COVID-19 ir vīruss, kas apdraud cilvēka veselību. Līdz ar to ir pašsaprotami, ka infekcijas izplatības ierobežošana nevar notikt bez cilvēka personas datu apstrādes pat tad, ja cilvēkam vēl nav konstatēta saslimšana.
Šī raksta fokuss ir vērsts uz lakonisku organizāciju tipiskās rīcības vērtējumu un pienākumiem no Vispārīgās datu aizsardzības regulas Nr. 2016/679 (turpmāk – Regula) viedokļa ārkārtas situācijas laikā, un šeit aplūkotie jautājumi nebūt nav vienīgie, kuri vēl nākotnē tiks analizēti.
Infekcijas slimību apkarošana normālā situācijā pamatā balstās uz šādiem soļiem:
a) ārsts pacientam konstatē infekciju un uzsāk ārstēšanu; ārsts par infekciju ziņo speciālai valsts iestādei – Slimību profilakses un kontroles centram (turpmāk – SPKC), kura funkcija ir apzināt pacienta iespējamās kontaktpersonas (piemēram, ģimenes locekļi, darba kolēģi) un ieteikt tām noteiktus aizsardzības pasākumus;
b) nepieciešamības gadījumā personai tiek atvērta darba nespējas lapa un persona neierodas darbā (darba nespējas lapa neparedz diagnozes izpaušanu);
c) apzinīgās kontaktpersonas dodas pie ārsta pārbaudīt veselību un nepieciešamības gadījumā uzsāk ārstēšanos.
COVID-19 gadījumā secība var būt citāda. Galvenokārt tāpēc, ka pašlaik par noteiktu riska grupu personu veselību vispirms interesējas nevis ārsts, bet SPKC un tagad jau arī gandrīz katrs darba devējs, piemēram, saistībā ar personas komandējumu, repatriāciju. Tātad, salīdzinot ar parasto situāciju, pašreiz noteiktu personas datu apstrāde var proaktīvi notikt jau darba vietā.
Datu valsts inspekcija 2020. gada 17. martā publicēja ieskatu Regulas interpretācijā saistībā ar esošo ārkārtas situāciju (ar kuru var iepazīties iestādes tīmekļa vietnē), tāpēc šeit tiks aplūkoti citi būtiski jautājumi, kuri nav līdz šim analizēti. Jāpiebilst, ka Eiropas Datu aizsardzības kolēģija šā gada 19. martā savā vietnē publicēja speciālu paziņojumu attiecībā uz dažiem jautājumiem, kas var rasties saistībā ar personas datu apstrādi šajā periodā.
Regula neaizliedz vispār apstrādāt personas veselības datus, it īpaši sabiedrības veselības mērķiem, taču apstrādei jānotiek Regulā un Latvijas likumiem atbilstošajā kārtībā.
Vairākas tipveida situācijas saistībā ar personas datu apstrādi darba vietā
(A) Informāciju par darbinieku vai viņa kontaktpersonām darba devējam pieprasa SPKC
Epidemioloģiskās drošības likums (turpmāk – EDL) nosaka, ka kontaktpersona ir cilvēks, kurš ir bijis tiešā vai netiešā kontaktā ar infekciozu personu vai uzturējies epidēmijas perēklī un kuram ir bijusi iespēja inficēties. Piemēram, epidemiologs, kas noskaidrojis kādu inficētu personu, tālāk noskaidros viņas darba vietu un to, ar kādām personām inficētajai personai ir bijis kontakts darba vietā. Kontaktpersonu noskaidrošanas mērķis ir informēt šīs personas par inficēšanās risku, nepieciešamību veikt pārbaudes, kā arī noteikt pienākumu ievērot attiecīgos drošības pasākumus. Atbilstoši EDL darba devējam pēc SPKC pieprasījuma ir jāsniedz SPKC to darbinieku personas dati, kuri ir strādājuši kopā ar kontaktpersonu, un šādā gadījumā Regula netiks pārkāpta. Tomēr svarīga ir pieprasījuma forma. Ja pieprasījums tiek izteikts telefona sarunas laikā, jābūt pārliecībai, ka personas datus pieprasa tieši SPKC epidemiologs. Darba devējam nav tiesiska pamata informēt citus darbiniekus par attiecīgo SPKC interesi, kā arī izpaust citiem darbiniekiem jebkādu medicīnisku informāciju.
(B) Preventīva personas datu apstrāde kā darba drošības jautājums
Vispirms jau jāuzsver, ka uz katru darba devēju attiecas Darba aizsardzības likums, kura mērķis ir garantēt un uzlabot nodarbināto drošību un veselības aizsardzību darbā. Iespēja saslimt ar COVID-19 ir jauns darba vides risks, ar kuru iepriekš neviens nebija saskāries. It īpaši tas jāņem vērā tad, ja darba vieta tiek organizēta kā koplietošanas vai atvērtais birojs, kur katram darbiniekam nav iekārtota konkrēta darba vieta. Līdz ar to darba devējam ir jādomā par dažādiem aizsardzības pasākumiem, lai risku mazinātu, piemēram, pastiprināti dezinficējot telpas vai uzstādot stikla aizsargbarjeras pie veikala kasēm.
Tomēr viens no darbinieku aizsardzības pasākumiem pašreiz varētu būt arī personas datu apstrāde, piemēram, saņemot no klientiem apliecinājumus, ka viņiem nav infekcijas simptomu. Turklāt šādas informācijas sniegšanas pienākumu kontaktpersonām paredz valdības rīkojums.
VISS EKSPERTA KOMENTĀRS LASĀMS "DB HUB" PLATFORMĀ, KLIKŠĶINOT ŠEIT.