31. Marts 2020 /NR. 13 (1123)
Skaidrojumi. Viedokļi
Covid-19 un personas datu apstrāde darbā
2
Dr. iur.
Veronika Sajadova
Sertificēta personas datu aizsardzības speciāliste, CIPP/E, Swedbank Grupas Latvijā Personas datu aizsardzības speciāliste, Finanšu nozares asociācijas GDPR darba grupas vadītāja 
SATURA RĀDĪTĀJS

2019. gada koronavīrusa slimības jeb Covid-19 pandēmija kļuva par izaicinājumu ne tikai privātpersonu veselībai un drošībai, bet arī juridisko personu darbības nepārtrauktībai, ilgtspējai un maksātspējai un pat valsts pārvaldes un tās leģitimātes nodrošināšanai.

Kamēr mediķi nenogurstoši glābj cilvēku dzīvības, tiesības uz privātumu un personas datu aizsardzību aizsargā Eiropas personas datu aizsardzības uzraudzības iestādes (turpmāk – PDAUI).

Bieži saka, ka ārkārtas apstākļi prasa ārkārtas rīcību. Taču arī šādai rīcībai ir jābūt atbilstošai reglamentējošām prasībām. Atgādināšu, ka ar 2018. gada 25. maiju Eiropas Savienībā (turpmāk – ES) kļuva piemērojama Vispārīgā datu aizsardzības regula1 (turpmāk – Datu regula). Šī regula tika izstrādāta, arī lai harmonizētu sadrumstalotas personas datu aizsardzības prasības. Taču, neskatoties uz vienotu tiesisko ietvaru, praksē ES dalībvalstu PDAUI interpretācijas un gaidītais var atšķirties.

Lai sekmētu vienveidīgu Datu regulas piemērošanu, šajā rakstā apkopota vairāku Eiropas PDAUI labā prakse attiecībā uz personas datu apstrādi darbā sakarā ar infekcijas slimībām (ieskaitot Covid-19).2

 

1. Vai noteikta informācija ir uzskatāma par personas datiem, jo īpaši veselības datiem?

Saskaņā ar Datu regulas 4. panta 1. punktu personas dati ir "jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (datu subjekts); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem". Kad informācijai tiek noņemti kā tiešie, tā arī netiešie identifikatori, šāda informācija kļūst par anonīmu, un Datu regula vairs neattiecas uz tās apstrādi, ieskaitot statiskas nolūkos (26. apsvērums).

Savukārt veselības dati ir definēti kā "personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli" (Datu regulas 4. panta 15. punkts). Zviedrijas PDAUI precizē, ka tie ir dati par personas pagātnes, pašreizējo un nākotnes fizisko vai garīgo veselības stāvokli. Turklāt veselības dati uzskatāmi par īpašu kategoriju personas datiem, kurus ir aizliegts apstrādāt, ja vien nav piemērojams kāds no Datu regulas 9. panta 2. daļas nosacījumiem.

Par personas datiem neuzskata:

– ķermeņa temperatūras mērījumus, ja vien šai informācijai nepievieno privātpersonu identificējošus datus (Beļģija). Pretēji šim viedoklim Slovākijas PDAUI uzskata ķermeņa temperatūras mērījumus par veselības datiem, tātad arī personas datiem;

– informāciju par to, ka konkrētā vietā, piemēram, uzņēmumā, pašvaldībā, skolā, veselības centrā utt., ir reģistrēts infekcijas gadījums, ja vien uz šīs informācijas pamata nevar identificēt konkrētu privātpersonu (Slovēnija);

– statistikas datus, uz kā pamata nevar identificēt konkrētu privātpersonu, piemēram, pēc dzimuma, vecuma, ielas, darbavietas utt. (Slovēnija). Lai izvairītos no inficētās personas iespējamās identifikācijas, veidojot karti ar saslimšanas vietām, Datu valsts inspekcija iesaka norādīt konkrēto pilsētu vai apdzīvoto vietu, kur ir vairāk iedzīvotāju, vai arī apstrādāt datus lielākas apdzīvotas vietas teritorijas mērogā;

– informāciju par to, kurās valstīs darbinieks ir bijis nesen (lai noteiktu, vai darbinieks gadījumā nav bijis kādā no riska zonas valstīm) vai arī vai darbinieks ir bijis saskarē ar inficēto personu vai personu, kurai ir aizdomas par simptomiem. Igaunijas PDAUI ieskatā, tie ir viedokļi par faktu, nevis konkrēta indivīda personas dati, tostarp veselības dati.

Savukārt par veselības datiem uzskata informāciju par to, ka kāds ir inficēts ar Covid-19 (Igaunija, Dānija, Norvēģija, Zviedrija).

Darba devējs drīkst vākt darbinieka tuva radinieka kontaktinformāciju, lai sazinātos ar šo personu darbinieka nelaimes gadījumā vai slimības laikā.

Turpretī par veselības datiem neuzskata (taču joprojām uzskata par personas datiem):

– informāciju par to, ka darbinieks ir atgriezies no Covid-19 riska zonas valsts (Dānija, Norvēģija, Zviedrija);

– informāciju par to, ka kāds atrodas karantīnā, nesniedzot sīkāku informāciju par iemeslu (Dānija, Norvēģija, Zviedrija).

 

2. Vai darbiniekam ir jāinformē darba devējs par inficēšanos ar Covid-19?

Uzskatāms, ka darbiniekam ir jāinformē darba devējs par inficēšanos ar Covid-19 vai par aizdomām šajā sakarā (Francija, Luksemburga, Spānija, Ungārija, Vācija).

Latvijas darbinieku vispārīgās tiesības un pienākumi izriet no darba tiesisko attiecību reglamentējošiem tiesību aktiem. Piemēram, saskaņā ar Darba aizsardzības likumu3 darbiniekam ir pienākums rūpēties par savu drošību un veselību un to personu drošību un veselību, kuras ietekmē vai var ietekmēt viņa darbs, kā arī nekavējoties ziņot darba devējam "par jebkuriem darba vides faktoriem, kuri rada vai var radīt risku personu drošībai un veselībai" (17. pants). Turklāt likums uzliek darbiniekam par pienākumu sadarboties ar darba devēju drošas darba vides un darba apstākļu nodrošināšanā, lai neradītu risku darbinieka drošībai un veselībai.

Savukārt saskaņā ar Darba likuma4 81. pantu darbiniekam ir "pienākums rūpēties par to, lai pēc iespējas novērstu vai mazinātu šķēršļus, kas nelabvēlīgi ietekmē vai var ietekmēt parasto darba gaitu uzņēmumā, kā arī par to, lai pēc iespējas novērstu vai mazinātu draudošus vai jau radušos zaudējumus". Par minētajiem šķēršļiem, zaudējumu rašanās draudiem vai jau esošiem zaudējumiem darbiniekam ir jāpaziņo darba devējam nekavējoties.

