2020-04-22

Asmens duomenų apsauga ir koronavirusas COVID-19 PAPILDYTA balandžio 22 d.

Valstybinės duomenų apsaugos inspekcijos informacija dėl asmens duomenų tvarkymo, susijusio su esama situacija dėl koronaviruso (COVID-19). Šioje situacijoje aktualūs asmens duomenų tvarkymo atvejai ir Bendrojo duomenų apsaugos reglamento (toliau – BDAR) taikymo ypatumai. Tai informacija, aktuali darbdaviams, ugdymo įstaigoms ir kitoms viešojo ir privataus sektoriaus organizacijoms.

Lietuvos Respublikos viešojo ir privataus sektoriaus organizacijos atlieka itin reikšmingą darbą taikydamos įvairias priemones, skirtas valdyti ir sušvelninti COVID-19 pandemijos padarinius Lietuvoje. Suprantame, kad tokio masto pasaulinė pandemija kelia naujus iššūkius pasirenkant ir taikant įvairius šiuolaikinius būdus (įskaitant naujų technologijų panaudojimą) prognozuojant ir stabdant viruso plitimą. Kartu pripažįstame, kad daugelis efektyvių priemonių neatsiejamai gali būti susiję su skirtingų rūšių asmens duomenų tvarkymu bei poreikiu jais dalintis ne tik tarp sveikatos priežiūros įstaigų ir jų veiklą koordinuojančių institucijų, bet atitinkama apimtimi ir su visuomene.

Kova su užkrečiamosiomis ligomis yra svarbus tikslas, bendras visoms valstybėms, todėl turėtų būti skatinamas ir palaikomas. Visgi, netgi tokiomis išskirtinėmis sąlygomis, turėtume nepamiršti, kad privaloma užtikrinti atitinkamo lygio duomenų subjektų asmens duomenų apsaugą, kad, be kita ko, būtų, užkirstas kelias galimam asmenų persekiojimui, šmeižimui ar net susidorojimui. Asmens duomenų apsaugos taisyklės, tokios kaip BDAR, netrukdo imtis priemonių kovoti su COVID-19 pandemija. Tačiau, siekiant garantuoti teisėtą asmens duomenų tvarkymą, turėtų būti atsižvelgiama į atitinkamas aplinkybes, ir visais atvejais reikėtų prisiminti, kad visos priemonės, kurių imamasi tokiu atveju, turi atitikti bendruosius teisės principus ir neturėtų būti negrįžtamos. Nepaprastoji padėtis yra ta teisinė sąlyga, kuri gali pateisinti žmogaus teisių ir laisvių apribojimus, tačiau tik tuomet, kai šie apribojimai yra proporcingi ir taikomi tik šios nepaprastosios padėties laikotarpiu.

Atsižvelgdami į tai, primename:

Dėl bendrųjų asmens duomenų apsaugos principų
- Turėtų būti tvarkomi tik tie asmens duomenys, kurie yra būtini siekiamam tikslui pasiekti, o asmens duomenų tvarkymo tikslas turi būti konkretus ir nedviprasmiškas, kad jį vienodai suprastų visos suinteresuotos šalys, ypač duomenų subjektai;
- Siekiant užtikrinti, kad asmens duomenys nebūtų atskleisti asmenims, kurie neturi teisės jų gauti, svarbu laikytis tinkamų saugumo priemonių. Tik darbuotojai, kuriems patikėta tvarkyti sveikatos duomenis ir kompetentingos institucijos turi turėti prieigą prie tokių duomenų;
- Priemonės, kurių imamasi siekiant valdyti susidariusią nepaprastąją padėtį, ir sprendimų priėmimo procesas turėtų būti atitinkamai dokumentuojami, laikantis atskaitomybės principo. Tai suteiktų galimybę užtikrinti skaidrų asmens duomenų tvarkymą kaip to reikalauja BDAR.

Kokius asmens duomenis galima tvarkyti?
Siekiant užtikrinti, kad asmens duomenų tvarkymas nepažeistų BDAR įtvirtinto duomenų kiekio mažinimo principo, būtų galima tvarkyti vidinius asmens duomenų rinkinius apie darbuotojus, mokinius ar pan., įtraukiant tokią informaciją:
•    Ar asmuo buvo išvykęs į „rizikos valstybę“;
•    Ar asmuo kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu COVID-19;
•    Ar asmuo yra namuose dėl karantino (nenurodant priežasties) ir karantino laikotarpis;
•    Ar asmuo serga (nenurodant konkrečios ligos ar kitokios priežasties).
Informuojame, kad darbdavys ar kitas duomenų valdytojas turi teisę teirautis savo darbuotojų ar lankytojų apie tai, ar jiems yra pasireiškusių COVID-19 viruso simptomų, ar yra nustatyta COVID-19 diagnozė. Ši informacija yra svarbi darbdaviui vertinant, ar reikalinga imtis papildomų apsaugos priemonių – įpareigoti kartu dirbusius ar su sergančiu (turinčiu simptomus) asmeniu kontaktavusius darbuotojus laikytis karantino, sudaryti sąlygas nuotoliniam darbui ar sveikatos tikrinimui ir pan. Tačiau pabrėžtina, kad teisė gauti minėtą informaciją nereiškia, kad darbdaviai ar kiti duomenų valdytojai gali gautą informaciją dokumentuoti ar sudaryti atitinkamas duomenų rinkmenas.
Darbdaviai taip pat gali tvarkyti tokius su darbuotoju susijusius asmens duomenis kaip darbo nuotoliniu būdu pasirinkimo faktas ir kiti darbuotojo darbui taikomi apribojimai.
Ar tvarkomus sąrašus (kitus asmens duomenis) galima atskleisti valstybės įstaigoms visuomenės sveikatos užtikrinimo tikslu?
Net ir esant pandeminei situacijai asmens duomenų apsaugos nevertėtų pamiršti. Bet kokie darbdavių ar kitų duomenų valdytojų tvarkomi asmens duomenys valstybės institucijoms visuomenės sveikatos užtikrinimo tikslu turi būti teikiami laikantis BDAR reikalavimų.
Atkreipiame dėmesį, kad prašymai pateikti asmens duomenis turi būti vertinami kiekvienu konkrečiu atveju atskirai, pavyzdžiui, tais atvejais, kai prašoma pateikti statistiką, duomenų valdytojas (duomenų tvarkytojas) neturėtų teikti konkretų duomenų subjektą identifikuojančių duomenų.
Rekomenduojame kiekvieną asmens duomenų teikimo atvejį dokumentuoti, siekiant vėliau užtikrinti atskaitomybės principo įgyvendinimą.

