Izjava EDPB o obdelavi osebnih podatkov v okviru izbruha virusa COVID-19 - Sprejeta 19. 3. 2020 - Upravljavec.si


  • 29 marca, 2020

Evropski odbor za varstvo podatkov je sprejel naslednjo izjavo:

Države, organizacije javnega in zasebnega sektorja po Evropi sprejemajo ukrepe za zajezitev in ublažitev posledic virusa COVID-19, pri čemer lahko prihaja do obdelave različnih vrst osebnih podatkov.

Pravila s področja varstva osebnih podatkov (kot je Splošna uredba o varstvu podatkov) ne ovirajo sprejemanja ukrepov, potrebnih v boju proti pandemiji koronavirusa. Boj proti nalezljivim boleznim je v interesu vseh držav, zato ga je treba podpreti z vsemi silami. V interesu celotnega človeštva je, da se zajezi širjenje bolezni in da v boju proti tovrstnim nadlogam, ki prizadenejo velike dele sveta, uporabimo sodobne tehnike. Kljub temu želi Odbor poudariti, da morajo upravljavci in obdelovalci osebnih podatkov tudi v teh izjemnih časih zagotoviti varstvo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki. Zaradi zagotavljanja zakonitosti obdelave osebnih podatkov je tako treba upoštevati različne dejavnike, vedno pa je treba imeti v mislih, da je treba pri sprejemu ukrepov spoštovati splošna pravna načela in da ukrepi ne smejo biti nepovratni. Izredne okoliščine so pravni položaj, ki sicer lahko opraviči omejitve svoboščin, vendar morajo biti te omejitve sorazmerne in časovno omejene na to konkretno obdobje.

1.   Zakonitost obdelave

Splošna uredba je širok zakonodajni akt in določa pravila, ki veljajo tudi za obdelavo osebnih podatkov v okviru pandemije virusa COVID-19. Splošna uredba omogoča pristojnim organom javnega zdravstva in delodajalcem obdelavo osebnih podatkov, ki je potrebna v okviru boja proti epidemiji v skladu z nacionalno zakonodajo in v njej določenih pogojih. Takšen primer je, če je obdelava potrebna zaradi bistvenega javnega interesa na področju javnega zdravja. V takšnih okoliščinah se ni treba zanašati na privolitev posameznikov.

1.1 Glede obdelave osebnih podatkov, vključno s posebnimi vrstami osebnih podatkov, ki jih obdelujejo pristojni javni organi (npr. organi javnega zdravstva), Odbor meni, da člena 6 in 9 Splošne uredbe omogočata obdelavo osebnih podatkov, zlasti kadar nacionalna zakonodaja in pogoji iz Splošne uredbe pooblaščajo javni organ za takšno obdelavo.

1.2 V okviru delovnih razmerij je obdelava osebnih podatkov lahko potrebna zaradi izpolnjevanja pravne obveznosti, ki velja za delodajalca, kot so obveznosti v zvezi z zdravjem in varstvom pri delu ali javnim interesom, kot je interes za nadzor nad boleznimi ali drugimi nevarnostmi za zdravje. Splošna uredba predvideva tudi odstopanja od prepovedi obdelave nekaterih posebnih vrst osebnih podatkov, kot so zdravstveni podatki, kadar je to potrebno zaradi bistvenega javnega interesa na področju javnega zdravja (točka (i) člena 9(2)), na podlagi prava Unije ali nacionalnega prava ali za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki (točka (c) člena 9(2)), saj uvodna izjava 46 izrecno omenja nadzor nad epidemijo.

1.3 V zvezi z obdelavo telekomunikacijskih podatkov, kot so lokacijski podatki, je treba spoštovati tudi nacionalne zakone, s katerimi je prenešena Direktiva o e-zasebnosti. Operater lahko lokacijske podatke načeloma uporabi samo, če so ti anonimizirani, ali če ima za to privolitev posameznikov. Vendar člen 15 Direktive o e-zasebnosti omogoča državam članicam, da sprejmejo zakonodajne ukrepe za zaščito javne varnosti. Takšna zakonodaja v izjemnih primerih je mogoča le, če pomeni nujen, primeren in sorazmeren ukrep v demokratični družbi. Ukrepi morajo biti skladni z Listino o temeljnih pravicah in Evropsko konvencijo o varstvu človekovih pravic in temeljnih svoboščin. Poleg tega so podvrženi sodnemu nadzoru Sodišča Evropskih skupnosti in Evropskega sodišča za človekove pravice. V izrednih razmerah morajo biti ukrepi tudi strogo omejeni na čas trajanja izrednih okoliščin.

2. Temeljna načela pri obdelavi osebnih podatkov

Osebni podatki, ki so potrebni za doseganje zastavljenih ciljev, se morajo obdelovati le za točno določene in izrecne namene.

