COVID-19 และการปกป้องข้อมูลพนักงานในเซอร์เบีย: ตอบโจทย์นายจ้าง
นายจ้างกำลังเผชิญกับสถานการณ์ที่พนักงานของตนติดเชื้อ COVID-19 เป็นจำนวนมาก ความท้าทายนี้มักมาพร้อมกับข้อสงสัยหลายประการเกี่ยวกับการแลกเปลี่ยนข้อมูลและมาตรการคุ้มครองสุขภาพในสถานที่ทำงานด้านหนึ่ง และด้านการคุ้มครองความเป็นส่วนตัวของพนักงานในอีกด้านหนึ่ง
เรื่องเหล่านี้เกิดขึ้นไม่เพียงแค่สัมพันธ์กับความสัมพันธ์ระหว่างนายจ้างกับลูกจ้างเท่านั้น แต่ยังเกิดขึ้นกับผู้อื่นที่มาเยี่ยมชมสถานที่ทำงานด้วย (เช่น ลูกค้า ซัพพลายเออร์ ผู้สมัครงาน และอื่นๆ)
ซึ่งแตกต่างจากประเทศส่วนใหญ่ในสหภาพยุโรป หน่วยงานกำกับดูแลในท้องถิ่นกรรมาธิการเพื่อการคุ้มครองข้อมูลส่วนบุคคล (ต่อไปนี้เรียกว่า ” ข้าราชการ “) ไม่ได้แนะนำคำแนะนำที่เป็นรูปธรรมว่านายจ้างควรจัดการกับการประมวลผลข้อมูลส่วนบุคคลของพนักงานและผู้เยี่ยมชมอย่างไร อธิบดีเรียกร้องให้ประชาชนโดยเฉพาะสื่อและหน่วยงานภาครัฐดูแลกิจกรรมที่ทำขึ้นโดยมีเจตนาเพื่อป้องกันการแพร่กระจายของ coronavirus ไม่ละเมิดสิทธิความเป็นส่วนตัวของผู้ติดเชื้อในสถานการณ์ปัจจุบัน ผู้บัญชาการได้พูดคุยสั้น ๆ เกี่ยวกับภาระผูกพันของนายจ้างในคำชี้แจงของเขาตั้งแต่วันที่ 1 เมษายน 2020แต่คำชี้แจงนี้ไม่มีคำแนะนำเพิ่มเติม
โปรดทราบว่ากฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็น “โคลน” ของระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (ต่อไปนี้คือGDPR ) (อธิบายเพิ่มเติมในบล็อกของเราThe New Law on Personal Data Protection – Key Novelties ) วิธีแก้ปัญหาอาจเป็น เพื่อปรึกษาคำชี้แจงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในบริบทของการระบาดของ COVID-19ซึ่งได้รับการแนะนำโดย European Data Protection Board (ต่อไปนี้: EDPBหรือEuropean Board ) นอกจากนี้ เราจะวิเคราะห์ว่าประเทศอื่นๆ ในสหภาพยุโรปจัดการกับบางเรื่องอย่างไรและสรุปผลเกี่ยวกับเซอร์เบียได้อย่างไร
เราจะวิเคราะห์โดยตอบคำถามสมมุติซึ่งเรามักจะเจอบ่อยที่สุดในทางปฏิบัติ
คำถามที่ 1: นายจ้างสามารถระงับกฎเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในขณะที่จัดการกับเรื่องการคุ้มครองสุขภาพได้หรือไม่?
