Europos duomenų apsaugos valdyba>> ir kitų Europos Sąjungos bei pasaulio valstybių asmens duomenų apsaugos priežiūros institucijos>> yra išplatinusios informaciją apie asmens duomenų tvarkymą COVID-19 pandemijos metu. Valstybinė duomenų apsaugos inspekcija taip pat pateikė informaciją dėl asmens duomenų tvarkymo, susijusio su esama situacija dėl koronaviruso (COVID-19). Tai informacija, aktuali darbdaviams, ugdymo įstaigoms ir kitoms viešojo ir privataus sektoriaus organizacijoms.
Joje atkreipiamas dėmesys, kad:
- privaloma užtikrinti atitinkamo lygio duomenų subjektų asmens duomenų apsaugą, kad, be kita ko, būtų, užkirstas kelias galimam asmenų persekiojimui, šmeižimui ar net susidorojimui;
- Asmens duomenų apsaugos taisyklės, tokios kaip BDAR, netrukdo imtis priemonių kovoti su COVID-19 pandemija. Tačiau, siekiant garantuoti teisėtą asmens duomenų tvarkymą,
- turėtų būti atsižvelgiama į atitinkamas aplinkybes, ir visais atvejais reikėtų prisiminti, kad visos priemonės, kurių imamasi tokiu atveju, turi atitikti bendruosius teisės principus ir neturėtų būti negrįžtamos. Nepaprastoji padėtis yra ta teisinė sąlyga, kuri gali pateisinti žmogaus teisių ir laisvių apribojimus, tačiau tik tuomet, kai šie apribojimai yra proporcingi ir taikomi tik šios nepaprastosios padėties laikotarpiu.
Taip pat primenama:
Dėl bendrųjų asmens duomenų apsaugos principų
- Turėtų būti tvarkomi tik tie asmens duomenys, kurie yra būtini siekiamam tikslui pasiekti, o asmens duomenų tvarkymo tikslas turi būti konkretus ir nedviprasmiškas, kad jį vienodai suprastų visos suinteresuotos šalys, ypač duomenų subjektai;
- Siekiant užtikrinti, kad asmens duomenys nebūtų atskleisti asmenims, kurie neturi teisės jų gauti, svarbu laikytis tinkamų saugumo priemonių. Tik darbuotojai, kuriems patikėta tvarkyti sveikatos duomenis ir kompetentingos institucijos turi turėti prieigą prie tokių duomenų;
- Priemonės, kurių imamasi siekiant valdyti susidariusią nepaprastąją padėtį, ir sprendimų priėmimo procesas turėtų būti atitinkamai dokumentuojami, laikantis atskaitomybės principo. Tai suteiktų galimybę užtikrinti skaidrų asmens duomenų tvarkymą kaip to reikalauja BDAR.
(Apie duomenų tvarkymą, tikslus ir tinkamas saugumo priemones skaitykite pateiktose nuorodose).
Kokius asmens duomenis galima tvarkyti?
Siekiant užtikrinti, kad asmens duomenų tvarkymas nepažeistų BDAR įtvirtinto duomenų kiekio mažinimo principo, būtų galima tvarkyti vidinius asmens duomenų rinkinius apie darbuotojus, mokinius ar pan., įtraukiant tokią informaciją:
• Ar asmuo buvo išvykęs į „rizikos valstybę“;
• Ar asmuo kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu COVID-19;
• Ar asmuo yra namuose dėl karantino (nenurodant priežasties) ir karantino laikotarpis;
• Ar asmuo serga (nenurodant konkrečios ligos ar kitokios priežasties).
Informuojama, kad darbdavys ar kitas duomenų valdytojas turi teisę teirautis savo darbuotojų ar lankytojų apie tai, ar jiems yra pasireiškusių COVID-19 viruso simptomų, ar yra nustatyta COVID-19 diagnozė. Ši informacija yra svarbi darbdaviui vertinant, ar reikalinga imtis papildomų apsaugos priemonių – įpareigoti kartu dirbusius ar su sergančiu (turinčiu simptomus) asmeniu kontaktavusius darbuotojus laikytis karantino, sudaryti sąlygas nuotoliniam darbui ar sveikatos tikrinimui ir pan. Tačiau pabrėžtina, kad teisė gauti minėtą informaciją nereiškia, kad darbdaviai ar kiti duomenų valdytojai gali gautą informaciją dokumentuoti ar sudaryti atitinkamas duomenų rinkmenas.
Darbdaviai taip pat gali tvarkyti tokius su darbuotoju susijusius asmens duomenis kaip darbo nuotoliniu būdu pasirinkimo faktas ir kiti darbuotojo darbui taikomi apribojimai.
