GDPR v času epidemije COVID-19
Pred nekaj meseci smo bili vsi zelo previdni pri zbiranju podatkov strank, da ne bi kršili določb GDPR. Sprejeli smo pravilnike, sestavili izjave in budno opazovali, kaj in kako nam stranka podpisuje. Številne stranke so se po pravno mnenje obrnile na nas, odvetnike, in nas prosile za pomoč pri usklajevanju njihovih aktov s Splošno uredbo o varstvu podatkov (GDPR) in smo za ta namen imeli številne posvete in konference. In potem...
… je na naša vrata potrkal COVID-19 in vse se je ustavilo. Oziroma se ni ravno ustavilo, temveč so se sprejeli novi ukrepi, ki smo jih dolžni spoštovati prav vsi. Gre za ukrepe, kot so omejitve gibanja, prepovedi javnih srečanj, odpovedi pouka in raznih dogodkov ipd., najpogosteje pa prav ti ukrepi zajemajo tudi obdelavo posebne kategorije osebnih podatkov. Torej se sedaj lahko upravičeno vprašamo: Ali so ti ukrepi usklajeni s Splošno uredbo o varstvu podatkov (GDPR)?
Spomnimo se, da takšni ukrepi vključujejo tudi natančno spremljanje okuženih oseb in vseh tistih, s katerimi so okuženi bili v stiku. Tako se zbirajo in obdelujejo podatki o zdravstvenem stanju in vsem ostalem, kar bi lahko pripomoglo v boju proti virusu, kar zahteva množično obdelavo osebnih podatkov, ki vključuje tudi posebne kategorije podatkov, katerih obdelava je kot taka prepovedana. Medtem smo imeli tudi karanteno, zaradi katere je naša družba postala popolnoma odvisna od informacijske tehnologije in digitalnih storitev, pri katerih se samodejno sprejema brezplačno pridobivanje naših osebnih podatkov s strani tretjih oseb.
Upoštevati moramo, da gre za višjo silo, in da je sprejetje takšnih ukrepov vsekakor potrebno za ohranitev našega zdravja, vendar se na tem mestu poraja vprašanje: V kolikšni meri smo pripravljeni obvarovati svojo zdravstveno varnost, koliko žrtvovati svojo svobodo in v kolikšni meri dovoliti objavo svojih podatkov. Do katere mere je to sploh zakonito? Na ta vprašanja bomo poskušali odgovoriti ne zgolj ob upoštevanju določb Splošne uredbe o varstvu podatkov (GDPR), temveč tudi z upoštevanjem zakonov, ki so sprejeti na državni ravni in razlage teh zakonov s strani pristojnih organov znotraj Evropske unije.
Splošna uredba o varstvu osebnih podatkov (GDPR), ki je začela veljati maja 2018, čeprav je bila sprejeta že aprila 2016, je predvidela naložitev zelo visokih glob za primere nezakonitega zbiranja in obdelave osebnih podatkov. Načela GDPR nalagajo, da se v ospredje postavi posameznika, na katerega se nanašajo osebni podatki, in na varovanje njegovih pravic in interesov ter v zvezi s tem zelo strogo določa pogoje, pod katerimi se osebni podatki lahko zbirajo (t. i. pravna podlaga) ter kako in kdo jih lahko obdeluje. Po teh večjih regulacijskih spremembah in s tako dramatičnim napredkom pri urejanju varstva podatkov, so se v zadnjem letu pojavile tudi prve potrjene kršitve osebnih podatkov in izrečene so bile visoke denarne kazni.
GDPR torej prepoveduje obdelavo posebnih kategorij osebnih podatkov, ki vključujejo tudi podatke posameznika o njegovem zdravstvenem stanju, brez posebnega soglasja. In kakor vsak zakon predvideva določene izjeme, tako tudi GDPR kljub temu dovoljuje obdelavo podatkov, ki se izvaja z namenom varovanja javnega zdravja, kot je npr. zaščita pred resnimi čezmejnimi nevarnostmi za zdravje, ki je kot taka dovoljena. To samo po sebi vključuje tudi obdelavo osebnih podatkov, ki je potrebna zaradi zagotavljanja visokih standardov kakovosti ter varnosti zdravstvene oskrbe in zdravil. V zvezi s tem je zlasti poudarjeno, da obdelava, potrebna za namene preventivne medicine ali medicine dela za oceno delovne sposobnosti zaposlenih, medicinske diagnostike, zagotavljanja zdravstvenega ali socialnega varstva ali zdravljenja, GDPR kot izjemo določa, da je obdelava posebne kategorije osebnih podatkov dovoljena tudi brez izrecnega soglasja osebe, katere podatki se obdelujejo.