ในระยะสั้น: NO
คณะกรรมการยุโรปเน้นว่าบรรทัดฐานที่เกี่ยวข้องกับการปกป้องข้อมูลไม่ได้ขัดขวางการดำเนินการตามมาตรการฉุกเฉินที่นำมาใช้เพื่อป้องกันการแพร่กระจายของ coronavirus แต่อย่างใด ดังนั้นผู้ประมวลผลข้อมูลส่วนบุคคล (ซึ่งรวมถึงนายจ้าง) จะต้องรักษาระดับการป้องกันไว้ ของข้อมูลที่รวบรวมโดยไม่ขึ้นกับว่าประกาศสถานการณ์ฉุกเฉินในประเทศของตนหรือไม่ หรือสถานการณ์ฉุกเฉิน
นอกจากนี้ กรรมาธิการได้แสดงไว้ในคำแถลงของเขาที่ให้ไว้ในช่วงสถานการณ์ฉุกเฉินว่า สิทธิในการปกป้องข้อมูลส่วนบุคคลไม่ได้ถูกจำกัดในระหว่างภาวะฉุกเฉิน ซึ่งแตกต่างจากสิทธิอื่นๆ (เช่น สิทธิในการชุมนุม) ตอนนี้หลังจากยกเลิกภาวะฉุกเฉินแล้ว ก็ยังมีพื้นที่เหลือให้พิจารณาจำกัดสิทธิ์ในการปกป้องข้อมูลส่วนบุคคลน้อยลงไปอีก
คำถามที่ 2: ข้อมูลใดที่นายจ้างได้รับอนุญาตให้ดำเนินการ?
จากมุมมองของการปกป้องข้อมูลส่วนบุคคล ข้อมูลที่นายจ้างรวบรวมเกี่ยวกับพนักงานในบริบทของ COVID-19 สามารถแบ่งออกเป็นสองกลุ่ม:
ข้อมูลส่วนบุคคลในระบอบการคุ้มครองข้อมูลทั่วไปรวมถึงข้อมูลส่วนบุคคลทั้งหมด ยกเว้นข้อยกเว้นที่อยู่ในหมวดหมู่ที่กำหนดไว้อย่างชัดเจนในกฎหมาย ข้อมูลจะได้รับการประมวลผลตามกฎทั่วไป
ตามที่เราได้เขียนไว้ก่อนหน้านี้บริษัทต่างๆ ต้องคำนึงถึงหลักการปกป้องข้อมูลหกประการ เราเรียกสิ่งเหล่านี้ว่า “พระบัญญัติศักดิ์สิทธิ์” เพราะแต่ละขั้นตอนและกฎเกณฑ์ที่บริษัทดำเนินการต้องเป็นไปตามหลักการทั้งหกตลอดเวลา นอกจากนี้ เพื่อให้การประมวลผลถูกต้องตามกฎหมาย วัตถุประสงค์ของการประมวลผลต้องอยู่ภายใต้ฐานกฎหมายที่ถูกต้องตามกฎหมายหนึ่งในหกฐาน ดูเพิ่มเติมเกี่ยวกับหลักการและพื้นฐานทางกฎหมายสำหรับการประมวลผลในบล็อกของเรา Tic-Toc… บริษัทของคุณปฏิบัติตามกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือไม่? .
อย่างไรก็ตาม ตามมาตรา 9 ของกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ข้อมูลด้านสุขภาพถูกจัดประเภทเป็นหมวดหมู่ข้อมูลพิเศษ (ที่มีความละเอียดอ่อนเป็นพิเศษ) ซึ่งต้องการการปกป้องในระดับที่สูงกว่าเมื่อเทียบกับข้อมูลอื่นๆ ซึ่งหมายความว่าการประมวลผลประเภทนี้ควรได้รับความสนใจเป็นพิเศษ
ดังนั้น แม้ว่าโดยทั่วไปการประมวลผลข้อมูลส่วนบุคคลจะได้รับอนุญาต ตาม GDPR (ระบอบการปกป้องข้อมูลทั่วไป) การประมวลผลข้อมูลที่ละเอียดอ่อนโดยเฉพาะตามกฎทั่วไปจะไม่เป็นเช่นนั้น
อย่างไรก็ตาม ในส่วนที่เกี่ยวกับมาตรา 9 ของ GDPR ในมาตรา 17 ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล มีข้อยกเว้น 10 ประการสำหรับการห้ามการประมวลผลข้อมูลที่ละเอียดอ่อนโดยเฉพาะ ในทุกสถานการณ์ที่เป็นรูปธรรม จำเป็นต้องดำเนินการประมวลผลภายใต้ข้อยกเว้นข้อใดข้อหนึ่ง