Poleg tega morajo posamezniki, na katere se nanašajo osebni podatki, dobiti pregledne informacije o dejavnostih obdelave, ki se izvajajo, in njihovih glavnih značilnostih, vključno z rokom hrambe zbranih podatkov in nameni obdelave. Posredovane informacije morajo biti lahko dostopne in zagotovljene v jasnem in preprostem jeziku.

Sprejeti je treba ustrezne varnostne ukrepe in politike zaupnosti, ki zagotavljajo, da se osebni podatki ne bodo razkrili nepooblaščenim osebam. Ukrepi za obvladovanje trenutnih izrednih razmer in s tem povezan postopek sprejemanja odločitev morajo biti ustrezno dokumentirani.
 

3. Uporaba lokacijskih podatkov mobilnih telefonov

  • Ali lahko vlade držav članic uporabljajo osebne podatke, povezane z mobilnimi telefoni posameznikov, v svojih prizadevanjih za spremljanje, zajezitev oziroma ublažitev širjenja COVID-19?

V nekaterih državah članicah nameravajo vlade uporabiti lokacijske podatke mobilnih telefonov kot možen način za spremljanje, zajezitev ali ublažitev širjenja COVID-19. To bi na primer pomenilo možnost geolociranja posameznikov ali pošiljanja javnozdravstvenih sporočil posameznikom na določenem območju prek telefona ali besedilnih sporočil. Javni organi morajo najprej poskušati obdelovati anonimizirane lokacijske podatke (tj. obdelovati podatke, agregirane na način, ki onemogoča ponovno identifikacijo posameznikov), kar bi lahko omogočilo ustvarjanje poročil o koncentraciji mobilnih naprav na določeni lokaciji (“kartografija”).

Pravila o varstvu osebnih podatkov ne veljajo za podatke, ki so bili ustrezno anonimizirani.

Če anonimizirana obdelava podatkov ni mogoča, Direktiva o e-zasebnosti državam članicam omogoča sprejem zakonskih ukrepov za zaščito javne varnosti (člen 15).

Če država članica uvede ukrepe, ki omogočajo obdelavo ne-anonimiziranih lokacijskih podatkov, mora vzpostaviti tudi ustrezne zaščitne ukrepe, na primer za zagotavljanje pravice do pravnega sredstva v sodnem postopku uporabnikom elektronskih komunikacijskih storitev.

Upoštevati je treba tudi načelo sorazmernosti. Vedno je treba dati prednost rešitvam, ki najmanj posegajo v pravice posameznikov, ob upoštevanju posebnega namena, ki se ga zasleduje. Invazivni ukrepi, kot je “sledenje” posameznikom (tj. obdelava zgodovinskih ne-anonimiziranih lokacijskih podatkov), se lahko v izjemnih okoliščinah in z ozirom na konkretne načine obdelave štejejo za sorazmerne. Vendar je treba v zvezi s takšnim ukrepom zagotoviti poglobljen nadzor in varovalke, da se zagotovi spoštovanje načel varstva podatkov (sorazmernost ukrepa glede na trajanje in obseg, omejitev roka hrambe podatkov in omejitev namena obdelave).

4.   Delovna razmerja  

  • Ali sme delodajalec od obiskovalcev ali zaposlenih zahtevati posebne zdravstvene informacije v okviru COVID-19?

Na tem področju je uporaba načela sorazmernosti in najmanjšega obsega podatkov posebnega pomena. Delodajalec sme zahtevati zdravstvene osebne podatke izključno, kadar je to dovoljeno v skladu z nacionalno zakonodajo.

  • Ali sme delodajalec opravljati zdravstvene preglede zaposlenih?

Odgovor je odvisen od nacionalne zakonodaje na področju delovnih razmerij ter zdravja in varstva pri delu. Delodajalci smejo dostopati do zdravstvenih podatkov in jih obdelovati izključno, če jih k temu zavezuje zakonska obveznost, ki velja zanje.

  • Ali lahko delodajalec zaposlenim ali zunanjim sodelavcem razkrije, da je določeni zaposleni okužen s COVID-19?

Delodajalci morajo obveščati zaposlene o primerih COVID-19 in sprejeti zaščitne ukrepe, vendar ne smejo sporočiti več informacij, kot je potrebno. V primerih, ko je treba razkriti ime zaposlenega, ki se je okužil z virusom (npr. iz preventivnih razlogov) in ko nacionalna zakonodaja to dovoljuje, je treba zadevne zaposlene vnaprej obvestiti in zaščititi njihovo dostojanstvo in integriteto.

  • Katere podatke, ki se obdelujejo v zvezi s COVID-19, lahko pridobijo delodajalci?

Delodajalci lahko pridobijo osebne podatke, ki so potrebni za njihovo opravljanje nalog in za organiziranje dela v skladu z nacionalno zakonodajo.




Za Evropski odbor za varstvo podatkov

Predsednica
(Andrea Jelinek)