Što poslodavci smiju, a što moraju? #novonormalno

Prava i obveze poslodavca za vrijeme pandemije COVID-19

Tijekom pandemije COVID 19 svi poslodavci, odnosno voditelji obrade kada govorimo u kontekstu GDPR-a imaju određene obveze. Postavljanje termalnih kamera u svrhu zaštite zaposlenika iziskuje pažljivu procjenu poslodavaca na koji način postupati, a da bude u skladu sa zakonom. No, što zaista moraju, a što žele napraviti kako bi zaštitili druge zapsolenike i pripomogli u suzbijanju pandemije?

Očitavanje temperature na ulazu u prostorije

Poslodavcima je primjerice zabranjeno formirati dosjee u kojima vode podatke o temperaturi svojih zaposlenika ukoliko nemaju adekvatnu pravnu osnovu koja ne odgovara svrsi odnosno nije razmjerna postizanju svrhe u koju bi se prikupljali podaci.

Dakle, ukoliko želite kao poslodavac samo provjeriti ima li zaposlenik ili posjetitelj temperaturu, ne morate stvarati zapis i evidenciju o istome.

U slučaju mjerenja temperature ručnim termometrom bez zapisivanja vrijednosti ne primjenjuje se GDPR.

Korištenje termalnih kamera

Mnogi poslodavci  kao jednu od mjera sigurnosti, a sve sa željom da spriječe zarazu svojih zaposlenika žele uspostaviti sustavnu kontrolu temperature zaposlenika i posjetitelja na ulazu u njihove prostorije.

Načela zaštite podataka (GDPR) trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi.

Identifikacija se obično postiže određenim informacijama koje možemo nazvati "identifikatorima" i koji imaju posebno privilegiran i blizak odnos s određenim pojedincem. Primjeri su vanjski tj. vidljivi atributi izgleda/pojavnosti osoba poput visine, boje kose, odjeće itd. ... ili kvaliteta osobe koja to ne može biti odmah uočena, poput profesije, funkcije, imena itd.

Dakle, osoba se može identificirati izravno npr. imenom i prezimenom ili neizravno telefonskim brojem, brojem socijalnog osiguranja, brojem putovnice ili kombinacijom značajnih kriterija koji ju izdvajaju i omogućavaju da bude prepoznata sužavanjem unutar skupine kojoj pripada (starost, zanimanje, mjesto prebivališta, dužina kose, karakteristična fizionomija itd.).

Na prvi pogled termalne snimke nisu „podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ” međutim, ako uzmemo primjer jedne organizacije, navedene snimke mogu otkriti osobu odnosno identitet ispitanika samim promatranjem i uspoređivanjem fizičkih obilježja pojedine osobe zaposlene u konkretnoj organizaciji.

Tim više, ukoliko se predmetne snimke pohranjuju na određeno vremensko razdoblje te u mjeri u kojoj mogu, zajedno s drugim podacima, npr. podacima iz evidencije dolazaka i odlazaka na posao, pomoći odrediti da točno određena osoba ima povišenu tjelesnu temperaturu, iste se mogu definirati kao podaci koji se odnose na „pojedinca čiji je identitet utvrđen ili se može utvrditi” i time bi predstavljale osobni podatak u okvirima primjene Opće uredbe o zaštiti podataka.

Agencija za zaštitu osobnih podataka u jednom od svojih mišljenja dovela je u pitanje spremanje zapisa sa termalnih kamera jer ako se snimke digitalno spremaju i stanje zaposlenika i pacijenata se prati kroz određeno vremensko razdoblje AZOP smatra upitnim sa aspekta usklađenosti sa odredbama GDPR, prvenstveno u dijelu nužnosti i proporcionalnosti provođenja takve mjere u odnosu na cilj/svrhu koju se želi postići.

Pitanje koje postavlja nadzorno tijelo je jesu li tako obrađivani podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju obzirom da je jednom izmjerena povišena tjelesna temperatura sama po sebi indikativna za postupanje prema uputama epidemioloških službi bez potrebe za korištenjem podataka i „praćenjem stanja“ pojedinaca o tome da prije toga nisu imali povišenu tjelesnu temperaturu.

Detaljnije o svemu pisali smo i u našem prošlom blogu.

