18 mar, 2020
Povratak na naslovnu

Virus COVID-19 ne mari za zaštitu podataka o ličnosti

Imajući u vidu globalno vanredno stanje, jedna od stvari koju treba razmatrati u okviru širenja virusa Covid-19 jeste i odnos između zdravlja svakog pojedinca i njegovog prava na zaštitu podataka o ličnosti, odnosno, čemu od navedenog treba dati primat. Kada je direktor Svetske zdravstvene organizacije proglasio Covid-19 pandemijom, obratio se svim zemljama sa porukom da “pronađu, izoluju, testiraju i prate svaki slučaj i otkriju svaki kontakt”. U skladu sa tim, svakog dana u svakoj zemlji širom sveta, značajan broj ljudi se podvrgava testiranju, stavlja u karantin, ispituje sa kim su sve stupali u kontakt, a sve to sa jednim jedinim ciljem – da se prekine lanac širenja virusa. Dakle, da li to znači da je javno zdravlja ipak važnije od prava pojedinaca na zaštitu podataka o ličnosti? U nastavku ćemo se osvrnuti na ovo značajno pitanje.

 

Istina je da podaci imaju ključnu ulogu u borbi protiv širenja korona virusa; ipak, to ne može biti opravdanje za obradu apsolutno svih podataka. S obzirom na opšte rasprostranjena testiranja i merenja temperature radi otkrivanja simptoma virusa, očekivano je da se postave mnoga praktična pitanja koja se tiču bezbednosti, kao i zaštite podataka o ličnosti. Stoga, ključno je pronaći ravnotežu između zaštite javnog zdravlja i ličnih podataka. Pri tome treba imati u vidu da različita zakonodavstva imaju različite zahteve, ograničenja i uslove.

 

Izuzeci od zaštite podataka o ličnosti u EU

 

Pravo EU u oblasti zaštite podataka o ličnosti (engl.  EU data protection law) („GDPR“) podatke o zdravlju kvalifikuje kao „posebnu kategoriju podataka”. Stoga, poslodavci moraju osigurati da nijedan vid komunikacije ne sadrži podatke o zaposlenom koji je iz zdravstvenih razloga odsutan, uključujući njegove simptome. Poslodavci su obavezni da detaljno razmotre da li bi određenu informaciju ipak trebalo obelodaniti, odnosno otkriti identitet konkretnog zaposlenog. Ukoliko u okviru radnog kolektiva postoji zaposleni za koga je potvrđeno da je zaražen virusom, preporučljivo je razmotriti sve druge mere, kako bi se izbeglo imenovanje tog radnika ili njegovih zdravstvenih problema.

 

Imajući u vidu to da podaci o zdravlju pripadaju „posebnoj kategoriji podataka”, GDPR predviđa odgovarajuće izuzetke. Naime, odstupanje od zabrane vršenja obrade posebnih kategorija podataka o ličnosti dozvoljeno je ukoliko je: (i) predviđeno zakonom Unije ili države članice, (ii) kako bi se zaštitili podaci o ličnosti i druga osnovna prava, (iii) kada je to u javnom interesu, a posebno u interesu zaštite zdravlja (pored drugih oblasti), uključujući prevenciju ili kontrolu zaraznih bolesti i drugih ozbiljnih pretnji zdravlju. Takva odstupanja su dozvoljena u zdravstvene svrhe, uključujući javno zdravlje i upravljanje zdravstvenim sistemom.

 

S tim u vezi, čl. 6 i 9 GDPR predviđa zakonske osnove kako bi se poslodavcima i nadležnim organima javnog zdravstva omogućilo da obrađuju podatke o ličnosti u kontekstu epidemije, bez obaveze da dobiju saglasnost lica čiji su podaci. Ovo se primenjuje, na primer, kada je potrebno da poslodavci vrše obradu predmetnih podataka u skladu sa javnim interesom u oblasti javnog zdravlja, kao i radi zaštite vitalnih interesa ili ispunjenja zakonske obaveze. Kako se svakodnevno otkriva sve više slučajeva pozitivnih na korona virus, poslodavci su obavezni da prate širenje epidemije i da po potrebi preduzmu korake da zaštite svoje zaposlene. Međutim, razmena informacija u te svrhe mora biti proporcionalna riziku i potrebi za razmenom, koju treba redovno i pažljivo procenjivati. Na poslodavcima je da odluče koje korake treba preduzeti kako bi se obezbedila sigurnost zaposlenih.

 

Dodatno, član 15 Direktive o privatnosti i električnim komunikacijama (engl. the ePrivacy Directive) omogućava državama članicama da usvoje zakonske mere radi obezbeđenja nacionalne i javne bezbednosti.

 

U svakom slučaju, navedene mere ne omogućavaju svima otvoren pristup podacima o ličnosti, niti odražavaju primenu principa vladavine jačega prilikom prikupljanja ovih podataka.