Līdzīga satura normas paredzētas arī citu ES dalībvalstu tiesību aktos. Attiecīgi, pat ja šo valstu PDAUI tieši neatzīst darbinieka pienākumu informēt darba devēju par inficēšanos ar Covid-19, uzskatu, ka šis pienākums izriet no vispārīgā darbinieka pienākuma rūpēties par savu, kā arī citu personu veselību un drošību un nekavējoties ziņot darba devējam par jebkuriem draudiem.

 

3. Vai darba devējs drīkst likt saviem darbiniekiem vai apmeklētājiem aizpildīt medicīnisko anketu vai anketu, kas attiecas uz viņa nesenajiem braucieniem un/vai Covid-19 simptomiem?

Attiecībā uz šo jautājumu ES dalībvalstu PDAUI viedokļi ir dalījušies.

Konservatīvu nostāju ieņem Francija un Beniluksa valstis. Šo valstu PDAUI ieskatā, darba devējs nedrīkst likt katram darbiniekam aizpildīt medicīnisko anketu. Tā vietā Beļģijas, Francijas un Luksemburgas PDAUI iesaka aicināt darbiniekus individuāli ziņot darba devējam vai kompetentai iestādei veselības nozarē par Covid-19 simptomu esamību vai ceļojumu uz riska zonas valsti.5 Šajā sakarā uzraugi iesaka veidot speciālus kanālus, lai nodrošinātu datu pārraides drošību un konfidencialitāti. Tai pašā laikā Francijas un Luksemburgas PDAUI uzskata, ka informācijas par Covid-19 simptomiem un nesenajiem braucieniem vākšana un izvērtēšana ietilpst veselības ie­stāžu kompetencē un darba devējam nevajadzētu uzņemties šos pienākumus.

Var teikt, ka neitrālu pozīciju ieņem Zviedrijas PDAUI. No vienas puses, tā uzskata, ka darba devējam jāizvairās no sistemātiskas informācijas vākšanas par darbinieka jebkurām slimībām. Taču papildus tiek pausts viedoklis, ka darba devēja tiesības veikt pārbaudi reglamentē darba tiesisko attiecību tiesību normas. Ja vien iegūtie dati netiek reģistrēti, piemēram, informācijas tehnoloģiju sistēmā, uz šādu datu vākšanu PDAUI pilnvaras neattiecas.

Savukārt izteikti liberālu viedokli pauž Igaunijas, Īrijas, Latvijas, Lielbritānijas, Lietuvas, Spānijas, Ungārijas un Vācijas PDAUI. Viņuprāt, darbinieku un pat apmeklētāju personas datu, tostarp veselības datu, vākšana, apkopošana un tālākā apstrāde ietilpst darba devēja pienākumos. Tiešām darba devējam ir juridisks pienākums nodrošināt drošu darba vidi, un tas atbilst arī darbinieku gaidām. Lai izpildītu šo pienākumu, darba devējam ir svarīgi zināt, ka persona ir inficējusies ar Covid-19 vai ir bijusi saskarē ar inficēto personu, vai arī attiecīgajā posmā ir uzturējusies riska zonas valstī, jo personas veselības stāvoklis var radīt draudus viņam pašam, pārējam personālam un citām personām. Iegūtā informācija var palīdzēt darba devējam izstrādāt rīcības plānu ārkārtas situācijā, pieņemt lēmumu attiecībā uz ierobežojumu ieviešanu darbā, darba veikšanu attālinātā režīmā u.tml.

Vienlaikus Ungārijas PDAUI precizē, ka darbinieku anketēšana var notikt, ja šāda datu apstrāde ir nepieciešama un samērīga un notiek saskaņā ar uzņēmuma iepriekš veikto risku novērtējumu (skat. 10. jautājumu). Taču, uzrauga ieskatā, minētajā anketā nedrīkst iekļaut jautājumus par darbinieka veselības vēsturi, kā arī darba devējs nav tiesīgs lūgt darbiniekam iesniegt veselības datus saturošus dokumentus. Turpretī darba devējs drīkst reģistrēt darbinieka sniegto informāciju par to, ka viņš ir inficēts ar Covid-19 vai viņam ir aizdomas par inficēšanos, ziņojuma saņemšanas datumu un darbinieka identitāti, darbinieka braucienu uz riska zonas valsti, pat ja tas bija privāta rakstura brauciens, informāciju par saskari ar personām, kas atbraukušas no riska zonas valsts, darbinieka veiktos pasākumus (piemēram, konsultēšanos ar ārstu, karantīnu). Arī Spānijas uzraudzības iestāde uzskata, ka uzdotajiem jautājumiem ir jābūt ierobežotiem, jo plašu un detalizētu anketu izmantošana veselības jomā vai tādu jautājumu uzdošana, kas nav saistīti ar Covid-19, neatbilst datu minimizēšanas principam. Igaunijas un Lietuvas uzraugi iesaka darba devējam nedokumentēt/nereģistrēt darbinieku un apmeklētāju atbildes uz jautājumiem, vai tie ir inficējušies ar Covid-19 un vai tiem ir simptomi. Īrijas PDAUI turpretī uzskata, ka atbilžu dokumentēšanai jābūt pamatotai, faktiskai un ierobežotai, jo tā var ļaut uzņēmumam īstenot efektīvus veselības un drošības pasākumus. Attiecībā uz darbinieku un apmeklētāju anketēšanu Īrijas PDAUI pauž viedokli, ka tā var notikt, ja ir pamatota, nepieciešama un samērīga, kā arī ja ir izvērtēti ar to saistītie riski. Būtu jāņem vērā uzņēmuma specifiskie organizatoriskie faktori, piemēram, darbinieku komandējumi, mazāk aizsargāto personu atrašanās darbavietā, kompetento iestāžu veselības nozarē norādījumi un vadlīnijas.

Savukārt Lielbritānijas uzraudzības iestāde iesaka uzņēmumiem samazināt vācamās informācijas apjomu, lūdzot apmeklētājiem pirms apmeklējuma izvērtēt valdības norādījumus un ieteikumus kā arī sazināties ar kompetento iestādi veselības nozarē, ja persona ir atgriezusies no ārzemēm vai izjūt slimības simptomus. Ungārijas PDAUI iesaka uzņēmumiem aicināt ārstniecības personas veikt testus un attiecīgi būt informētiem tikai par testa rezultātiem, lai tādējādi neuzņemtos kompetento iestāžu veselības nozarē pienākumus.

Dānijas uzraugs kaut arī uzskata, ka darba devējs drīkst lūgt darbiniekam sniegt informāciju, taču tikai tādu, ko nevarētu uzskatīt par veselības datiem, piemēram: vai darbinieks ir atgriezies no riska zonas valsts, vai atrodas karantīnā (nenorādot iemeslu) un vai ir slims (nenorādot iemeslu). Lietuvas PDAUI šiem jautājumiem pievieno informāciju par to, vai darbinieks ir kontaktējies ar personu, kura atgriezusies no riska zonas valsts vai kurai ir Covid-19 simptomi. Savukārt Datu valsts inspekcija uzskata, ka darba devējs var iegūt no darbinieka informāciju, vai darbinieks pēdējo 14 dienu periodā ir bijis ārvalstīs un vai ir bijis kontaktā ar Covid-19 inficētu personu vai kontaktpersonu. Kā minēts iepriekš (skat. 1. jautājumu), Igaunijas PDAUI vispār neuzskata par personas datiem, bet gan par viedokli par faktu informāciju par to, kurās valstīs darbinieks ir bijis nesen (lai noteiktu, vai darbinieks gadījumā nav bijis kādā no riska zonas valstīm) vai arī vai darbinieks ir bijis saskarē ar inficēto personu vai personu, kurai ir aizdomas par simptomiem.

