EN

18-04-2020


OBRADA PODATAKA O LIČNOSTI ZA VREME VANREDNOG STANJA

Od uvođenja vanrednog stanja Vlada Republike Srbije donela je niz mera od kojih mnoge za posledicu imaju ograničenje ljudskih prava. Pravo na zaštitu podataka o ličnosti predstavlja jedno od Ustavom zagarantovanih prava, koje trenutno nije obuhvaćeno pomenutim ograničenjima, te shodno navedenom rukovaoci i obrađivači i u periodu vanrednog stanja imaju obavezu da podatke o ličnosti obrađuju u skladu sa Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: Zakon).

1. Obrada zdravstvenih podataka i podataka koji su u vezi sa zdravstvenom zaštitom od strane Poslodavca

Za vreme trajanja vanrednog stanja Poslodavci dolaze u situaciju da obrađuju podatke o ličnosti koje obično ne obrađuju (poput zdravstvenih podataka, podataka o kretanju zaposlenih i sl.).

Shodno članu 17. Zakona, podaci o zdravstvenom stanju lica, predstavljaju posebnu vrstu podataka o ličnosti. Radi se, dakle, o naročito osetljivim podacima čija obrada zahteva viši stepen pažnje u odnosu na ostale podatke o ličnosti. Zakon propisuje da je obrada posebnih vrsta podataka o ličnosti zabranjena, osim u određenim izuzecima, koji su taksativno navedeni u Zakonu. Intencija zakonodavca je da kao osnovno pravilo uspostavi zabranu obrade posebnih vrsta podataka o ličnosti, ali da istovremeno predvidi izuzetke u kojima je njihova obrada dozvoljena.

Postavlja se pitanje, da li donete odluke nadležnih organa tokom vanrednog stanja, predstavljaju valjani pravni osnov Poslodavcu za prikupljanje i obradu ove vrste podataka.

U skladu sa navedenim napominjemo da je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) dana 01.04.2020. godine izdao zvanično obavešenje (u daljem tekstu: Obaveštenje), u kojem je zauzet stav da nema smetnji za obradu podataka o zdravstvenom stanju lica, kada je ona zasnovana na važećim propisima, uključujući i akte koje nadležni državni organi donose u uslovima vanrednog stanja, uz uslov da se obrada vrši uz poštovanje svih načela propisanih Zakonom.

Dakle, Poslodavac može da vrši i obradu podataka koji se odnose na simptome potencijalne infekcije korona virusom kod zaposlenih, međutim, obradu ovih podataka je moguće vršiti samo u skladu sa aktima nadležnih organa koji se odnose na borbu protiv aktuelne pandemije i uz pridržavanje načela obrade iz člana 5. Zakona. Takođe, Poslodavci bi trebalo da obrađuju samo one podatke o ličnosti koji su neophodni za poštovanje obaveznih mera i propisa, tj. radi zadovoljenja interesa adekvatne zdravstvene zaštite zaposlenih.

S obzirom da zdravstveni podaci spadaju u posebnu vrstu podataka o ličnosti, obrada ove vrste podataka sa sobom povlači i druge obaveze za rukovaoce, predviđene Zakonom, kao što je imenovanje lica za zaštitu podataka o ličnosti i procena uticaja na zaštitu podataka o ličnosti.

Prilikom obrade zdravstvenih podataka o ličnosti kao naročito osetljivih podataka, svakako treba primeniti načelo minimizacije podataka, odnosno obradu svesti na minimum koji je neophodan da bi se ostvarila svrha obrade. Tako na primer, ukoliko je kod zaposlenog potvrđeno prisustvo korona virusa, Poslodavac može obavestiti one zaposlene, koji su bili u kontaktu sa zaposlenim koji je zaražen, kako bi efikasno obezbedio sigurne uslove rada, međutim Poslodavac bi u skladu sa članom 5. Zakona, kojim se propisuju osnovna načela obrade, trebalo da izbegava otkrivanje podataka o zaposlenom, osim ako to nije nužno radi ostvarenja svrhe obrade tj. zaštite zdravlja drugih lica.

Takođe, sistematizovano prikupljanje podataka o siptomima i indikacijama koje bi potencijalno mogle ukazati na oboljevanje zaposlenog ili na takvu mogućnost (stalno merenje temperature, svakodnevno popunjavanje upitnika i sl.) ne bi predstavljalo dozvoljeno postupanje i poštovanje načela minimizacije. Bitno je naći efikasan način kojim se ostvaruje svrha prikupljanja i obrade podataka, a ne ugrožavaju se prava zaposlenih.

