може

Оновлено до 31.10.2020

Для того, щоб відповісти на це питання, необхідно вказати на кілька важливих фактів. З 1.10.2020 р. Введено надзвичайний стан відповідно до Закону № 227/2002 про державну безпеку під час війни, воєнного стану та надзвичайного стану. Цей закон дозволяє людям, які проживають у Словаччині, обмежуватись у необхідному обсязі та протягом необхідного часу під час введення надзвичайного стану, в той час як на них також можна покласти певні зобов’язання. Погіршення ситуації навколо пандемії коронавірусу завершилось 24.10.2020 р. Оголошенням про блокування та одночасно оголошенням загальнодержавного тестування, яке відбудеться з 30.10.2020 р. По 1.11.2020 р. І, ймовірно, буде повторене наступними вихідними з 7.11. .2020 по 8.11.2020. Умови блокування, а також курс загальнонаціональних випробувань регулюються постановою уряду №. 678 від 22.10.2020 р. Та ні. 693 від 28.10.2020 р.

Комплексне тестування є добровільним, але для того, щоб особа не підпадала під дію правил комендантської години, вона повинна мати можливість продемонструвати негативні результати при тестуванні на антиген чи ПЛР. Особи, які беруть участь у тестуванні, але результат навіть одного члена домогосподарства буде COVID-19 позитивним, зобов’язані залишатися на 10-денному домашньому карантині. Як буде перевірятись дотримання обов’язкового карантину? Чи вважається результат тесту особистими даними? Чи може роботодавець попросити вас довести результат тесту і чи може він навіть попросити вас відповісти, чи брали ви участь у всебічному тестуванні? Відповіді на ці запитання для нас були роз'яснені попереднім висновком Управління захисту персональних даних Словацької Республіки (далі - "Управління").

Це результат тесту на особисті дані COVID-19?

Так. Питання всебічного тестування також безпосередньо пов’язане зі сферою захисту персональних даних, оскільки згідно з GDPR та Законом про захист персональних даних, персональна інформація - це вся інформація, яка стосується ідентифікованої або ідентифікованої особи. Простіше кажучи, особисті дані - це вся інформація, що стосується особи, яку можна прямо чи опосередковано ідентифікувати на її основі. Якщо результат тесту на COVID-19 стосується особи, яку можна прямо чи опосередковано ідентифікувати, це, без сумніву, особисті дані. Насправді це не просто будь-які особисті дані, а так звані. конфіденційні персональні дані, оскільки це є показником стану здоров’я, а отже регулюється ще більш суворими правилами.

При обробці персональних даних?

Обробка персональних даних означає будь-яку операцію обробки або сукупність операцій обробки, що стосуються персональних даних або файлів персональних даних, зокрема отримання, запис, організація, структурування, зберігання, модифікація, пошук, перегляд, використання, передача, розповсюдження або іншим чином, перегрупування або об'єднання, обмеження, видалення, здійснюється автоматизованими або неавтоматизованими засобами. Таким чином, обробка персональних даних - це будь-яка діяльність з персональними даними, без. незалежно від того, виконується воно в паперовій чи електронній формі.

Однак GDPR та Закон про особистий захист не застосовуються до всіх видів діяльності з обробки за будь-яких обставин. GDPR застосовується до обробки персональних даних, що здійснюється повністю або частково автоматизованими засобами, та до обробки персональних даних неавтоматизованими засобами, оскільки особисті дані, які є частиною інформаційної системи або мають на меті стати частиною інформаційна система. Звідси випливає, що GDPR потрібно дотримуватися лише в тому випадку, якщо оброблені персональні дані є частиною інформації. системи або призначені для цього.

За яких обставин можна обробити результат тесту на COVID-19?

Обробляти т. Зв конфіденційні персональні дані, що також є результатом тесту на COVID-19, можливе лише у випадках, визначених GDPR та Законом про захист персональних даних. Відповідно до ст. 9 пар. 2 GDPR дані про стан здоров’я можуть оброблятись лише у таких випадках:

Таким чином, результат тесту на COVID-19 може бути оброблений лише у будь-якому з вищезазначених випадків.

Ваш роботодавець може попросити вас надати результат тесту на COVID-19?

Це питання викликало таку бурхливу дискусію серед жителів Словаччини, що потрібно було запитати про думку Управління з захисту персональних даних. Тому Управління видало попередній висновок 29 жовтня 2020 року, в якому він розглядає це питання таким чином:

Персональні дані працівника можуть оброблятися роботодавцем виключно на одній із правових засад, визначених GDPR. Більшість персональних даних обробляються в рамках трудових відносин на основі спеціальних правових норм, якими є, зокрема, Трудовий кодекс, Закон про державну службу, Закон про виконання роботи в суспільних інтересах тощо. Тому вони обробляються без необхідності виражати згоду працівника.