 

4. Vai uzņēmums vai darba devējs drīkst veikt vispārēju un sistemātisku darbinieku un/vai apmeklētāju ķermeņa temperatūras mērīšanu?

Uzņēmumam vai darba devējam vajadzētu izvairīties no vispārējas un sistemātiskas darbinieku un/vai apmeklētāju ķermeņa temperatūras mērīšanas (Francija, Lietuva), it īpaši, ja to paredzēts veikt obligātā kārtā katru dienu (Luksemburga) un attiecībā uz visiem darbiniekiem (Ungārija). Zviedrijas uzraudzības iestāde uzskata ķermeņa temperatūras mērīšanu par būtisku privātuma pārkāpumu, bet Beļģijas PDAUI, kā minēts iepriekš (skat. 1. jautājumu), vispār neuzskata ķermeņa temperatūras mērījumus par personas datiem, ja vien šai informācijai nav pievienoti privātpersonu identificējoši dati.

Ķermeņa temperatūras mērīšana ir atļauta prevencijas nolūkos ar nosacījumu, ka tiek ievēroti datu aizsardzības noteikumi (Spānija) vai mērījumi netiek pierakstīti (Nīderlande) vai kā citādi uzkrāti, apkopoti, glabāti un turpmāk izmantoti (Latvija). Interesanti atzīmēt, ka Krievijā darba devējam ir rekomendēts, bet Maskavā – pat ir uzlikts par pienākumu mērīt darbinieku ķermeņa temperatūru pie ieejas un, ja nepieciešams, darba dienas gaitā, izmantojot bezkontakta vai kontakta aparātus temperatūras mērīšanai (elektrotermometrus, infrasarkanos termometrus, termovizorus), paredzot, ka persona ar paaugstinātu temperatūru netiks ielaista vai arī tiks atstādināta no atrašanās darba vietā.

 

5. Vai darba devējs drīkst atklāt informāciju par Covid-19 izplatību savā uzņēmumā?

ES dalībvalstu PDAUI pieļauj iespēju darba devējam informēt citus darbiniekus un trešās personas, kurām šāda informācija ir vajadzīga, par inficēšanās faktu vai par aizdomām, taču pēc iespējas izvairoties no inficētās personas identitātes atklāšanas.

Identitātes atklāšana var notikt izņēmuma kārtā, ja tam ir skaidrs pamatojums, piemēram, lai īstenotu piesardzības pasākumus, piemēram, attālināto darbu, konsultēšanos ar ārstu (Dānija, Luksemburga, Vācija, Zviedrija), vai kad nolūku nav iespējams sasniegt ar daļēju informācijas sniegšanu (Spānija), vai arī ja ir augsts risks citas personas dzīvībai, veselībai vai brīvībai (Igaunija). Turklāt Igaunijas PDAUI uzskata, ka infekcijas slimība, ar kuru jebkurš darbinieks var inficēties jebkur citur, nav pietiekams pamats identitātes atklāšanai. Tāpēc uzraugs iesaka drīzāk sazināties ar inficēto darbinieku, lai noskaidrotu, ar ko tas ir pietiekami daudz kontaktējies slimības inkubācijas periodā, piemēram, piedalījies kopīgā sanāksmē, un pēc tam sazināties ar norādītām personām. Ja darba devējs tomēr nolemj atklāt inficētā darbinieka identitāti, Eiropas datu aizsardzības kolēģijas (turpmāk – EDAK) un atsevišķi Zviedrijas uzraudzības iestādes ieskatā, attiecīgais darbinieks par to ir jāinformē.

Tāpat darba devējam nevajadzētu atklāt informāciju, ka darbinieks atrodas karantīnā. Citus darbiniekus var informēt, ka darbinieks strādā no mājām (nenorādot iemeslu) un kā ar viņu var sazināties (Zviedrija). Savukārt personām ārpus uzņēmuma jāsniedz informācija, ka darbinieks neatrodas darbā vai arī nav pieejams (Norvēģija, Zviedrija). Ja darbinieks strādā no mājām un ar viņu nav iespējams sazināties caur uzņēmuma piedāvāto kontaktinformāciju (piemēram, darba e-pastu), konsultējoties ar darbinieku, darba devējam jāizlemj, kā nepiederošām personām darīt zināmu aktuālo darbinieka kontaktinformāciju (Zviedrija). Ja karantīnā atrodas vai citu iemeslu dēļ nav pieejams liels skaits darbinieku, uzņēmuma vadībai jāsagatavo komunikācijas plāns, kā atbilstoši un savlaicīgi informēt ārpakalpojumu sniedzējus, klientus un sabiedrību (Norvēģija).

Inficētās personas identitātes konfidencialitāti nodrošina Datu regulā nostiprinātais konfidencialitātes princips (5. panta 1. punkta (f) apakšpunkts). PDAUI vērš uzmanību, ka šī principa pārkāpšana attiecībā uz inficēto personu var radīt risku šīs personas tiesībām, interesēm un brīvībām, kā arī veicināt šīs personas sociālo stigmatizēšanu un diskrimināciju.

Neapšaubāmi, inficētās personas identitāte var tikt atklāta pēc pieprasījuma ārstam vai kompetentām iestādēm, ieskaitot iestādes veselības nozarē. Katrs pieprasījums un tā pamatojums jāvērtē no gadījuma uz gadījumu.

Atklājot inficētās personas identitāti, pārzinim jāievēro:

– nolūka ierobežojuma princips (Datu regulas 5. panta 1. punkta (b) apakšpunkts), jo datu atklāšanas nolūkam jābūt konkrētam, skaidram un leģitīmam;

– datu minimizēšanas princips (Datu regulas 5. panta 1. punkta (c) apakšpunkts), jo drīkst atklāt tikai tādu informācijas apjomu, kāds nepieciešams datu apstrādes nolūka sasniegšanai. Tātad katrā gadījumā jāvērtē, vai datu apstrādes nolūks var tikt sasniegts, "pasakot mazāk" (Dānija). Turklāt, ja uzņēmumam jāsniedz tikai statistikas dati, nav pamata atklāt privātpersonu identificējošu informāciju (Lietuva);

– precizitātes princips (Datu regulas 5. panta 1. punkta (d) apakšpunkts), jo atklātai informācijai ir jābūt faktiskai un precīzai;

– proporcionalitātes princips.6 EDAK ieskatā, ņemot vērā sasniedzamo mērķi, jādod priekšroka vismazāk tiesības skarošam risinājumam;

– pārskatatbildības princips (Datu regulas 5. panta 2. punkts), jo pēc Lietuvas PDAUI rekomendācijas pārzinim būtu jādokumentē katrs personas datu atklāšanas gadījums.