Čeprav je obdelava podatkov v zgoraj navedenih situacijah dovoljena, to ne pomeni, da je tudi popolnoma »liberalizirana«. Določbe GDPR namreč izrecno določajo, da je treba zmeraj zagotoviti organizacijske in tehnične ukrepe za varstvo osebnih podatkov, in da morajo osebe, katerih podatki se obdelujejo, biti seznanjene z obdelavo in svojimi pravicami. Če se smatra, da se podatki ne obdelujejo v skladu z GDPR, se lahko vloži pritožba pri nadzornem organu (AZOP) in se v primeru ugotovitve kršitve osebnih podatkov lahko uveljavlja pravica do odškodninskih postopkov.
Kakor se je pandemija COVID-19 pojavila v številnih evropskih državah še pred Hrvaško, tako je tudi Evropski odbor za varstvo osebnih podatkov posredoval že marca letos in merodajnim zdravstvenim ustanovam in delodajalcem odobril obdelavo osebnih podatkov posameznikov v kontekstu krize, ki jo je povzročila pandemija. V skladu z državnimi zakoni, seveda. V svojem uvodnem mnenju Evropski odbor poudarja, da GDPR kot osnovni predpis, ki ureja obdelavo osebnih podatkov, brezpogojno ne prepoveduje ukrepov, ki so sprejeti in se uporabljajo v borbi proti pandemiji, vendar hkrati tudi poudarja, da morajo vodje in izvrševalci obdelave skrbeti za osnovna načela varstva osebnih podatkov ne glede na pandemijo, zato bi obdelava osebnih podatkov tudi v teh kriznih časih morala biti zakonita, sprejete ukrepe pa bi bilo treba prilagajati okoliščinam. Torej bi sprejeti ukrepi na državni ravni glede pandemije COVID-19 morali biti v skladu z državnimi zakoni in smernicami, ki so določeni z navodili, kdaj je takšna obdelava potrebna za zaščito državnih interesov zagotavljanja zdravja ljudi.
In kaj konkretno to pomeni? Preprosto rečeno, to pomeni, da se lahko v takih izjemnih primerih pri pridobivanju osebnih podatkov izključi obveza sklicevanja na soglasje posameznika, na katerega se le-ti nanašajo, seveda ob izpolnjevanju vseh drugih zahtev za veljavno obdelavo osebnih podatkov. Na primer v primerih, ko osebne podatke, ki vključujejo tudi posebne kategorije osebnih podatkov (podatke o zdravstvenem stanju), v času krize obdelujejo javni organi (npr. zdravstvene ustanove), Evropski odbor podaja mnenje, da je obdelava osebnih podatkov dovoljena v okviru zakonitega mandata javnega organa in v skladu z državnimi zakoni in osnovnimi načeli GDPR.
Na podlagi navedenega lahko sklepamo, da se osebni podatki, ki se nanašajo na zdravje (in druge posebne kategorije osebnih podatkov), ki se sicer ne smejo obdelovati, v tem primeru VENDARLE smejo obdelovati, če je obdelava potrebna za zagotavljanje javnega zdravja, preprečevanje čezmejnih nevarnosti za zdravje ali zagotavljanje visokih standardov kakovosti in zaščiti zdravstvenega varstva, zdravil in medicinskih pripomočkov, AMPAK pod pogojem, da so takšni (izredni) ukrepi utemeljeni z zakonom. Ponovno opozarjamo, da so le v izrednih okoliščinah izredni ukrepi lahko usklajeni z uredbo GDPR, kot je na primer pandemija in kriza, ki jo trenutno povzroča koronavirus, ter da morajo ti ukrepi biti strogo časovno omejeni na trajanje krize, zaradi katere so bili tudi uvedeni.
Za vsa vprašanja ali nejasnosti, slobodno nas kontaktirajte .