Saistībā ar Latvijā izsludināto ārkārtējo situāciju Covid-19 vīrusa izplatības ierobežošanai gan uzņēmumi, gan valsts un pašvaldību iestādes ir ieviesušas pasākumus, lai aizsargātu darbiniekus, klientus, kā arī citas personas pret iespējamajiem draudiem to veselībai, lai vienlaikus turpinātu darbu apjomā, kāds ir iespējams, ņemot vērā noteikto ārkārtējo situāciju. Ievērojot jaunos apstākļus, papildus tiek vākta un apstrādāta jauna veida informāciju par fiziskām personām, piemēram, vai tām novērojami vīrusa simptomi, vai persona kontaktējusies ar kādu personu, kas varētu būt inficēta, tostarp jebkuras ar Covid-19 saistītās pārbaudes un to rezultāti, kā arī cita informācija, kas saistīta ar vietām, ko apmeklējusi persona.

Šī informācija, ko vāc uzņēmumi, ir personas dati, tostarp īpašo kategoriju personas dati, par fiziskām personām, kuras iespējams identificēt un šādu datu apstrādei ir noteiktas stingras prasības saskaņā ar Vispārīgo datu aizsardzības regulu (“VDAR”). Šajā rakstā – par svarīgākajiem jautājumiem, kas uzņēmumiem jāņem vērā, veicot fizisko personu datu apstrādi saistībā ar Covid-19 konstatēšanu un ierobežošanu.

Kas obligāti jāņem vērā

Pirmkārt, jāņem vērā, ka informācija, kas ievākta no fiziskām personām attiecībā uz Covid-19, pamatā uzskatāma par īpašo kategoriju personas datiem, jo saskaņā ar VDAR 9. panta pirmo daļu dati par fiziskās personas veselību uzskatāmi par īpašo kategoriju personas datiem.

Ņemot vērā situāciju, kas šobrīd izveidojusies pasaulē un Latvijā, mēģinot ierobežot un tikt galā ar Covid-19, uzņēmumiem ir atļauta minēto personas datu apstrāde, tomēr jānodrošina datu subjektu (fizisko personu) informēšana, kāda tā noteikta VDAR, jo šobrīd, ņemot vērā īpašos apstākļus saistībā ar Covid-19, uzņēmums var vākt informāciju, kāda iepriekš nekad netika iegūta un kas tieši nav saistīta ar uzņēmuma darbības nodrošināšanu, bet pašreizējais pamats šādas informācijas iegūšanai no fiziskām personām ir Covid-19. Piemēram, uzņēmums var papildus vākt informāciju par to, vai personāls ir pastāvīgi izolēts, informāciju par personāla un telpu apmeklētāju ķermeņa temperatūru, kā arī citu informāciju, ja uzņēmums to var pamatot kā tādu, kas attiecas uz Covid-19 ierobežošanu un citu fizisko personu dzīvības un veselības aizsardzību un nodrošināšanu.

Uz personas datu, sevišķi uz īpašo kategoriju, apstrādi attiecas stingras prasības, kas noteiktas VDAR, kā arī nacionālajos normatīvajos aktos, un uzņēmums kā personas datu apstrādes pārzinis laikā, kad tas iegūst informāciju par fiziskām personām, ir pilnībā atbildīgs par tās likumīgu apstrādi atbilstoši VDAR prasībām.

Otrkārt, uzņēmumiem vajadzētu saprast un skaidri definēt, kādi personas dati un īpašo kategoriju personas dati tiek iegūti no fiziskām personām atbilstoši uzņēmumu izvirzītajiem mērķiem un tiem mērķiem, kas kopumā noteikti valstī saistībā ar Covid-19 ierobežošanu. Pretējā gadījumā pastāv iespēja, ka uzņēmums iegūst pārmērīgi daudz personas datu, kas var būt nelikumīgi arī apstākļos, kādi pastāv šobrīd. VDAR ir skaidri noteikts, ka atļauts ir iegūt tikai tik daudz informācijas par fizisko personu, cik tas ir absolūti nepieciešams izvirzīto mērķu sasniegšanai.

Pirms jebkādu datu vākšanas no fiziskām personām uzņēmumam ir jābūt skaidram mērķim un izpratnei par to, kādi personas dati un īpašo kategoriju personas dati ir nepieciešami konkrētā mērķa sasniegšanai, kas pamatā ir Covid-19 ierobežošana.

Piemēram, ja uzņēmums pieņem lēmumu, ka darbiniekam jāatrodas mājas izolācijā, var būt pietiekami uzdot jautājumus par to, vai šai personai vai kādam citam tās mājsaimniecībā ir Covid-19 simptomi (pretstatā sīkas un specifiskas informācijas pieprasīšanai).