Kokiomis teisėto asmens duomenų tvarkymo sąlygomis turi remtis kompetentingos visuomenės sveikatos priežiūros institucijos?
- BDAR leidžia kompetentingoms visuomenės sveikatos priežiūros institucijoms tvarkyti asmens duomenis epidemijos atveju be duomenų subjekto sutikimo. Asmens duomenų, įskaitant sveikatos duomenis, tvarkymas, kurį vykdo kompetentingos valdžios institucijos (visuomenės sveikatos priežiūros institucijos) ar kitos institucijos, veikiančios pagal visuomenės sveikatos priežiūros institucijų nurodymus, gali būti atliekamas remiantis BDAR 6 straipsnio 1 dalies c, d ir e punktais ir (ar) 9 straipsnio 2 dalies c (išimtiniais atvejais), g bei i punktais;

Vietos nustatymo duomenų tvarkymas
Vietos nustatymo duomenys turėtų būti tvarkomi pagal Lietuvos Respublikos elektroninių ryšių įstatyme (toliau – ERĮ) nustatytus reikalavimus:
- Paprastai vietos nustatymo duomenys gali būti tvarkomi tik tada, kai jie yra anonimiški (iš jų nėra galima iš naujo nustatyti asmenų tapatybės) arba gavus asmens sutikimą (ERĮ 61 ir 68 straipsniai). Anoniminiai duomenys gali būti naudojami ataskaitoms apie mobiliųjų įrenginių koncentraciją tam tikroje vietoje („kartografija“);
- 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), kurios nuostatas įgyvendina ERĮ, papildomai leidžia Europos Sąjungos valstybėms narėms patvirtinti teisines priemones, kuriomis siekiama apsaugoti visuomenės saugumą. Tačiau tai turi būti daroma atitinkamomis teisinėmis priemonėmis ir tik tuo atveju, jeigu tai demokratinėje visuomenėje yra būtina, tinkama ir proporcinga priemonė. Šios priemonės turi atitikti Europos Sąjungos pagrindinių teisių chartiją ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvenciją bei Europos Sąjungos Teisingumo Teismo ir Europos Žmogaus Teisių Teismo praktiką. Jei tokios priemonės įvedamos, valstybė narė privalo nustatyti tinkamas apsaugos priemones, įskaitant galimybę asmeniui kreiptis į teismą dėl tokio duomenų tvarkymo.

Ar valstybės institucijų siunčiami pranešimai yra tiesioginė rinkodara?
Ne. Informacinių pranešimų ir priminimų apie galimas grėsmes, vengtinas zonas, būtinas apsaugos priemones ar kitus būtinus atlikti veiksmus siuntimas išvykusiems į užsienio valstybes, grįžtantiems ar neseniai grįžusiems ar kitiems asmenims, taip pat svarbių susijusių informacinių pranešimų siuntimas Lietuvos gyventojams ar joje besilankantiems asmenims nėra laikytinas tiesiogine rinkodara.

Kokių veiksmų reikėtų vengti?
Jei yra nustatytos visuotinės priemonės esamai situacijai valdyti, pavyzdžiui, komandiruočių ir susitikimų ribojimas, renginių atšaukimas, tam tikrų higienos reikalavimų užtikrinimas, duomenų valdytojai neturėtų dėl to pažeisti savo darbuotojų ar kitų duomenų subjektų teisės į asmens duomenų apsaugą, pavyzdžiui, neturėtų reikalauti pateikti asmens duomenis, nebūtinus nustatytos tvarkos vykdymui užtikrinti.
Svarbu pabrėžti, kad duomenų valdytojai turėtų susilaikyti nuo darbuotojų ar lankytojų temperatūros rodmenų, medicininių pažymų ar kt. rinkimo. Tai negali būti laikoma darbdavio pareiga.
Duomenų valdytojas turėtų imtis aktyvių veiksmų, informuojant duomenų subjektus apie simptomus, galimas rizikas, jų valdymo būdus, taikytinas priemones, galimybes dirbti nuotoliniu būdu, darbuotojų pareigą informuoti apie pasireiškusius COVID-19 ar panašius simptomus ir kt.

Kur galite gauti papildomos informacijos?
Informacijos taip pat rekomenduojame kreiptis į Valstybinę darbo inspekciją prie Socialinės apsaugos ir darbo ministerijos ir Lietuvos Respublikos sveikatos ministeriją dėl informacijos apie kitas darbdavių pareigas, kylančias dėl paskelbtos pandemijos.

Valstybinės duomenų apsaugos inspekcijos informacija:

Europos Sąjungos ir kitų institucijų informacija: