentuojančiomis taisyklėmis.
Šių nurodymų nesilaikančioms įmonėms grėstų bauda, ypač jei nutekėtų ar kitaip būtų skleidžiamas, pavyzdžiui, užsikrėtusiųjų sąrašas. Baudos dydis priklausytų nuo to, ar informacija pasklido netyčia, įvykus klaidai, ar buvo skleidžiama piktybiškai. Fiziniams asmenims už tai grėstų administracinė nuobauda ir reikalavimas atlyginti žalą civiline tvarka.
Sutikimas nėra reikalingas
BDAR numato, kad tvarkant asmens duomenis siekiant užtikrinti visuomenės interesą sveikatos srityje, juos galima tvarkyti be asmens sutikimo, jei siekiama apsisaugoti nuo plataus masto pavojų, pavyzdžiui, tarpvalstybinio pobūdžio grėsmių sveikatai. Taip pat sutikimas nereikalingas užtikrinant viešąjį interesą ir darbdaviams vykdant darbuotojų saugos užtikrinimą darbe.
Vis dėlto saviizoliacijos režimo besilaikantiems asmenims kyla papildomų dilemų. Kadangi didesnė dalis socialinio gyvenimo vyksta socialiniuose tinkluose, išlieka prievolė neviešinti asmeninės kitų žmonių informacijos. Pavyzdžiui, jei dėstytojas ar darbdavys nori pasidžiaugti virtualiame pokalbyje dalyvaujančiais asmenimis, pirmiausia etiška atsiklausti, ar šie sutinka su savo veidų, kambario aplinkos ir kitų nuotraukoje esančių detalių atskleidimu. Siekiant išvengti rizikos, visada prasminga informuoti ir atsiklausti prieš skelbiant su kitais asmenimis susijusią jautrią informaciją.
Stasys Drazdauskas, teisės firmos „Sorainen“ advokatas ekspertas