 

6. Vai darba devējs drīkst vienpusēji izlemt, vai darbiniekam Covid-19 sakarā jāstrādā no mājām vai darba vietā?

Nīderlandes uzraudzības iestāde uzskata, ka darba devējs drīkst sūtīt darbinieku mājās, ja tam parādās saaukstēšanās vai gripas simptomi vai arī rodas aizdomas par šiem simptomiem. Datu valsts inspekcijas ieskatā, tas pat ir darba devēja pienākums, kas izriet no darba tiesisko attiecību reglamentējošajiem tiesību aktiem. Tāpat arī Igaunijas PDAUI uzskata, ka darba devējam būtu jādara viss iespējamais, lai nepieļautu inficētā darbinieka ierašanos darbavietā. Kopumā, kā minēts tālāk (skat. 10. jautājumu), Covid-19 izplatības ierobežošanas profilaktiskos nolūkos dažu ES dalībvalstu PDAUI iesaka darba devējiem veicināt attālinātu darba veikšanu.

Turpretī Īrijas un Zviedrijas PDAUI ir vienisprātis, ka jautājums par to, vai darba devējs var pieprasīt vai aizliegt darbiniekam strādāt no mājām, nav datu aizsardzības jautājums un tādējādi tas neietilpst PDAUI kompetencē.

 

7. Vai darbinieks var nepildīt dara devēja rīkojumu un turpināt nākt uz darbu?

Datu valsts inspekcijas ieskatā, ja darba devējs nav pielaidis darbinieku pie darba pienākumu pildīšanas un nosūtījis viņu mājās, taču darbinieks, nepildot darba dēvēja norādījumus, turpina nākt uz darbu, darba devējam ir tiesības par to ziņot Valsts policijai.

 

8. Vai darba devējs drīkst aizliegt darbiniekam tikties ar ģimeni brīvajā laikā vai ceļot uz ārzemēm?

Uz šo jautājumu atbildi sniedza Beļģijas PDAUI, uzskatot, ka parasti darba devējs nevar veikt pasākumus ārpus spēkā esošā darba attiecību tiesiskā regulējuma vai kompetento iestāžu norādījumiem. Līdz ar ko, ja šis jautājums nav saistīts ar personas datu apstrādi, Datu regula netiek piemērota.

 

9. Vai darba devējs drīkst vākt darbinieka radinieka kontaktinformāciju?

Darba devējs drīkst vākt darbinieka tuva radinieka kontaktinformāciju, lai sazinātos ar šo personu darbinieka nelaimes gadījumā vai slimības laikā. Jāteic, ka šādu datu vākšana atbilst gan darba devēja, gan darbinieka interesēm.

 

10. Kādi tehniski un organizatoriski, kā arī profilaktiski pasākumi jāveic darba devējam cīņā ar Covid-19 izplatību?

Kā pareizi atzīmēja Zviedrijas Darba vides iestāde, Covid-19 pirms vairākiem mēnešiem mums visiem bija nezināms risks. Turklāt jaunais vīruss darba vidē radīja vairāk risku nekā pats infekcijas risks.7 Kā zināms, Datu regula ir izstrādāta, pamatojoties uz risku balstītu pieeju. Tas nozīmē, ka pārzinim jāveic tādi tehniski un organizatoriski pasākumi, kas atbilst veiktās personas datu apstrādes riska pakāpei. Riska novērtējums un paredzētie pasākumi jāpielāgo konkrētam uzņēmumam un tā darbības specifikai. Turklāt tehniskie un organizatoriskie pasākumi jānosaka, ņemot vērā tehnikas līmeni (state of the art), īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus (Datu regulas 25. un 32. pants).

Tālāk apkopoti daži pasākumi un darbības, kuras ES dalībvalstu PDAUI īpaši iesaka veikt, lai samazinātu Covid-19 radītos riskus:

– izvērtēt, vai mērķi var sasniegt, neapstrādājot personas datus (Ungārija);

– ja nav iespējams iztikt bez personas datu apstrādes, nodrošināt tās atbilstību Datu regulai. EDAK savā ziņojumā par Covid-19 īpaši uzsvēra, ka pat šajos izņēmuma gadījumos, datu pārzinim un apstrādātājam jānodrošina datu subjektu personas datu aizsardzība.

Svarīgi atcerēties, ka, ja sakarā ar koronavīrusu pārzinim vai apstrādātājam jāveic jauna personas datu apstrāde vai arī izmaiņas esošajā apstrādē, tam ir jābūt atspoguļotam apstrādes darbību reģistrā (Datu regulas 30. pants). Pirms apstrādes uzsākšanas un reģistrācijas jāpārliecinās, ka datu apstrāde atbilst datu aizsardzības principiem (Datu regulas 5. pants).

Ja datu apstrāde pamatota ar pārziņa vai trešās personas leģitīmajām interesēm (Datu regulas 6. panta 1. punkta (f) apakšpunkts), pārzinim jāveic leģitīmo interešu novērtējums.

Kā arī, ja apstrādes veids var radīt augstu risku datu subjektu tiesībām un brīvībām, pārzinim pirms apstrādes jāveic novērtējums par ietekmi uz datu aizsardzību (Datu regulas 35. pants).

Ja jaunajā datu apstrādē pārzinis iesaista jaunu apstrādātāju, jānoslēdz līgums, kurā ir atrunāti datu aizsardzības jautājumi, vai arī jāveic izmaiņas jau esošajā līgumā (Datu regulas 28. pants).

Kā arī pārzinim jāveic nepieciešamie tehniskie un organizatoriskie pasākumi, kas atbilst Datu regulas 25. pantam (Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma) un 32. pantam (Apstrādes drošība).8 Atgādināšu, ka saskaņā ar Datu regulas 83. panta 2. punkta (d) apakšpunktu, lemjot par to, vai piemērot administratīvo naudas sodu, un vērtējot soda apmēru, uzraudzības iestāde nosaka pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā pasākumus, kas ir īstenoti atbilstoši šiem diviem pantiem;

– rīkoties ar rūpību, nodrošinot visu darbinieku un citu personu veselības un drošības aizsardzību darbavietā;

– izstrādāt uzņēmuma darbības nepārtrauktības plānu. Šajā sakarā jānosaka pasākumi darbinieku drošības aizsardzībai, jāidentificē galvenās darbības, kas jāsaglabā un jāturpina nodrošināt, jāapzinās darbinieki, kuriem ir būtiska loma pakalpojumu nepārtrauktības nodrošināšanā (Francija). Savukārt Ungārijas PDAUI iesaka izstrādāt tādu rīcības plānu, kas iekļauj preventīvus pasākumus draudu mazināšanai, pasākumus, kas jāveic, kad infekcija jau ir nokļuvusi uzņēmumā, sākotnējo datu aizsardzības risku novērtējumu (piemēram, attiecībā uz darbinieku anketēšanu – skat. 3. jautājumu), atbildības jomu sadalījumu uzņēmumā, efektīvu un adekvātu komunikācijas kanālu izveidošanu saziņai ar datu subjektiem;