Наразі, відповідно до законодавчих норм, що стосуються трудових відносин, для обробки негативного результату тестування (і, можливо, також довідки Міністерства охорони здоров’я Словацької Республіки) відомство не знає відповідної правової бази, оскільки КЗпП передбачає як обов'язок у зв'язку зі станом здоров'я працівника лише повідомлення про його непрацездатність або іншу перешкоду на роботі, яка йому трапилася.

Однак Управління сприймає нинішню серйозну ситуацію, а також вказує на існування надзвичайного стану, який було оголошено з початку жовтня. Тому Суд завершує свою попередню думку: рекомендує, що стосується пункту С.1 Постанови Уряду № 693/2020 видано указ, який визначав би, які саме особи зобов’язані доводити негативний результат, хто має право вимагати підтвердження результату тестування, як довго і з якою метою це доведення буде здійснено. Простіше кажучи, наразі роботодавець не має правової основи мати можливість вимагати від вас будь-якого результату тесту на COVID-19 як умову вступу на роботу або роботи. Отже, якщо головний гігієніст Словацької Республіки видає указ, що регламентує всі необхідні вимоги, про що Бюро заявило у своєму попередньому висновку, вимога про доведення результату тесту на COVID-19 повинна відповідати GDPR.

Указ Управління охорони здоров’я

Згодом, 30 жовтня, Управління охорони здоров’я видало указ, яким розпорядився вживати заходів у разі загрози здоров’ю населення щодо режиму в’їзду осіб до приміщень та приміщень роботодавця. Відповідно до указу, у період з 2 листопада 2020 р. 05:00 год. до 9 листопада 2020 року 01:00 в інтересах захисту життя та здоров’я він наказує всім операторам установ забороняти вхід осіб у внутрішні та зовнішні приміщення, за винятком винятків, зазначених у постанові. На підставі цього винятку особа може довести, що потрапляє в приміщення оператора, підтвердивши негативний тест RT - PCR, проведений з 29 жовтня 2020 року по 1 листопада 2020 року, або сертифікат, виданий Міністерством охорони здоров’я Словацької Республіки, проведений з З 29 жовтня 2020 року по 1 листопада 2020 року організація, яка бере участь у всебічному тесті "Спільна відповідальність".

Однак для того, щоб перевірити, що особа не підпадає під заборону на в'їзд, оператор установки має право вимагати від особи, яка заходить у приміщення всередині приміщення або під відкритим небом, пред'явити відповідний документ, що підтверджує виконання цього зобов'язання. лише огляньте документ.

Декрет також наказує всім роботодавцям забороняти працівникам виходити на робоче місце протягом цього періоду, за винятком тих, хто відповідає умовам, встановленим указом. Тому працівники, які мають результат тесту на COVID-19, можуть вийти на робоче місце. Для того, щоб роботодавець перевірив, чи відповідає працівник будь-якій з умов вступу на робоче місце, роботодавець має право вимагати від працівника, який входить на робоче місце або в інше приміщення роботодавця, подати відповідний документ, що підтверджує виконання цієї умови. Роботодавець має право перевіряти лише результат тесту на COVID-19. Якщо роботодавець забороняє працівникові виходити на робоче місце у зв'язку з тим, що він не може довести негативний результат тесту на COVID-19, або іншого документа, що підтверджує відповідність будь-якій умові, передбаченій декретом, це вважається недотриманням.

Навіть указу недостатньо!

Навіть після того, як Управління охорони здоров’я видало очікуваний указ, який визначає умови, за яких оператор зобов’язаний просити замовника або працівника перевірити результат тесту, Управління захисту персональних даних не вважає цього достатнім. У своїй думці від 31 жовтня він заявив, що «він здійснив юридичний аналіз щодо захисту персональних даних, який надіслав UVZ SR. На основі цього аналізу він дійшов висновку, що положення Закону № 355/2007 Coll., Який указ має реалізувати, він не відображає у запропонованій редакції. З огляду на вищевикладене, Орган поки що підтримує свою думку на 29/10/2020 "Постанова уряду № 678 та 693, з точки зору захисту персональних даних, ми не вважаємо на сьогоднішній день достатньою правовою основою для обробки даних про здоров'я.“. З наведеної думки випливає, що ні урядова резолюція, ні указ Управління охорони здоров'я із змінами не можуть розглядатися як достатня правова основа для обробки персональних даних про стан здоров'я.