Izmantojot šādu pieeju, uzņēmums būs ievērojis VDAR noteikto datu minimizācijas principu un nodrošinās arī to, ka uzņēmumā netiek glabāta lieka informācija par tā darbiniekiem, kas varētu radīt būtisku VDAR pārkāpuma risku. Vienlaikus uzņēmumam jānodrošina, ka informācija, kas par fiziskām personām tiek iegūta Covid-19 ierobežošanas laikā, tiek glabāta tikai tik ilgi, kamēr pastāv mērķis, ar kādu apstrādāti personas dati.

Treškārt, uzņēmumam jābūt atbilstošam juridiskajam pamatam, lai apstrādātu personas datus, kas iegūti saistībā ar Covid-19. Saskaņā ar VDAR, lai uzņēmumam būtu juridisks pamats personas datu apstrādei personu datu apstrādes kontekstā ar Covid-19, uzņēmums var paļauties uz šādiem tiesiskajiem datu apstrādes pamatiem:

• Leģitīmās intereses. Uzņēmums var uzskatīt par nepieciešamu apstrādāt personas datus, kas attiecas uz darbinieku un citām ar to saistītām fiziskām personām, lai nodrošinātu savas likumīgās intereses saistībā ar uzņēmējdarbības nepārtrauktību un savu pienākumu pildīšanu pret fiziskajām personām, kuras ir tieši atkarīgas no uzņēmuma spējas nodrošināt, piemēram, darba vietas vai pakalpojumus klientiem. Uzņēmumam jāsaprot, vai tā intereses, veicot personas datu apstrādi, ir augstākas par šo personu interesēm, pamattiesībām un brīvībām. Tādēļ ieteicams veikt interešu līdzsvarošanas testu saistībā ar šāda veida personas datu apstrādi, kuru uzņēmums veic vai plāno veikt.
• Līguma izpilde. Ja ar Covid-19 saistītu personas datu apstrāde ir nepieciešama, lai uzņēmums varētu izpildīt savas saistības pret darbiniekiem saskaņā ar darba līgumu (skaidri izteiktiem vai netiešiem noteikumiem), piemēram, pienākums nodrošināt darbinieku veselību, drošību un labsajūtu, tad šāda apstrāde var būt pamatota ar līguma izpildi.
• Juridiskais pienākums. Atkarībā no piemērojamiem tiesību aktiem uzņēmumam var būt juridiskas saistības attiecībā uz veselību un drošību, un iespējams, ka ārējais normatīvais akts nosaka uzņēmuma pienākumu veikt konkrētas personas datu apstrādes darbības, kas var tikt pamatotas ar uzņēmuma likumisko pienākumu.

Tomēr, lai gan uzņēmumam var pastāvēt tiesisks (likumīgs) pamats veikt minēto personas datu apstrādi, uz to ir attiecināmi VDAR noteiktie uzņēmuma kā pārziņa pienākumi, piemēram, informēšanas pienākums un atbilstošu tehnisko un organizatorisko pasākumu īstenošana, kas nav atcelti arī laikā, kad visā pasaulē notiek cīņa ar Covid-19 ierobežošanu. Ja arī šobrīd uzraudzības iestāde “piever acis” uz iespējamiem datu apstrādes pārkāpumiem, tad uzņēmumam jārēķinās, ka, ja Datu valsts inspekcija konstatēs, ka datu apstrāde ir bijusi nelikumīga vai, veicot datu apstrādi, nav ievērotas VDAR noteiktās prasības, tā piemēros sodu arī ilgāku laiku pēc pārkāpuma izdarīšanas vai konstatēšanas, līdz ar to uzņēmumiem nevajadzētu paļauties uz to, ka ārkārtējās situācijas laikā iespējamie datu aizsardzības pārkāpumi, ja tādi tiks konstatēti, paliks nesodīti.

Uzņēmuma pienākumi

Skaidrs, ka šobrīd uzņēmumus nomoka citas problēmas un veiktie personas datu apstrādes procesi varētu būt pēdējā lieta, par ko lauzīt galvu, tomēr, lai uzņēmumiem pēc Covid-19 krīzes pārvarēšanas nebūtu jāsaskaras ar jaunām problēmām, ir lietas, ko uzņēmumi, izmantojot esošos darbiniekus, var veikt arī šobrīd, lai nodrošinātu, ka personas datu apstrāde, kas tiek veikta ar mērķi ierobežot Covid-19 izplatību, kā arī cīnoties ar tā radītajām sekām, būtu likumīga.

Ieteicams, lai arī šajā laikā uzņēmums pēc nepieciešamības pārskatītu un atjauninātu paziņojumus par privātumu. Esošo privātumu paziņojumu pārskatīšana ir būtiska, lai pārliecinātos, ka tie sniedz nepieciešamo informāciju par iegūtajiem datiem un apstrādes mērķiem, kādiem uzņēmums apstrādā konkrētos datus. Ja uzņēmums no fiziskām personām vāc jaunas personas datu vai īpašo personas datu kategorijas un tos izmanto jauniem mērķiem, tad varētu nākties atjaunināt paziņojumus par privātumu, lai atspoguļotu jaunās izmaiņas datu vākšanā no fiziskajām personām.