– pēc vajadzības izstrādāt citas iekšējās instrukcijas un procedūras;

– veikt darba vides risku novērtējumu, lai noteiktu vislabākos pasākumus (Latvija, Zviedrija). Ja risku nevar pilnībā novērst, veikt pasākumus riska pārvaldībai;

– dokumentēt Covid-19 iedarbību, piemēram, gadījumus, kad ir salauzts vai nav izmantots aizsardzības aprīkojums vai nav ievērota iekšējā kārtība (Zviedrija);

– veikt Covid-19 izplatības ierobežošanas pasākumus, piemēram, ierobežot apmeklētājiem iekļūšanu uzņēmuma telpās (Ungārija), reorganizēt komandējumus (Luksemburga, Ungārija) vai veicināt attālinātu darba veikšanu (Francija, Lietuva, Luksemburga, Ungārija);

– informēt un izglītot darbiniekus, lai veicinātu izpratni par Covid-19 simptomiem, potenciāliem riskiem, profilaktiskiem pasākumiem cīņai ar Covid-19 izplatību;

– lūgt darbiniekus cieši sekot savai veselībai un informēt darbiniekus par pienākumu ziņot par Covid-19 simptomu parādīšanos (skat. 2. jautājumu) un, ja tādi parādās darba laikā, sūtīt darbinieku mājās (skat. 6. jautājumu);

– vākt no darbiniekiem un apmeklētājiem papildu informāciju Covid-19 sakarā (skat. 3. jautājumu);

– pēc vajadzības pārbaudīt slimā darbinieka e-pastu (Nīderlande). Salīdzinājumam jāatzīmē, ka Ungārijas PDAUI iepriekš jau piemēroja administratīvo naudas sodu aptuveni 3000 eiro apmērā darba devējam, kurš piekļuva darbnespējīgā darbinieka datoram un e-pastiem. Piekļuve tika īstenota, neinformējot darbinieku un nedodot viņam iespēju izdzēst privāta rakstura informāciju, piemēram, telefona numurus, ziņas;9

– ja darbinieks strādā no mājām un izmanto savu datoru – nodrošināt drošības pasākumus, kas būtu jāveic normālos darba apstākļos (Lielbritānija), piemēram, piekļuve datoram tikai ar drošu paroli vai citi pasākumi, kas samazina datu nozaudēšanas vai noplūdes risku (Slovākija). Salīdzinājumam jāatzīmē, ka Dānijas PDAUI iepriekš ir piemērojusi administratīvo naudas sodu divām pašvaldībām sakarā ar personas datu aizsardzības pārkāpumu. Vienā gadījumā darbinieka dators, kas saturēja aptuveni 20 000 iedzīvotāju personas datus, ieskaitot sensitīva rakstura informāciju, tika nozagts no pašvaldības telpām (sods aptuveni 14 400 eiro). Otrā gadījumā pašvaldības darbinieka dators, kas saturēja aptuveni 1600 pašvaldības darbinieku datus, ieskaitot sensitīva rakstura informāciju, tika nozagts no viņa automašīnas (sods aptuveni 6700 eiro). Uzraudzības iestāde secināja, ka abos gadījumos pašvaldības darbinieku datori nebija šifrēti, sakarā ar ko datu nozaudēšana radīja nepamatotu risku iedzīvotājiem;10

– ievērot kompetento iestāžu, ieskaitot iestāžu veselības nozarē, norādījumus un ieteikumus, kā arī vērsties pie šīm iestādēm ar jebkādiem jautājumiem par atbilstošiem pasākumiem cīņai ar Covid-19 izplatību un pēc pieprasījuma sniegt šīm iestādēm informāciju.

 

11. Uz kura pamata drīkst apstrādāt personas datus, jo īpaši veselības datus, Covid-19 sakarā?

Datu regula nosaka sešus tiesiskos pamatus personas datu apstrādei (6. pants) un vairākus nosacījumus īpašu kategoriju datu, tostarp veselības datu, apstrādei (9. pants).

Lai neierobežotu pārziņa veikto datu apstrādi, ES dalībvalstu PDAUI pauž viedokli, ka atkarībā no personas datu apstrādes mērķa pārzinis var paļauties uz dažādiem tiesiskajiem pamatiem un nosacījumiem:

a) datu subjekta piekrišana savu personas datu apstrādei – Vācijas PDAUI ieskatā, datu subjekta, kuru ietekmē ieviestie pasākumi, piekrišana var būt uzskatīta par atbilstošu tiesisko pamatu Covid-19 veiktās datu apstrādes sakarā, ja tā ir "informēta" un "brīvi sniegta";

– Igaunijas PDAUI ieskatā, veselības datu apstrādi var pamatot kopsakarā ar 9. panta 1. punkta (a) apakšpunktu;

b) līgums, kura līgumslēdzējā puse ir datu subjekts – neviens no šajā rakstā minētajām PDAUI neuzskata, ka Covid-19 sakarā veiktā personas datu apstrāde var tikt īstenota uz šī tiesiskā pamata;

c) uz pārzini attiecināms juridiskais pienākums – ar šo var pamatot datu apstrādi, kas izriet no ES vai to dalībvalstu tiesību aktiem. Taču šis tiesiskais pamats neattiecas uz trešo valstu tiesību aktiem, kā arī valsts iestāžu vadlīnijām, viedokļiem un citiem dokumentiem, kuri nav juridiski saistoši.

Jāteic, ka šo tiesisko pamatu kā atbilstošu Covid-19 veiktās datu apstrādes sakarā norāda EDAK un dažas PDAUI, piemēram, lai pamatotu:

– darba devēja veikto datu apstrādi, kas izriet no juridiskā pienākuma nodrošināt veselību un drošību darbavietā (EDAK);

– darbinieka pienākumu informēt darba devēju par inficēšanos, kas ir papildu pienākums aizsargāt trešo personu intereses (Vācija);

– darba devēja pienākumu sniegt informāciju kompetentām valsts iestādēm pēc pieprasījuma;

– veselības datu apstrādi kopsakarā ar 9. panta 2. punkta (b) apakšpunktā minēto nosacījumu (Īrija), piemēram, ārstniecības personas veikto veselības novērtējumu, t.i., infekcijas atklāšanu, kā arī darba devēja un to, kuri ir bijuši saskarē ar inficēto personu, informēšanu (Beļģija); veselīgas un drošas darba vides nodrošināšanu atbilstoši darba tiesisko attiecību reglamentējošiem tiesību aktiem (Ungārija); darbinieku drošības un veselības nodrošināšanu ar darbu saistītos aspektos (Spānija); darbinieku veselības datu apstrādi (Vācija); apmeklētāju veselības datu apstrādi (Vācija, Ungārija); attiecībās starp darba devēju un darbinieku, jo uz darba devēju attiecināmi noteikumi par arodslimību novēršanu (darba risku novēršanu) (Spānija);

– veselības datu apstrādi kopsakarā ar 9. panta 2. punkta (h) un (i) apakšpunktā minēto nosacījumu (Igaunija);

d) datu subjekta vai citas fiziskas personas vitālas intereses – šo tiesisko pamatu var izmantot izņēmuma gadījumos, kad runa ir par datu subjekta dzīvību un nāvi vai vismaz ievainojuma risku, vai citiem draudiem veselībai. Turklāt šajā tiesiskajā pamatā ietilpst ne tikai datu subjekta, bet arī citas fiziskas personas vitālas intereses. Spānijas PDAUI skaidro, ka tā cita fiziska persona var nebūt identificēta un identificējama. Tātad mērķis ir aizsargāt visas personas.