ดังนั้น หากข้อมูลส่วนบุคคลเกี่ยวข้องกับสถานะสุขภาพของบุคคล จะต้องปฏิบัติตามเงื่อนไขทางกฎหมายทั้งหมด ที่เกี่ยวข้องกับระบบการคุ้มครองทั่วไปและการคุ้มครองพิเศษ
จากข้อมูลข้างต้น ดูเหมือนว่าขั้นตอนแรกของนายจ้างจะเป็นการกำหนดว่าข้อมูลส่วนบุคคลจะจัดอยู่ในหมวดหมู่ข้อมูลด้านสุขภาพ (ระบอบการคุ้มครองพิเศษ) หรือข้อมูลในระบบการคุ้มครองข้อมูลทั่วไปหรือไม่
เราจะยกตัวอย่างบางตัวอย่างที่พบบ่อยที่สุด:
| ข้อมูลส่วนบุคคล | ระบบการป้องกันข้อมูล |
|---|---|
| ข้อมูลเกี่ยวกับอาการ COVID-19 ของพนักงาน | ต้องใช้ระบบการปกป้องข้อมูลพิเศษ |
| ข้อมูลเกี่ยวกับผลการตรวจ COVID-19 ของพนักงาน | ต้องใช้ระบบการปกป้องข้อมูลพิเศษ |
| ข้อมูลเกี่ยวกับผู้ติดต่อของพนักงานที่ติดเชื้อ COVID-19 | ต้องใช้ระบบการป้องกันข้อมูลทั่วไป |
| ข้อมูลการเดินทางไปพื้นที่เสี่ยง | ต้องใช้ระบบการป้องกันข้อมูลทั่วไป |
คำถามที่ 3: นายจ้างควรดูแลอะไรในสถานการณ์ที่เป็นรูปธรรม?
น่าเสียดายที่ไม่มีวิธีแก้ปัญหาแบบ “หนึ่งขนาดที่เหมาะกับทุกคน” ในทุกกรณีเฉพาะ นายจ้างจะต้องกำหนดวัตถุประสงค์ของการประมวลผลและจัดหมวดหมู่ตามหลักกฎหมายที่กฎหมายกำหนด โดยคำนึงถึงหลักการประมวลผลด้วย
โดยทั่วไป พื้นฐานทางกฎหมายสำหรับการประมวลผลข้อมูลในระบอบการปกป้องข้อมูลทั่วไปมักจะเป็น:
- การเคารพภาระผูกพันทางกฎหมายของผู้ควบคุม (นายจ้าง) เช่น การรับรองความปลอดภัยและการคุ้มครองชีวิตและสุขภาพในที่ทำงาน (มาตรา 80 แห่งพระราชบัญญัติการจ้างงานและกฎหมายว่าด้วยความปลอดภัยและสุขภาพในที่ทำงาน)
- ผลประโยชน์ที่ชอบด้วยกฎหมายของนายจ้างหรือบุคคลภายนอก
แต่เฉพาะในกรณีพิเศษเท่านั้น:
- การคุ้มครองผลประโยชน์ที่สำคัญของบุคคลที่เกี่ยวข้องกับข้อมูลหรือของบุคคลธรรมดาอื่น
- ความยินยอมของพนักงาน
ในส่วนที่เกี่ยวกับข้อมูลที่ละเอียดอ่อนโดยเฉพาะ ผลประโยชน์ที่ชอบด้วยกฎหมายจะไม่มีบทบาท จำเป็นต้องปฏิบัติตามเงื่อนไขของข้อยกเว้นข้อใดข้อหนึ่งที่กำหนดไว้ในมาตรา 17 ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (หรือมาตรา 9 ของ GDPR) การประมวลผลมักจะมีความจำเป็นสำหรับการปฏิบัติตามภาระผูกพันหรือการใช้อำนาจตามกฎหมายของผู้ควบคุมหรือบุคคลอื่นที่เกี่ยวข้องกับข้อมูลในด้านการทำงาน การประกันสังคม และการคุ้มครองทางสังคม
ในข้อความต่อไปนี้ เราจะยกตัวอย่างที่ดีและไม่ดีเกี่ยวกับแนวทางปฏิบัติในการเก็บรวบรวมข้อมูลของนายจ้าง:
| การประมวลผลที่ได้รับอนุญาตที่เป็นไปได้ | กระบวนการที่ต้องห้ามที่อาจเกิดขึ้น |
|---|---|
| การวินิจฉัยการติดเชื้อ COVID-19 โดยแพทย์ผู้เชี่ยวชาญ | การดำเนินการตรวจเลือดหรือการทดสอบอื่น ๆ โดยนายจ้าง (หรือบุคคลที่นายจ้างจ้างเพื่อวัตถุประสงค์ดังกล่าว) หรือการวัดอุณหภูมิรายวัน |
| ผู้ติดต่อใกล้ชิดที่ติดเชื้อหรือมีอาการ | ข้อมูลเกี่ยวกับบุคคลที่พนักงานได้รับการติดต่อ |
ควรพิจารณาว่าจะใช้กฎเกณฑ์ที่แตกต่างกันขึ้นอยู่กับว่าพนักงานทำงานจากที่บ้านหรือมาทำงานในสถานที่ของนายจ้าง
หากพนักงานทำงานจากที่บ้าน การรวบรวมข้อมูลของพนักงานจะถูกจำกัดให้แคบลงอย่างแน่นอน เนื่องจากนายจ้างมีภาระหน้าที่เกี่ยวกับมาตรการด้านความปลอดภัยและการป้องกันในสถานที่ทำงานน้อยลง อย่างไรก็ตาม กรรมาธิการย้ำว่า หากงานดังกล่าวเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลด้วยตามหลักคุณธรรมและความลับ นายจ้างมีหน้าที่ต้องจัดให้มีมาตรการที่เพียงพอในการปกป้องข้อมูลส่วนบุคคล ซึ่งรวมถึงมาตรการต่างๆ เช่น การตรวจสอบความปลอดภัยของเครือข่าย และการโต้ตอบผ่านอีเมลธุรกิจ ฯลฯ
คำถามที่ 4 : นายจ้างสามารถแก้ปัญหานี้ได้ง่ายๆ โดยได้รับความยินยอมจากลูกจ้างหรือไม่?
ในกรณีส่วนใหญ่ ความยินยอมจะไม่ใช่พื้นฐานทางกฎหมายที่เพียงพอ นายจ้างและลูกจ้างอยู่ในความสัมพันธ์ของการอยู่ใต้บังคับบัญชา ซึ่งในกรณีนี้มักจะถูกกรรโชกได้ คำอธิบายรายละเอียดเพิ่มเติมเกี่ยวกับการได้รับความยินยอมเป็นพื้นฐานทางกฎหมายในบริบทการจ้างงานที่สามารถพบได้ในบล็อกของเราก่อนหน้าส่วนใหญ่เข้าใจผิดกันของนายจ้างเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
คำถามที่ 5: นายจ้างสามารถแบ่งปันข้อมูลเกี่ยวกับพนักงานคนใดที่ติดเชื้อกับพนักงานคนอื่นได้หรือไม่?
นายจ้างสามารถแบ่งปันข้อมูลกับพนักงานเกี่ยวกับการปรากฏตัวของไวรัสในสถานประกอบการของบริษัท แต่ไม่ต้องให้ชื่อหรือข้อมูลระบุตัวตนอื่น ๆ ของพนักงานที่ติดเชื้อ เว้นแต่จะเป็นสิ่งที่หลีกเลี่ยงไม่ได้อย่างแท้จริง
หากพนักงานติดเชื้อขณะทำงานจากที่บ้าน ดังนั้นหากนายจ้างอนุญาตให้พนักงานทำงานจากที่บ้าน เราไม่เห็นเหตุผลที่จะเปิดเผยข้อมูลส่วนบุคคลของพนักงานที่ติดเชื้อ
ขั้นตอนต่อไปในการดำเนินการตามมาตรการภายในสถานที่ประกอบธุรกิจอาจรวมถึงการแนะนำสายด่วนพิเศษสำหรับการโทรฉุกเฉินในบริบทของ coronavirus ซึ่งจะช่วยพนักงานที่สงสัยว่าพวกเขาอาจติดเชื้อในการขอความช่วยเหลือโดยไม่เปิดเผยตัวตนและไม่ต้องตื่นตระหนก
คำถามที่ 6: นายจ้างมีภาระผูกพันอะไรบ้างต่อพนักงานที่ตรวจพบว่าติดเชื้อ COVID-19 ในแง่ของการปกป้องข้อมูล?