Svakako, u slučaju uvođenja termalnih kamera, upravo i radi stava AZOP-a morate biti pažljivi i najbolje je da se obratite stručnjaku koji će vam omogućiti da ispunite svrhu koju želite postići , ali da pri tome ne prekršite neki od važećih propisa, osobito GDPR.

Pazite kakve sustave termalnih kamera uvodite. 

Provođenje seroloških ispitivanja i davanje zaposlenicima upitnika o zdravstvenom stanju

Neki poslodavci kako bi zaštitili svoje zaposlenike te kako bi mogli procijeniti njihovu izloženost virusu ili zdravstveno stanje kad se vrate na posao primjerice sa godišnjih odmora provode serološka ili druga testiranja zaposlenika i/ ili zaposlenicima daju upitnike kako bi unijeli podatke koji potpadaju i pod podatke iz privatnog života zaposlenika.

Svakako vas podsjećamo da ne može bilo tko bez pravnog osnova od zaposlenika prikupiti, primijeniti i/ili pristupiti bilo kojim medicinskim obrascima ili upitnicima koji sadrže podatke koji se odnose na njihovo zdravstveno stanje ili podatke koji se odnose na njihovu obiteljsku situaciju, životne uvjete ili čak moguće kretanje.

Isto vrijedi i za medicinske, serološke ili probirne testove COVID-19, čiji rezultati podliježu, između ostaloga, medicinskoj povjerljivosti.

Planovi kontinuiteta poslovanja

Od tvrtki i uprava također se može zahtijevati da uspostave „plan kontinuiteta poslovanja“ koji ima za cilj održati suštinsku aktivnost organizacije rada u vrijeme krize. Ovaj plan mora sadržavati sve mjere zaštite sigurnosti zaposlenika, identificirati ključne aktivnosti koje se moraju održavati kao i zaposlenike koji će održavati kontinuitet usluge. U navedenim okolnostima moraju se stvoriti i pravni preduvjeti potrebni za pripremu i održavanje plana, a podatci zaposlenika koji će se obrađivati kao i podaci drugih ispitanika moraju sadržavati samo podatke potrebne za postizanje ovog cilja.

U svim slučajevima poslodavac mora osigurati  sigurnost i povjerljivost podataka koje obrađuje: to je slučaj, na primjer, prilikom slanja dokumentacije za poslovna putovanja koji sadrže osobne podatke.

Zahtjevi i preporuke zdravstvenih tijela

Konačno, zdravstveni podaci mogu biti prikupljeni od strane zdravstvenih tijela, kvalificiranih za poduzimanje mjera prilagođenih situaciji, u granicama svojih ovlasti. Za procjenu i prikupljanje informacija koje se odnose na simptome koronavirusa i informacija o nedavnim kretanjima određenih ljudi odgovorna je ova javna tijela.

Što zaposlenik smije/ mora?

Sa svoje strane, svaki zaposlenik mora se brinuti za očuvanje vlastitog zdravlja i sigurnosti, što znači da bi morao voditi računa i o osobama s kojima je u kontaktu , a koje bi mogle imati COVID 19.

U kontekstu pandemije, zaposlenik koji radi u kontaktu s drugim ljudima (kolegama i javnošću) mora, svaki put kad je mogao nekoga svog kolegu izložiti virusu, obavijestiti svog poslodavca u slučaju kontaminacije ili sumnje na kontaminaciju virusom .

S druge strane, u nedostatku ugrožavanja drugih ljudi iz radne okoline, ne postoji obveza obavještavanja osim u dijelu koji se odnosi na administraciju povezanu sa obvezama poslodavca koje proizlaze iz nekog od zakona. No, da bi i zaposlenik ispunjavao svoje obveze kao građanin kao i određena Ustavom zajamčena prava koja nisu ograničena, primjerice zaštitu javnog zdravlja, mora voditi računa o svemu gore navedenom kao i o tome da obavijesti na vrijeme poslodavca o primjerice kontaktu sa zaraženom osobom kako ne bi doveo u opasnost i ugrozio i druge unutar svog kolektiva, ali i druge građane s kojima dolazi u doticaj.

Detaljnije o obvezama poslodavaca, obvezama zaposlenika kao i o njihovim pravima saznajte na edukaciji. Prijavite se jer s obzirom na situaciju #novo normalno trajati će još neko vrijeme.