Treba imati u vidu da određeni podaci o ličnosti ne predstavljaju zdravstvene podatke o ličnosti koji se kategorišu kao posebni podaci o ličnosti, iako se odnose na opštu zdravstvenu zaštitu kao i zaštitu određenog kruga lica, u skladu sa merama i preporukama Države.

Tako, Poslodavac od zaposlenih može prikupljati i obrađivati podatke o kontaktima sa licima obolelim od korona virusa, te podatke o putovanjima i boravku zaposlenih u područjima koja nadležne zdravstvene ustanove smatraju žarištima pandemije, s obzirom da navedeni podaci ne predstavljaju posebnu vrstu podataka. Upitno je da li podaci o karantinu lica predstavljaju zdravstvene podatke ili ne, s obzirom na to da mogu stvoriti indiciju o zdravstevnom stanju, ali ne i izvesnu informaciju, te se prema tumačenjima pojedinih evropskih regulatornih organa, ovi podaci ne smatraju posebnim podacima o ličnosti.

Bitno je napomenuti i to da je Poverenik u Obaveštenju istakao da su Poslodavci, nakon završetka vanrednog stanja, u obavezi da se vrate na redovan režim obrade podataka, što uključuje i trajno brisanje prikupljenih zdravstvenih podataka zaposlenih.

2. Osnovi obrade zdravstvenih podataka i podataka koji su u vezi sa zdravstvenom zaštitom

Rukovalac ima pravo da vrši obradu ličnih podataka, samo ukoliko je ona utemeljena, odnosno zasnovana na jednom od šest raspoloživih pravnih osnova propisanih članom 12. Zakona. Postavlja se pitanje koji pravni osnovi su raspoloživi Poslodavcima za obradu zdravstvenih podataka i podataka koji su u vezi sa zdravstvenom zaštitom zaposlenih tokom trajanja vanrednog stanja. Iako svaki pojedinačni slučaj zahteva detaljnu analizu, Poslodavac ima mogućnost da obradu navedenih podataka zasniva na sledećim pravnim osnovima:

- obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca (osnov predviđen članom 12. stav 2. tačka 3. Zakona);

- obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica (osnov predviđen članom 12. stav 2. tačka 4. Zakona);

- obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane (osnov predviđen članom 12. stav 2. tačka 6. Zakona).

Za obradu posebne vrste podataka nije dovoljno samo da postoji jedan od pravnih osnova propisanih članom 12. Zakona, već mora da bude ispunjen bar još jedan dodatni uslov odnosno izuzetak predviđen članom 17. stav 2. Zakona.

U slučaju obrade zdravstvenih podataka tokom trajanja vanrednog stanja, Poslodavci mogu koristiti izuzetak predviđen članom 17. stav. 2. tačka 2. Zakona - obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite.

Međutim, upitno je da li Zakon, zajedno sa aktima nadležnih organa donetim u uslovima vanrednog stanja, omogućava Poslodavcima da se oslone i na druge izuzetke predviđene članom 17. stav 2. tačka 7 – obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom i članom 17. stav 2. tačka 9 – obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, s obzirom da Poverenik u Obaveštenju, nije odgovorio na pitanja koji pravni osnovi su rasploživi Poslodavcima prilikom obrade posebne vrste podataka.

Budući da je Zakon preuzeo sva rešenja iz Opšte uredbe o zaštiti podataka o ličnosti (u daljem tekstu: GDPR), smernice za postupanje prilikom obrade zdravstvenih podataka Poslodavci mogu pronaći u praksi organa za zaštitu podataka o ličnosti zemalja članica Evropske unije. Tako na primer, organ zaštite podataka o ličnosti Evropske unije nije uvrstio legitimni interes među osnove koje čine obradu zdravstvenih podataka zakonitom.

3. Obrada ostalih podataka o ličnosti od strane Poslodavca

U novonastalim okolnostima rukovaoci i obrađivači su i dalje dužni da vode računa o tome da za svaku obradu podataka o ličnosti mora postojati odgovarajući pravni osnov i svrha, da se mogu obrađivati samo podaci koji su primereni, bitni i ograničeni na ono što je neophodno za postizanje svrhe obrade, da lica čiji se podaci obrađuju moraju biti upoznata sa obradom, kao i da se moraju preduzimati adekvatne mere zaštite od neovlašćene i nezakonite obrade i primenjivati druga načela obrade utvrđena članom 5. Zakona.