ตามหลักการของความโปร่งใส นายจ้างมีหน้าที่ต้องแจ้งให้บุคคลนั้นทราบ ซึ่งข้อมูลนั้นอ้างถึง ข้อมูลใดบ้างที่ถูกเปิดเผย ใคร วัตถุประสงค์ใด และระยะเวลาเก็บรักษานานเท่าใด
หลังจากการระบาดใหญ่สิ้นสุดลงและไวรัสไม่เป็นภัยคุกคามอีกต่อไป นายจ้างมีหน้าที่ต้องลบข้อมูลส่วนบุคคลทั้งหมดที่รวบรวมของพนักงานที่เกี่ยวข้องกับไวรัสโคโรน่า
คำถามที่ 7: อนุญาตให้แบ่งปันข้อมูลส่วนบุคคลเมื่อใด
ตามที่กล่าวไว้ข้างต้น ข้อมูลด้านสุขภาพของพนักงานต้องการการปกป้องในระดับที่สูงขึ้น โดยสอดคล้องกับลักษณะและความอ่อนไหวของพนักงาน สิ่งนี้ทำให้เกิดคำถามเกี่ยวกับการจำกัดการใช้งานเกี่ยวกับข้อมูลประเภทนี้ รวมถึงเหตุผลในการเปิดเผยข้อมูลต่อบุคคลที่สาม ในแง่นี้ หน่วยงานคุ้มครองข้อมูลระดับประเทศส่วนใหญ่เห็นด้วย – ข้อมูลส่วนบุคคลของพนักงานที่ติดเชื้อสามารถเปิดเผยได้ก็ต่อเมื่อจำเป็นเท่านั้น เพื่อปกป้องผลประโยชน์สาธารณะและสุขภาพของประชาชน เช่น:
- การแบ่งปันกับอาสาสมัครที่จำเป็นต้องมีส่วนร่วมเพื่อใช้มาตรการด้านสุขภาพและความปลอดภัยบางอย่างหรือ
- การแบ่งปันกับหน่วยงานของรัฐและองค์กรต่างๆ เมื่อได้รับมอบอำนาจ
ประเทศในยุโรป
- สหราชอาณาจักรปฏิบัติตามคำชี้แจงของ EDPB: นายจ้างจะต้องดำเนินการตามมาตรการที่จำเป็นทั้งหมดเพื่อปกป้องพนักงานและมีสิทธิ์ที่จะได้รับการแจ้งเตือนหากพนักงานอาจติดเชื้อ นอกจากนี้ นายจ้างที่มีการติดต่อโดยตรงกับลูกค้าอาจขอให้ผู้มาเยี่ยมทุกคนปฏิบัติตามคำแนะนำของหน่วยงานผู้มีอำนาจก่อนเข้าไปในสถานที่ประกอบธุรกิจของนายจ้าง
- ในฝรั่งเศสนายจ้างได้รับอนุญาตให้รวบรวมข้อมูลที่เกี่ยวข้องกับ coronavirus ที่อ้างถึงพนักงานเฉพาะตามคำขอของหน่วยงานที่มีอำนาจ แต่ไม่ใช่ก่อนที่จะใช้มาตรการป้องกันและองค์กรการทำงานที่กำหนดไว้ทั้งหมดในช่วงที่มีการระบาด
- ทางการอิตาลีกำหนดให้การตรวจหาและการปราบปรามของ COVID-19 เป็นภารกิจเฉพาะของอาสาสมัครคุ้มครองพลเรือนและสถาบันทางการแพทย์มืออาชีพตามกฎหมาย ดังนั้น นายจ้างต้องละเว้นจากการดำเนินการตามมาตรการเองที่เกี่ยวกับการเก็บข้อมูล
- หน่วยงานคุ้มครองข้อมูลของสเปนได้ออกแถลงการณ์โดยสมบูรณ์ตามข้อกำหนดของ EDPB โดยเน้นว่าข้อกำหนดใดที่ต้องปฏิบัติตาม ในส่วนที่เกี่ยวกับการรวบรวมและประมวลผลข้อมูลระหว่างการระบาดของไวรัสโคโรนา: ก) พื้นฐานทางกฎหมายสำหรับการประมวลผล – อ้างถึงมาตรา 9 ของ GDPR สเปนกฎหมายคุ้มครองข้อมูลและกฎหมายแรงงานและข) การลดข้อมูล