Papildus jāatzīmē, ka, Beļģijas uzraudzības iestādes ieskatā, ar šo tiesisko pamatu nevar pamatot plašu un sistemātisku personas datu apstrādi.

Neskatoties uz minētajiem ierobežojumiem, šo tiesisko pamatu uzskata par atbilstošu dažas PDAUI, ja ar to pamato:

– humanitāros nolūkos, tostarp epidēmiju un to izplatīšanās uzraudzībai vai ārkārtas humanitārajās situācijās, jo īpaši dabas un cilvēka izraisītu katastrofu situācijās (Datu regulas 46. apsvērums) (Latvija, Īrija);

– veselības datu apstrādi kopsakarā ar 9. panta 2. punkta (c) apakšpunktā minēto nosacījumu, ja datu subjekts nevar dot piekrišanu vai arī ja datu apstrādi nevar acīmredzami pamatot uz cita tiesiskā pamata (Datu regulas 46. apsvērums) (Igaunija, Slovēnija, Spānija, EDAK);

– veselības datu apstrādi kopsakarā ar 9. panta 2. punkta (i) apakšpunktā minēto nosacījumu, piemēram, veselības aizsardzības un infekcijas slimību izplatības novēršanai (Polija);

e) sabiedrības intereses – šo tiesisko pamatu izmanto, ja datu apstrāde nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Līdzīgi juridiskajam pienākumam, arī sabiedrības interesēm jābūt atrunātām ES vai to dalībvalstu tiesību aktos, savukārt oficiālās pilnvaras var piešķirt ES vai tās dalībvalsts. Kā piemēru var minēt slimību un citu draudu kontroli (EDAK). Šo tiesisko pamatu var izmantot publisko tiesību subjekti kā darba devēji (Vācija, Zviedrija). EDAK uzsver, ka, paļaujoties uz šo tiesisko pamatu, datu subjekta piekrišana nav nepieciešama (Datu regulas 54. apsvērums).

Savukārt veselības datu apstrādi var pamatot kopsakarā ar 9. panta 2. punkta (g) apakšpunktā minēto nosacījumu, ka apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ (Spānija). Šo nosacījumu var izmantot sabiedrisko pakalpojumu sniedzēji, jo viņu pienākums rūpēties par veselības aprūpi kalpo nozīmīgām sabiedrības interesēm (Vācija).

Veselības datu apstrādi var pamatot arī kopsakarā ar 9. panta 2. punkta (i) apakšpunktā minēto nosacījumu, ka apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai (Beļģija, Īrijas, Latvija, Slovākija, Spānija, EDAK). Atšķirībā no 9. panta 2. punkta (g) apakšpunkta, kur ir runa par būtiskām sabiedrības interesēm, šajā apakšpunktā fokuss ir vērsts uz sabiedrības interesēm sabiedrības veselības jomā.

Šajā sakarā "sabiedrības veselība" jāinterpretē, ņemot vērā visus elementus, kas saistīti ar veselību (Datu regulas 54. apsvērums). Turklāt atbilstoši šim apsvērumam veselības datu apstrādei sabiedrības interešu vārdā nevajadzētu novest pie tā, ka darba devējs apstrādā personas datus citos nolūkos.

Arī veselības datu apstrādes nosacījumiem jābūt paredzētiem vispārēji saistošā tiesību aktā vai vismaz valsts iestādes tiešā rīkojumā;

f) pārziņa vai trešās personas leģitīmās intereses – šo tiesisko pamatu var izmantot gadījumos, kad datu subjekta intereses vai pamattiesības un pamatbrīvības nav svarīgākas par pārziņa vai trešo personu leģitīmajām interesēm. Lai pierādītu savas vai trešo personu leģitīmās intereses, pārzinim jāveic leģitīmo interešu novērtējums un tā balansēšanas testa iznākumam jābūt pozitīvam.

PDAUI ieskatā, ar šo tiesisko pamatu var pamatot:

– datu apstrādi, kas izriet no trešo valstu tiesību aktiem, kā arī valsts iestāžu vadlīnijām, viedokļiem un citiem dokumentiem, kuri nav juridiski saistoši;

– darbinieku, apmeklētāju, klientu datu apstrādi (Ungārija);

– darbinieka tuvinieka kontaktinformācijas apstrādi (Zviedrija);

– darbinieka informācijas sniegšanu par saskari ar trešo personu (Vācija).

Uz šī tiesiskā pamata nevar veikt šādas darbības:

– darba devējs nevar prasīt darbiniekam sniegt informāciju par viņa veselības stāvokli vai nodot darbinieka veselības datus (Igaunija);

– uzdot jautājumus, kas nav samērīgi ar ietekmi uz personas privāto dzīvi (Igaunija).

Papildus minētajam veselības datu apstrādi pārzinis var īstenot, arī pamatojoties uz 9. panta 2. punkta (h) apakšpunktu un 3. punktu, piemēram, kad darba devējs rīkojas atbilstoši likumam un aicina ārstniecības personu veikt testus (Ungārija). Jāsaka, ka ar šo nosacījumu datu apstrādi būtu pareizi pamatot nevis darba devēja, bet gan ārstniecības personas kā veselības aprūpes pakalpojuma sniedzēja veikto veselības datu apstrādi. Piemēram, Spānijas PDAUI norāda, ka šo nosacījumu var izmantot gadījumos, kad nepieciešama ārstēšana, lai noteiktu medicīnisko diagnozi, novērtētu darbinieku darbspējas vai jebkāda cita veida veselības aprūpi vai lai pārvaldītu veselības aprūpes sistēmu un pakalpojumus.

Vēl viens nosacījums, uz kā pamata var veikt veselības datu apstrādi, piemēram, statistikas nolūkos, ir minēts 9. panta 2. punkta (j) apakšpunktā.

 

12. Cik ilgi drīkst glabāt personas datus, kas iegūti Covid-19 sakarā?

Datu regula nosaka glabāšanas ierobežojuma principu, atbilstoši kuram personas dati jāglabā tādā veidā, kas pieļauj datu subjektu identifikāciju, taču ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (5. panta 1. punkta (e) apakšpunkts). Pēc glabāšanas termiņa beigām personas dati drošā veidā jādzēš vai jāiznīcina.

Vācijas PDAUI precizē, ka personas datus, kas iegūti saistībā ar datu apstrādi Covid-19 sakarā, drīkst glabāt atbilstoši glabāšanas ierobežojuma principam, taču ne ilgāk, kad beidzas pandēmija.