Урядова канцелярія не погоджується!

Висновок

У зв'язку з розумінням оператором або роботодавцем результату тесту COVID-19, спочатку необхідно вирішити питання про те, коли ці дані є персональними даними та коли вони обробляються. Результатом тесту є особисті дані, лише якщо вони стосуються особи, яку можна прямо чи опосередковано ідентифікувати. Його обробка відбувається лише в тому випадку, якщо обробка виконується повністю або частково автоматизованими засобами або неавтоматизованими засобами, якщо результат випробування є частиною інформаційної системи або призначений складовою частиною інформаційної системи. Звідси випливає, що за певних обставин, якщо напр. поліцейський перевірив результат тесту при вході в магазин і не захотів записати чи обробити ці дані будь-яким іншим способом, це зовсім не обов’язково обробка персональних даних, на яку поширюється GDPR та закон про захист персональних даних. Однак, якщо, наприклад, роботодавець зазначив у картотеці працівника, що він подав негативний результат тесту на перевірку, можливо, мова вже йшла про обробку персональних даних.

Для випадків, коли це справді йшлося б про. обробляючи персональні дані, необхідно дотримуватись GDPR та виконувати всі зобов’язання застосовувати до нього. Одним із них є дотримання законності обробки персональних даних. У цьому контексті необхідно мати належну правову основу для обробки персональних даних. На його думку, Управління захисту персональних даних заявляє, що особисті дані можуть оброблятися на законних підставах виконання юридичного зобов'язання, тобто якщо це зобов'язання виникає для оператора із закону. При цьому Трудовий кодекс, Постанова уряду № 678, постанова уряду No 693 і навіть Декрет Управління охорони здоров'я у його нинішній редакції не враховується достатня правова основа для обробки персональних даних про здоров'я, тобто для обробки результату тесту на COVID-19. Однак Управління уряду Словацької Республіки це відхиляє.

Ми висловлюємось за те, що ні сам Трудовий кодекс, ні згадані вище постанови уряду прямо не покладають на оператора обов'язок обробляти персональні дані у формі результату тесту COVID-19. Що стосується указу Управління охорони здоров’я, то Управління з питань захисту персональних даних не опублікувало юридичного аргументу, для якого він вважає цей указ недостатнім.

На наш погляд, під час обробки персональних даних у зв’язку з пандемією COVID-19 має місце наступна правова основа:

  • - обробка необхідна для виконання юридичного обов’язку контролера
  • - обробка необхідна для виконання завдання, яке виконується в інтересах суспільства або для здійснення службових повноважень, наданих контролеру;
  • - або навіть якщо обробка необхідна для цілей законних інтересів, яких переслідує контролер або третя сторона, за винятком випадків, коли такі інтереси переважають інтереси або основні права та свободи суб'єкта даних, що вимагає захисту персональних даних, зокрема, коли суб'єкт даних є дитиною.

При обробці спеціальної категорії персональних даних, включаючи дані про негативний результат тесту COVID-19, на наш погляд, можлива одна з наступних правових засад:

  • - обробка необхідна для виконання зобов’язань та здійснення спеціальних прав контролера або суб’єкта даних у галузі трудового законодавства та законодавства про соціальне забезпечення та соціальний захист, наскільки це дозволено законодавством Союзу чи держави-члена або колективним договором згідно із законодавством держав-членів, що забезпечує належні гарантії прав та інтересів відповідної особи;
  • - обробка необхідна з причин вищого суспільного інтересу відповідно до законодавства Союзу або держав-членів, які пропорційні переслідуваній меті, поважають суть закону про захист даних та встановлюють відповідні та конкретні заходи для захисту основних прав та інтересів суб'єкта даних;
  • - обробка необхідна з міркувань, що становлять суспільний інтерес у галузі охорони здоров’я, таких як захист від серйозних транскордонних загроз здоров’ю або забезпечення високого рівня якості та безпеки охорони здоров’я та лікарських засобів чи виробів медичного призначення в межах Союзу чи держави-члена закон, що встановлює відповідні та конкретні заходи щодо захисту прав і свобод відповідної особи, зокрема професійної таємниці;

Нарешті, зауважте, що контролер повинен виконувати всі зобов’язання, що випливають з GDPR, під час обробки цих персональних даних. Сюди входить, наприклад, обов'язок надання інформації, згідно з якою зацікавлені особи повинні бути проінформовані про умови обробки персональних даних та їх права. Якщо вас цікавлять ваші зобов’язання стосовно GDPR, на практиці прочитайте книгу GDPR.