Shodno navedenom, Poslodavci koji su u uslovima vanrednog stanja organizovali rad na daljinu, odnosno rad od kuće, u skladu sa Uredbom o organizovanju rada poslodavaca za vreme vanrednog stanja, obavezni su da obezbede odgovarajuće tehničke, organizacione i kadrovske mere koje obezbeđuju sigurnost ličnih podataka, a koji su s obzirom na rad od kuće izloženiji u odnosu na uobičajene okolnosti.

Irska agencija za zaštitu podataka o ličnosti izdala je Smernice za zaštitu podataka o ličnosti prilikom obavljanja rada od kuće, neke od zaštitnih mera podrazumevaju sledeće:

- za uređaje: posebno paziti da uređaji poput telefona, laptopova ili tableta ne budu izgubljeni ili pogrešno podešeni, da operativni sitem i program antivirusa budu blagovremeno ažurirani, ukoliko se uređaj izgubi odmah treba preduzeti korake kako bi se osiguralo uklanjanje memorije, korišćenje efikasne kontrole pristupa (postavljanje lozinki i šifara);

- za e-mail adrese: pre slanja e-maila proveriti da li se šalje pravom primaocu, posebno kada e-mailovi sadrže veliku količinu ličnih podataka ili osetljivih podataka;

- za mrežni pristup: koristiti samo pouzdane mreže;

- podaci u pisanom obliku: osigurati držanje ovih podataka u zaključanim ormarima ili fiokama, kada ovi zapisi više nisu potrebni paziti da se ne ostavljaju negde gde mogu biti ukradeni, ukoliko je moguće, voditi pisanu evidenciju o tome koji su zapisi i datoteke preneti kući.

Uzimajući u obzir sve izneto, Poslodavci i tokom trajanja vanrednog stanja, moraju voditi računa o zaštiti podataka o ličnosti svojih zaposlenih, budući da podaci o ličnosti predstavljaju veoma osetljivo pitanje, kojim se zadire u ličnu sferu zaposlenih. Pored Poslodavaca i državni organi i sredstva javnog informisanja moraju da se uzdržavaju od objavljivanja informacija koje mogu da dovedu do otkrivanja identiteta obolelih od korona virusa, kao i otkrivanja drugih ličnih podataka pojedinaca.

Nažalost, svedoci smo da se u poslednje vreme, kako sredstva javnog informisanja, predstavnici državnih organa, tako i poslodavci sve češće oglušavaju o gore navedena ograničenja, a čime se na direktan način krši Zakon, što verovatno ukazuje na još uvek nedovoljno razvijenu svest o poštovanju privatnih podataka pojedinaca, kao i na nedovoljno razvijenu praksu u njihovoj primeni, a što će biti izazov za koji je potrebno pronaći adekvatne mehanizme, kako se ne bi ponavljali u svakoj vanrednoj situaciji. Svakako, oglašavanje Poverenika pojašnjenjem da vanredno stanje ni na koji način ne derogira primenu Zakona, predstavlja jasan pokazatelj da sistem u tom delu ima tendenciju ka adekvatnoj zaštiti podataka o ličnosti. Ono što je naročito važno jeste da treba imati u vidu mogućnost da sva kršenja Zakona potencijalno morati biti sankcionisana, naročito ukoliko dođe do pritužbi i prijavi pojedinaca čija su prava ugrožena.


news_image

30-07-2020

Imajući u vidu situaciju nastalu usled pandemije bolesti COVID-19 izazvane virusom SARS-CoV-2, informisanost šire javnosti smatramo ključnim za ostvarivanje kontinuiteta nesmetanog poslovanja. S tim u vezi, u nastavku ...

Pročitaj Više

news_image

Ministarstvo za rad, zapošljavanje, boračka i socijalna pitanja donelo je Pravilnik o preventivnim mera...

Pročitaj Više

news_image

Od uvođenja vanrednog stanja Vlada Republike Srbije donela je niz mera od kojih mnoge za posledicu imaju ograničenje ljudskih prava. Pravo na zaštitu podataka o ličnosti predstavlja jedno od Ustavom zagarantovanih pra...

Pročitaj Više