Interesanti atzīmēt, ka Krievijā, kur ir atļauta ķermeņa temperatūras mērīšana ar termovizoriem (skat. 4. jautājumu), noteikts, ka iegūtie dati jādzēš diennakts laikā.

 

13. Situācijā, kad Covid-19 dēļ uzņēmums ir slēgts uz laiku vai tam ir samazinājusies pieprasījumu apstrādes kapacitāte, vai uzņēmumam ir jāievēro Datu regulā noteiktie termiņi atbildes sniegšanai uz datu subjekta pieprasījumu?

Uz tik sarežģītu jautājumu atbildi sniedza Īrijas un Lielbritānijas PDAUI. Atkāpjoties atzīmēšu, ka Datu regula nosaka kārtību, kādā datu subjekts var izmantot savas datu aizsardzības tiesības (piemēram, tiesības piekļūt saviem datiem, tiesības uz datu labošanu vai dzēšanu utt.), iesniedzot pārzinim attiecīgu pieprasījumu. Tāpat Datu regula uzliek par pienākumu pārzinim sniegt atbildi uz datu subjekta pieprasījumu bez nepamatotas kavēšanās, bet ne vēlāk kā mēneša laikā pēc pieprasījuma saņemšanas (12. panta 3. punkts). Ņemot vērā pieprasījumu sarežģītību un skaitu, minēto laikposmu var pagarināt vēl uz diviem mēnešiem, informējot datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Cita iespēja pagarināt atbildes sniegšanas termiņu nav paredzēta.

Jāteic, ka abas uzraudzības iestādes ar izpratni izturas pret Covid-19 ietekmi uz uzņēmumu darbības nepārtrauktību un ilgtspēju, tātad arī kapacitāti apstrādāt datu subjektu pieprasījumus.

Reaģējot uz šiem ārkārtas apstākļiem, Īrijas PDAUI iesaka uzturēt samērīgu atbilstību reglamentējošām prasībām.

Piemēram, uzņēmums, kas pieredz grūtības atbildēt uz pieprasījumu, var sazināties ar attiecīgo datu subjektu sakarā ar viņa pieprasījuma apstrādi un nokomunicēt jebkuru atbildes sniegšanas termiņa pagarinājumu, kā arī kavēšanās iemeslus. Kā arī PDAUI iesaka izvērtēt, vai atbilde uz pieprasījumu var tikt sniegta pa daļām. Piemēram, uzņēmums, kura darbinieki strādā attālināti, var pieredzēt grūtības piekļūt datiem cietās kopijās. Šajā gadījumā pieprasītājam ir iespējams piegādāt elektroniskos ierakstus, atliekot datu piegādi cietās kopijās uz vēlāku laiku. Ja uzņēmums nav spējīgs Datu regulā noteiktajā termiņā pilnībā vai daļēji atbildēt uz pieprasījumu, tam būtu jānodrošina, ka pieprasījums tiek apstrādāts pēc iespējas ātrāk. Pārskatabildības nolūkos uzņēmumam ieteikts dokumentēt katru termiņa neievērošanas gadījumu un iemeslu, kā arī saziņu ar datu subjektu. Izskatot datu subjekta sūdzību šajā sakarā, Īrijas PDAUI apņemas izvērtēt katras lietas faktus, ieskaitot visus uzņēmuma atbildību mīkstinošos apstākļus.

Lielbritānijas PDAUI spēra soli tālāk un paziņoja par savu apņemšanos nesodīt tos uzņēmumus, kuriem bija jāpiešķir prioritāte citām jomām un neizdevās uzturēt ierasto atbilstības līmeni. Kaut arī PDAUI nav iespējas pagarināt prekluzīvu termiņu, tā izteica gatavību sazināties ar datu subjektiem caur saviem komunikācijas kanāliem un painformēt par kavējumu datu subjektu tiesību realizēšanā.

 

Kopsavilkums

Kaut arī joprojām Datu regula tiek uztverta kā papildu slogs uzņēmumiem, taču tā viennozīmīgi neliedz veikt nepieciešamos pasākumus, lai samazinātu infekcijas slimību izplatību. Arī pandēmijas apstākļos ir ārkārtīgi svarīgi ievērot Datu regulas standartus un nodrošināt atbilstošu fizisko personu privātuma un datu aizsardzību.

Ceru, ka Eiropas PDAUI labās prakses apkopojums palīdzēs nodrošināt efektīvu datu aizsardzību tik sarežģītā cīņā ar Covid-19 pandēmijas izplatību un sekmēs Datu regulai atbilstošas prakses attīstību. Kaut arī apkopotie uzraudzības iestāžu viedokļi ir diezgan atšķirīgi, taču nevar neatzīmēt, cik vienotas bija šīs iestādes savā vēlmē nākt palīgā darba devējiem visā Eiropā. Turklāt šie viedokļi nāca ļoti operatīvi, augstā kvalitātē, sabiedrībai saprotamā valodā, kā arī papildināti ar praktiskiem piemēriem.

Ir apsveicams arī Datu valsts inspekcijas viedoklis, it īpaši ņemot vērā iestādes vadības maiņu un cilvēkresursu kapacitātes izaicinājumus.

RAKSTA ATSAUCES /

1. Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). OV L 119/2, 04.05.2016.