Ar tvarkomus sąrašus (kitus asmens duomenis) galima atskleisti valstybės įstaigoms visuomenės sveikatos užtikrinimo tikslu?
Net ir esant pandeminei situacijai asmens duomenų apsaugos nevertėtų pamiršti. Bet kokie darbdavių ar kitų duomenų valdytojų tvarkomi asmens duomenys valstybės institucijoms visuomenės sveikatos užtikrinimo tikslu turi būti teikiami laikantis BDAR reikalavimų.
Atkreipia dėmesį, kad prašymai pateikti asmens duomenis turi būti vertinami kiekvienu konkrečiu atveju atskirai, pavyzdžiui, tais atvejais, kai prašoma pateikti statistiką, duomenų valdytojas (duomenų tvarkytojas) neturėtų teikti konkretų duomenų subjektą identifikuojančių duomenų.
Rekomenduojama kiekvieną asmens duomenų teikimo atvejį dokumentuoti, siekiant vėliau užtikrinti atskaitomybės principo įgyvendinimą. Apie duomenų teikimo dokumentavimą skaitykite: Asmens duomenų judėjimo fiksavimas.
Kokiomis teisėto asmens duomenų tvarkymo sąlygomis turi remtis kompetentingos visuomenės sveikatos priežiūros institucijos?
- BDAR leidžia kompetentingoms visuomenės sveikatos priežiūros institucijoms tvarkyti asmens duomenis epidemijos atveju be duomenų subjekto sutikimo. Asmens duomenų, įskaitant sveikatos duomenis, tvarkymas, kurį vykdo kompetentingos valdžios institucijos (visuomenės sveikatos priežiūros institucijos) ar kitos institucijos, veikiančios pagal visuomenės sveikatos priežiūros institucijų nurodymus, gali būti atliekamas remiantis BDAR 6 straipsnio 1 dalies c, d ir e punktais ir (ar) 9 straipsnio 2 dalies c (išimtiniais atvejais), g bei i punktais;
Vietos nustatymo duomenų tvarkymas
Vietos nustatymo duomenys turėtų būti tvarkomi pagal Lietuvos Respublikos elektroninių ryšių įstatyme (toliau – ERĮ) nustatytus reikalavimus:
- Paprastai vietos nustatymo duomenys gali būti tvarkomi tik tada, kai jie yra anonimiški (iš jų nėra galima iš naujo nustatyti asmenų tapatybės) arba gavus asmens sutikimą (ERĮ 61 ir 68 straipsniai). Anoniminiai duomenys gali būti naudojami ataskaitoms apie mobiliųjų įrenginių koncentraciją tam tikroje vietoje („kartografija“);
- 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), kurios nuostatas įgyvendina ERĮ, papildomai leidžia Europos Sąjungos valstybėms narėms patvirtinti teisines priemones, kuriomis siekiama apsaugoti visuomenės saugumą. Tačiau tai turi būti daroma atitinkamomis teisinėmis priemonėmis ir tik tuo atveju, jeigu tai demokratinėje visuomenėje yra būtina, tinkama ir proporcinga priemonė. Šios priemonės turi atitikti Europos Sąjungos pagrindinių teisių chartiją ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją bei Europos Sąjungos Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką. Jei tokios priemonės įvedamos, valstybė narė privalo nustatyti tinkamas apsaugos priemones, įskaitant galimybę asmeniui kreiptis į teismą dėl tokio duomenų tvarkymo.
Ar valstybės institucijų siunčiami pranešimai yra tiesioginė rinkodara?
Ne. Informacinių pranešimų ir priminimų apie galimas grėsmes, vengtinas zonas, būtinas apsaugos priemones ar kitus būtinus atlikti veiksmus siuntimas išvykusiems į užsienio valstybes, grįžtantiems ar neseniai grįžusiems ar kitiems asmenims, taip pat svarbių susijusių informacinių pranešimų siuntimas Lietuvos gyventojams ar joje besilankantiems asmenims nėra laikytinas tiesiogine rinkodara.
Kokių veiksmų reikėtų vengti?
Jei yra nustatytos visuotinės priemonės esamai situacijai valdyti, pavyzdžiui, komandiruočių ir susitikimų ribojimas, renginių atšaukimas, tam tikrų higienos reikalavimų užtikrinimas, duomenų valdytojai neturėtų dėl to pažeisti savo darbuotojų ar kitų duomenų subjektų teisės į asmens duomenų apsaugą, pavyzdžiui, neturėtų reikalauti pateikti asmens duomenis, nebūtinus nustatytos tvarkos vykdymui užtikrinti.