No datu aizsardzības atbilstības viedokļa uzņēmumiem jāapsver arī virkne citu jautājumu, tostarp Covid-19 gadījumu atklāšana citiem uzņēmuma darbiniekiem. Kā daļu no uzņēmuma pienākuma nodrošināt darbinieku veselību un drošību, darba devēji var, ievērojot piemērojamo likumu prasības, informēt darbiniekus par Covid-19 gadījumiem. Šādas informācijas izpaušana būtu jāierobežo, cik vien iespējams. Ja ir nepieciešams atklāt darbinieka vārdu, kam, piemēram, ir konstatēta Covid-19 saslimšana (un tas ir citādi atļauts piemērojamajos tiesību aktos), lai citi darbinieki varētu veikt atbilstošus aizsardzības pasākumus, darbinieku, kura datus plānots izpaust, vispirms jāinformē par viņa datu izpaušanu, vienlaikus nodrošinot, ka darbinieka dati netiek izpausti pārmērīgi un tādu cilvēku lokam, kam šī informācija nav jāiegūst.

Ja uzņēmums saņem datu subjekta pieprasījumu, bet, ņemot vērā situāciju, visi uzņēmuma centieni un uzmanība ir koncentrēta uz Covid-19 uzliesmojuma seku novēršanu, arī šajā gadījumā jārūpējas par to, lai tiktu ievēroti termiņi, kas saistīti ar atbildes sniegšanu uz datu subjekta pieprasījumu. Ja uzņēmumam ir bažas, ka tas varētu nespēt ievērot VDAR noteiktos termiņus, tas pēc iespējas ātrāk paziņo šo informāciju datu subjektiem ar norādi, ka atbilde uz pieprasījumu tiks sagatavota iespējami ātri, bet, ņemot vērā apstākļus, tā netiks sniegta noteiktajā termiņā.

Uzņēmumam būtu nepieciešams apsvērt novērtējuma par ietekmi uz datu aizsardzību veikšanu, jo VDAR 35. pants to noteicis kā obligātu konkrētu datu apstrādes darbību veikšanas gadījumā. Saskaņā ar VDAR uzņēmumam jāveic ietekmes novērtējums, ja apstrāde varētu radīt lielu risku personu tiesībām un brīvībām. Ietekmes novērtējums ir paredzēts, lai palīdzētu uzņēmumam izprast riskus, kas saistīti ar konkrētām datu apstrādes darbībām, un pasākumus, ko tas var veikt, lai mazinātu šādus riskus. Ietekmes novērtējums arī palīdzēs informēt par izmaiņām, kas var būt vajadzīgas citā ar datu aizsardzību saistītā atbilstības dokumentācijā uzņēmumā (piemēram, paziņojumi par privātumu un apstrādes darbību reģistrs).

Vērts padomāt

Ņemot vērā pašreizējo situāciju, uzņēmumiem būs īpaši svarīgi rūpīgi sekot līdzi sistēmu drošībai un kiberapdraudējumiem. Gan personas dati, gan īpašo kategoriju personas dati ir pienācīgi jāaizsargā, un īpaši attiecībā uz veselības datiem, kas tiek apstrādāti, drošības pasākumiem šādu datu aizsardzībai jābūt stingrāk piemērojamiem. Turklāt uzņēmumiem jāpārliecinās, ka tie turpina ievērot termiņus, lai paziņotu uzraudzības iestādēm (un vajadzības gadījumā arī privātpersonām) par personas datu pārkāpumiem, ja pārkāpums ir tāda smaguma, ka VDAR ir noteikts informēšanas pienākums.

Vienlaikus iesakām izvērtēt, vai ar iesaistītajām trešajām pusēm (piemēram, IT pakalpojumu vai veselības aprūpes sniedzējiem) nav nepieciešams noslēgt datu apstrādes līgumus.

To, ka šobrīd uzņēmumiem var būt grūti ievērot visus nepieciešamos datu aizsardzības atbilstības standartus, jo resursi tiek novirzīti Covid-19 ierobežošanai, saprot arī uzraudzības iestādes, no kurām dažas ir norādījušas, ka pret uzņēmumiem, kas šobrīd nespēj nodrošināt savu saistību izpildi, nevajadzētu vērst sankcijas. Tas, protams, vērtējams atzinīgi, bet tomēr šis šķietami piešķirtais elastīgums būtu jāinterpretē ļoti šauri. Uzņēmumiem jāturpina ievērot vadlīnijas, kas izdotas saistībā ar datu aizsardzības prasību izpildi, kā arī nacionālo datu aizsardzības uzraudzības iestāžu norādījumi valstīs, kurās darbojas uzņēmums.