 

Mehanizam zaštite podataka o ličnosti u drugim zemljama

 

Kao što je istaknuto, nacionalna zakonodavstva pronalaze sopstvene načine za borbu protiv širenja virusa Covid-19. Što se tiče zaštita podataka o ličnosti, svako od tih zakonodavstava teži da pronađe odgovarajući mehanizam, a uzimajući konstantno u obzir činjenicu da upravo ti podaci imaju ključnu ulogu u sprečavanju širenja virusa. Ipak, navedeno ne bi moglo opravdati bilo koju obradu podataka, već je potrebno balansirati između zaštite javnog zdravlja i ličnih podataka.  Razlika se mora napraviti između osetljivih podataka za čiju obradu ne postoji očigledni pravni osnov i zbirke podataka za čiju obradu osnov postoji.

 

Glavna pitanja koja su proizašla iz prakse su sledeća:

 

  1. Da li su organi nadležni za zaštitu privatnosti podataka doneli bilo koja uputstva koja dozvoljavaju ili ograničavaju prikupljanje ličnih podataka u svrhu identifikovanja slučajeva virusa COVID-19?

 

Zemlje poput Austrije i Belgije (iako nisu u zavidnoj poziciji) nisu izdale posebnu vrstu uputstva kojom bi ograničile ili predložile bilo kakve nove izuzetke u pogledu razmene podataka.

 

Sa druge strane, Kina, Italija, Francuska i Španija izdale su dokumenta u vidu smernica ili obaveštenja, kojima su ili istakli opšta načela za zaštitu podataka o ličnosti svakog pojedinca, ili pak dozvolili poslodavcima da prikupljaju i vode evidenciju o osobama za koje se sumnja da su bile izložene korona virusu.

 

  1. Da li je poslodavcu dozvoljeno da zaposlenima otkrije identitet zaposlenog za kojeg je potvrđeno da je zaražen virusom COVID-19?

 

Nijedna od pomenutih zemalja suštinski ne odobrava otkrivanje identiteta osobe za koju je potvrđeno da je zaražena virusom COVID-19 bez odgovarajućeg pravnog osnova. Postojanje takvog osnova određuje se u svakom konkretnom slučaju, budući da postoje slučajevi kada otkrivanje predstavlja neophodnu meru za zaštitu vitalnih interesa drugih osoba. Nadležni za zaštitu podataka o ličnosti smatraju da nije poželjno otkrivati identitet zaražene osobe ostalim zaposlenima, ukoliko odgovarajući pravni osnov za to ne postoji. Dakle, sve prethodno pomenuto ima za cilj pronalaženje ravnoteže, pri čemu je ipak poželjno da se ne otkriva identitet zaposlenih koji su zaraženi virusom.

 

Mehanizam zaštite podataka o ličnosti u Srbiji

Nacionalni pravni okvir za zaštitu podata o ličnosti u potpunosti je usklađen sa pravnim okvirom EU. Tako su članom 4 Zakona o zaštiti podataka o ličnosti[1](„ZPL”) podaci o zdravlju definisani kao podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju.

 

ZPL takođe poznaje izuzetke od uobičajenog principa zaštite podata o ličnosti, uključujući podatke o zdravlju. Naime, prava propisana ovim zakonom mogu se ograničiti ako ta ograničenja (i) ne zadiru u suštinu osnovnih prava i sloboda i (ii) ako to predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu javnog zdravlja, između ostalog.

 

Dodatno, izuzetak od zabrane obrade podataka kojom se otkrivaju podaci o zdravlju, predviđene članom 17 ZPL, primenjuje se u slučaju kada je takva obrada neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava.

 

Konačna borba

 

Zaštita podataka ne bi trebalo da onemogućava privredna društva u obezbeđivanju zaštite zdravlja i sigurnosti svojih zaposlenih. Prethodno rečeno znači da je poslodavcima dozvoljeno da razmenjuju informacije radi ispunjavanja svojih zakonskih obaveza prema relevantnim organima, a radi zaštite zaposlenih. S obzirom na to, neophodno je pronaći ravnotežu i konstantno pažljivo procenjivati trenutne rizike i potrebe. Kako različita nacionalna zakonodavstva pronalaze sopstvene načine da se izbore sa novonastalom situacijom, na privrednim društvima je da odluče koje korake je potrebno preduzeti kako bi se osigurala bezbednost zaposlenih. Pri tom bi svako privredno društvo trebalo da razmotri potrebu za odgovarajućom procenom kruga zaposlenih koji su potencijalno stupili u kontakt sa zaraženom osobom.

 

[1]„Sl. glasnik Republike Srbije”, br. 87/2018.

 

Za više informacija možete nas kontaktirati na  covid19@geciclaw.com