Svarbu pabrėžti, kad duomenų valdytojai turėtų susilaikyti nuo darbuotojų ar lankytojų temperatūros rodmenų, medicininių pažymų ar kt. rinkimo. Tai negali būti laikoma darbdavio pareiga.
Duomenų valdytojas turėtų imtis aktyvių veiksmų, informuojant duomenų subjektus apie simptomus, galimas rizikas, jų valdymo būdus, taikytinas priemones, galimybes dirbti nuotoliniu būdu, darbuotojų pareigą informuoti apie pasireiškusius COVID-19 ar panašius simptomus ir kt.
Kur galite gauti papildomos informacijos?
Informacijos taip pat rekomenduojama kreiptis į Valstybinę darbo inspekciją prie Socialinės apsaugos ir darbo ministerijos ir Lietuvos Respublikos sveikatos ministeriją dėl informacijos apie kitas darbdavių pareigas, kylančias dėl paskelbtos pandemijos.
Valstybinės duomenų apsaugos inspekcijos informacija:
- Darbuotojų sveikatos duomenų tvarkymas, įsigaliojus Darbo kodekso pataisoms dėl karantino (2020 m.)
- Rekomendacija Darbuotojų asmens duomenų tvarkymas, organizuojant darbą nuotoliniu būdu (2020 m.)
- Trys žingsniai dėl nuotolinio mokymosi organizavimo (2020 m.)
Europos Sąjungos ir kitų institucijų informacija:
- Kitų Europos Sąjungos bei pasaulio valstybių asmens duomenų apsaugos priežiūros institucijų informacija
- Europos duomenų apsaugos valdyba Statement on the processing of personal data in the context of the COVID-19 outbreak (2020-03-19
- Europos duomenų apsaugos valdyba Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak (2020-04-21)
- Europos duomenų apsaugos valdyba Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020-04-21)
- Europos Komisija KOMUNIKATAS Duomenų apsaugos gairės dėl kovai su COVID-19 pandemija naudojamų programėlių (2020-04-17)
- E. sveikatos tinklas Mobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States (2020-04-15)
Annex IV: inventory mobile solutions against COVID-19
Nuorodos
- Page: Atotrūkio vertinimas pagal BDAR reikalavimus (preliminarus)
- Page: Duomenų apsaugos priežiūros institucijos rekomendacijos
- https://allaw.lt/en/ask-our-lawyer/
- https://allaw.lt/klauskite-teisininko/
- https://allaw.lt/legaldesk/plugins/servlet/desk/site/asmens-duomenu-apsaugos-pareigunas
- https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_annex_en.pdf
- https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf
- https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en
- https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf
- https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf
- https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf
- https://eur-lex.europa.eu/legal-content/LT/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN
- https://globalprivacyassembly.org/covid19/
- https://vdai.lrv.lt/lt/naujienos/asmens-duomenu-apsauga-ir-koronavirusas-covid-19-papildyta-kovo-23-d
- https://vdai.lrv.lt/uploads/vdai/documents/files/DK%20pataisos%20del%20darbuotoju%20sveikatos%20duomenu%20tvarkymo%20%202020-04-14.pdf
- https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomedacija%20del%20darbuotoju%20duomenu%20tvarkymo%20nuotolinio%20darbo%20metu%202020-04-09.pdf
- https://vdai.lrv.lt/uploads/vdai/documents/files/Trys%20zingsniai%20d%C4%97l%20nuotolinio%20mokymosi%202020-04-07.pdf
- Blog: Informacija dėl asmens duomenų tvarkymo koronaviruso (COVID-19) situacijoje. PAPILDYTA balandžio 22 d.
- MOKY:Atitikties BDAR mokymų medžiaga
- MOKY:BDAR mokymų (įvadiniai) medžiaga
- PATT:Asmens duomenų fiksavimas (projekto, verslo proceso) asmens duomenų analizė
- PATT:Asmens duomenų judėjimo fiksavimas
- PATT:Asmens duomenų tvarkymo teisėto pagrindo nustatymas (auditas)
- PATT:Galimų grėsmių nustatymas ir jų atsiradimo tikimybės vertinimas
- PATT:Poveikio duomenų apsaugai vertinimas
- PATT:Tinkamų saugumo priemonių asmens duomenų saugumui užtikrinti parinkimas
- PATT:§ 4. Privatumas ir asmens duomenų tvarkymas
- PATT:§ Asmens duomenų apsauga