2. Apkopojums veikts, ņemot vērā šo valstu PDAUI sniegto informāciju: Beļģijas PDAUI informācija "COVID-19 un personas datu apstrāde darbā". Pieejama: https://www.autoriteprotectiondonnees.be/covid-19-et-traitement-de-donn%C3%A9es-%C3%A0-caract%C3%A8re-personnel-sur-le-lieu-de-travail; Dānijas PDAUI informācija "Kā ar GDPR un koronavīrusu?". Pieejama: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/hvordan-er-det-med-gdpr-og-coronavirus/; Eiropas Datu aizsardzības kolēģija. Statement on the processing of personal data in the context of the COVID-19 outbreak,19.03.2020. Pieejams: https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf; Francijas PDAUI informācija "Koronavīruss (Covid-19): CNIL atgādinājumi par personas datu vākšanu". Pieejama: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles; Igaunijas PDAUI informācija "Darbinieku datu apstrāde koronavīrusa kontekstā". Pieejama: https://www.aki.ee/et/uudised/tootajate-isikuandmete-tootlemisest-koroonaviiruse-kontekstis; Islandes PDAUI informācija "Datu aizsardzība un Covid-19". Pieejama: https://www.dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19; Latvijas Datu valsts inspekcijas informācija "Par sensitīvo datu publiskošanu". Pieejama: https://www.dvi.gov.lv/lv/zinas/par-sensitivo-datu-publiskosanu/; Latvijas Datu valsts inspekcijas informācija "DVI vērš uzmanību uz personu tiesībām un pienākumiem datu aizsardzības jomā veselības informācijas kontekstā". Pieejama: https://www.dvi.gov.lv/lv/zinas/dvi-vers-uzmanibu-uz-personu-tiesibam-un-pienakumiem-datu-aizsardzibas-joma-veselibas-informacijas-konteksta/; Lietuvas PDAUI informācija "Personas datu aizsardzība un koronavīruss Covid-19". Pieejama: https://vdai.lrv.lt/en/news/personal-data-protection-and-coronavirus-covid-19; Luksemburgas PDAUI informācija "Koronavīruss (Covid-19): CNPD ieteikumi, kas attiecas uz personas datu vākšanu veselības kontekstā". Pieejama: https://cnpd.public.lu/fr/actualites/national/2020/03/coronavirus.html; Nīderlandes PDAUI informācija "Mans slimais darbinieks". Pieejama: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/mijn-zieke-werknemer#mag-ik-mijn-werknemers-controleren-op-corona-7633; Norvēģijas PDAUI informācija "Korona un darba vietas privātums". Pieejama: https://www.datatilsynet.no/personvern-pa-ulike-omrader/korona/korona-og-personvern-arbeidsplassen/; Slovākijas PDAUI informācija "Koronavīruss un personas datu apstrāde". Pieejama: https://dataprotection.gov.sk/uoou/sk/content/koronavirus-spracuvanie-osobnych-udajov-aktualizovane-1332020; Slovēnijas PDAUI informācija "Vīrusu krīzes laikā izšķiroša loma ir atbildīgai rīcībai". Pieejama: https://www.ip-rs.si/novice/odgovorno-ravnanje-vseh-je-kljucno-v-casu-virusne-krize-1170/; Spānijas PDAUI informācija "Biežāk uzdotie jautājumi par koronavīrusu". Pieejama: https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID19.pdf; Spānijas PDAUI informācija. Pieejama: https://www.aepd.es/es/documento/2020-0017.pdf; Ungārijas PDAUI informācija "Information on processing data related to the coronavirus epidemic". Pieejama: https://www.naih.hu/files/NAIH_2020_2586_EN.pdf; Vācijas PDAUI informācija "Datu aizsardzības likuma informācija par personas datu apstrādi, ko veic darba devēji un darba devēji saistībā ar koronas pandēmiju". Pieejama: https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976; Zviedrijas PDAUI informācija "Koronavīruss un personas dati". Pieejama: https://www.datainspektionen.se/nyheter/coronavirus-och-personuppgifter/; Роспотребнадзор. Рекомендации по профилактике новой коронавирусной инфекции (Covid-19) среди работников, 10.03.2020. Pieejamas: http://www.consultant.ru/document/cons_doc_LAW_347459/aa15f0ba977124339df85a584c72b410828412ae/#dst100010; Указ мэра Москвы "О введении режима повышенной готовности", 05.03.2020. Pieejams: http://static.consultant.ru/obj/file/doc/mer_060320.pdf [skatīts 23.03.2020.]. Tulkojumu latviešu valodā raksta autore veica pati.

3. Darba aizsardzības likums. Latvijas Vēstnesis, 06.07.2001., Nr. 105.

4. Darba likums. Latvijas Vēstnesis, 06.07.2001., Nr. 105.

5. Kaut arī laikā, kad top šis raksts, Covid-19 izplatība sasniedza pandēmijas mērogu un skāra gandrīz katru valsti, rakstā saglabāta atsauce uz riska zonas valstīm, jo arī šobrīd Pasaules Veselības organizācija dala valstis dažādās kategorijās atkarībā no inficēto personu skaita (skat.: https://www.who.int/emergencies/diseases/novel-coronavirus-2019/technical-guidance/critical-preparedness-readiness-and-response-actions-for-covid-19 [skatīts 23.03.2020.]). Turklāt pastāv iespēja atgriezties pie riska zonas valstu apzīmējuma, kad Covid-19 izplatība samazināsies.

6. Līguma par Eiropas Savienību un Līguma par Eiropas Savienības darbību konsolidētā versija. OV C, 26.20.2012., 1.–390. lpp., 5. panta 1. punkts.

7. Zviedrijas Darba vides iestādes informācija. Pieejama: https://www.av.se/halsa-och-sakerhet/sjukdomar-smitta-och-mikrobiologiska-risker/smittrisker-i-arbetsmiljon/coronaviruset/ [skatīta 23.03.2020.].

8. Šis pants attiecas arī uz datu apstrādātāju.

9. Skat.: Data authority issues two fines for unlawful access to workplace emails, 20.01.2020. Pieejams: www.cms-lawnow.com/ealerts/2020/01/data-authority-issues-two-fines-for-lawful-access-to-workplace-emails [skatīts 23.03.2020.].

10. Eiropas Datu aizsardzības kolēģija. Fines proposed for two municipalities, 10.03.2020. Pieejams: https://edpb.europa.eu/news/national-news/2020/fines-proposed-two-municipalities_en [skatīts 23.03.2020.].

ATSAUCE UZ ŽURNĀLU
Sajadova V. Covid-19 un personas datu apstrāde darbā. Jurista Vārds, 31.03.2020., Nr. 13 (1123), 8.-15.lpp.
VISI RAKSTI 31. Marts 2020 /NR. 13 (1123)
2 KOMENTĀRI
TAVA ATBILDE :
VĀRDS
3000
IENĀKT:
KOMENTĒŠANAS NOTEIKUMI
Seskis
1. Aprīlis 2020 / 17:36
1
ATBILDĒT
Teicams un uzteicams raksts, viss kā pa plauktiņiem salikts! Jāteic, ka Seskis kā darbinieks vīrusa izplatības sakarā ir cietis jo īpaši. Kamēr Seskis atradās tiesā, lai saņemt pelnītu brāzienu par kārtējo prettiesisko lēmumu, Seska apburošās kolēģes sasauca sapulci un aizmuguriski nolēma, ka Seskis turpmāk strādās attālināti, darbā ierodoties vien neatliekamu darbu izpildei. Pamatojums - Seskis ir vīrietis, bet veči, kā zināms, ir toksiski, Seskis ir vecākais nodaļā, tātad riska grupā un pirmais atmetīs pedāļus. Visbeidzot, Seskis ir smagākais darbinieks nodaļā, savukārt trauslajām kolēģēm būšot apgrūtinoši Seska centneru smago vīrusa nokauto rumpi aizvilkt izbarošanai lapsām un šakāļiem. Minētais tik ļoti sarūgtināja Seski, ka Seskis regulāri drīcelē Jurista Vārdā pasīvi agresīvus komentārus par aplamībām vīrusa apkarošanas frontē.
Dace
1. Aprīlis 2020 / 16:24
0
ATBILDĒT
Paldies autorei par apskatu.
VĒL ŠAJĀ ŽURNĀLĀ
VĒL PAR ŠO TĒMU
VĒL ŠAJĀ NOZARĒ
VĒL ŠAJĀ RUBRIKĀ
komentēt
Pievienot rakstu mapē
Pievienot citātu mapei
Pievienot piezīmi rakstam
Drukāt
ienākt ar
JURISTA VĀRDS
Abonentiem! Ieiet šeit
GOOGLE
DRAUGIEM.LV
reģistrēties
autorizēties