Posebno nam je drago kada nam se naši čitatelji jave porukom ili pozivom i mole da objavimo određene konkretne upute ili primjere na konkretnu temu.
 
Jedna od takvih tema je svakako i pitanje što je poslodavcima dozvoljeno a što ne s obzirom na osobne podatke zaposlenika kad je u pitanju provođenje mjera sprječavanja širenja zaraze koronavirusom.
 
Definitivno tema nije jednostavna, samim time ostavlja se prostor da poslodavci pogrešno postupe s obzirom na obveze zaštite osobnih podataka.
 
U najsažetijem obliku potrebno je slijedeće:
 
Poslodavci ne bi trebali obrađivati osobne podatke osim onoga što je nužno za identifikaciju zaraženih zaposlenika i zaštite zdravlja i sigurnosti drugih zaposlenika
 
Ako su prema zakonu obvezni objaviti određene podatke državnim tijelima iz javnozdravstvenih razloga, moraju to raditi uz strogo poštivanje pravnog temelja iz GDPR-a
 
Nakon što ovo "izvanredno" stanje prođe, moraju ukinuti sve posebne mjere i vratiti se u "uobičajenu" obradu, što uključuje i trajno brisanje prikupljenih podataka na siguran način.
 
Kad je u pitanju odnos poslodavca i zaposlenika, privola za prikupljanje i obradu osobnih podataka zaposlenika nije primjenjiva (samo tek u iznimnim slučajevima koji nisu predmet COVID-19 priče). Privolu ne koristiti.
 
Zašto nije primjenjiva? Jer mora biti izraz slobodne volje zaposlenika, što je praktički nemoguće očekivati u odnosu između poslodavca i zaposlenika. Stoga, privoli ovdje nema mjesta.
 
Ali privola nikako nije jedini pravni temelj za prikupljanje podataka. To smo već naučili, zar ne?
 
Postoji još 5 pravnih temelja koji daju pravo voditelju obrade da prikuplja i obrađuje opće osobne podatke, kao što su ugovorne obveze ili namjera sklapanja ugovora, zakonska ili druga pravna obveza, legitimni interes kada je isti opravdan i argumentiran, ključni ili životni interes pojedinaca i, za kraj, javni interes ili službene ovlasti poslodavca koji su utvrđeni određenim važećim propisom.
 
Što se tiče potrebe poslodavaca da prikupljaju podatke o zdravlju zaposlenika radi sprječavanja širenja zaraze i zaštite zdravlja zaposlenika, postoje čak tri moguća pravna temelja:
 
- pravna ili zakonska obveza koja proizlazi iz Zakona o radu i Zakona o zaštiti na radu u smislu obveza poslodavca da osigura zdravo i sigurno okruženje za zaposlenika
- javni interes u svrhe praćenja epidemija i njihovog širenja, utemeljen na važećim propisima ili odlukama nadležnih tijela,
 
- životni interes zaposlenika i drugih osoba, praktički pitanje života i smrti, ako nema drugog temelja.
 
 
Dodatno, GDPR u svom članku 9. zabranjuje prikupljanje zdravstvenih podataka osoba. Ali samo općenito. Naime, postoji točno 10 egzaktnih iznimki u kojim slučajevima se mogu prikupljati zdravstveni i ostali osjetljivi osobni podaci.
 
U odnosu poslodavca i zaposlenika tri su iznimke moguće:
 
1. kada je nužno za potrebe izvršavanja obveza i ostvarivanja posebnih prava u području radnog prava, odnosno, da pojednostavimo, Zakona o radu i Zakona o zaštiti na radu
 
primjer: Prilikom sklapanja ugovora o radu i tijekom trajanja radnog odnosa zaposlenik je dužan obavijestiti poslodavca o bolesti ili drugoj okolnosti koja ga onemogućuje ili bitno ometa u izvršenju obveza iz ugovora o radu ili koja ugrožava život ili zdravlje osoba s kojima u izvršenju ugovora o radu radnik dolazi u dodir
 
2. kada je nužno u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju
 
primjer: Izvješćivanje nadležnih tijela (epidemiolozi) o postojanju zaraznog slučaja temeljem obveza poslodavaca propisanih važećim propisima i odlukama nadležnih tijela
 
3. kada je nužno za zaštitu životno važnih interesa bilo kojeg pojedinca ako osoba čije podatke o zdravlju moramo prikupiti nije u mogućnosti na to pristati
primjer: Postojanje simptoma zaraze uočenih kod zaposlenika
 
 
Primjećujete li nešto zajedničko ovim kriterijima? Riječ "nužno" je ključ.
 
Termin "nužno" ima i šire značenje.
 
Tumačiti ga treba na način da prikupljanje podataka o zdravlju zaposlenika mora biti:
 
- transparentno i informirano - zaposlenik mora biti jasno i na razumljiv način unaprijed biti upoznat zbog čega se i koji osobni podaci prikupljaju i kome se otkrivaju, na koji rok čuvaju, kojim pravnim temeljem i koja su prava zaposlenika u zaštiti njegove privatnosti te kako ih može ostvariti, kao i pravo da podnese prigovor AZOP-u (Agenciji za zaštitu podataka)
 
- proporcionalno svrhi - ako znamo svrhu ili zakonsku obvezu, ako znamo na koji pravni temelj se pozivamo, tada znamo što moramo učiniti i kako te kome moramo ili smijemo otkriti te podatke
 
- ograničeno samo na neophodan skup podataka - ne smijemo tražiti od zaposlenika podatke o široj zdravstvenoj slici ili psihološkom stanju, o zdravlju drugih ukućana ili s kim se družio posljednjih dana, pri čemu podatak da je zaposlenik bio na putu u drugoj zemlji i da je ostao kod kuće u samoizolaciji na 14 dana nije podatak o zdravlju. Smiju se tražiti isključivo podaci u svrhu poduzimanja mjera sprječavanja širenja zaraze temeljem kojih ćete odlučiti hoćete li poslati ostale zaposlenike u samoizolaciju i rad od kuće. Ako imate zaposlenika koji ne pokazuje nikakve simptome zaraze, iako to ne znači da nije zarazan, nemate temelja prikupljati medicinske informacije o njemu izvan okvira koji vam nalaže Zakon o radu i Zakon o zaštiti na radu
 
- s ograničenjem roka zadržavanja takvih podataka - ne smije se vječno čuvati takve podatke, već samo u onom roku koji je nužan za samu svrhu, neka bude što kraće ili ih nemojte uopće zadržavati. Definitivno nemate nikakvog temelja zadržavati podatke o zdravlju nakon prestanka javnozdravstvenih mjera. Ako sumnjate da netko od zaposlenika ima bolest uzrokovanu koronavirusom, vi, vaš stručnjak zaštite na radu ili druga odgovorna osoba mora o tome obavijestiti nadležnog epidemiologa, a zdravstvene podatke o njegovoj zarazi nemojte pohranjivati dulje nego je nužno radi suradnje s epidemiolozima.
 
- s ograničenjem pristupa prikupljenim podacima - poslodavac mora strogo odrediti minimalan skup ovlaštenih zaposlenika koji će, poštujući obveze povjerljivosti i profesionalne tajne, držati takve informacije strogo povjerljivima bez obzira u kojem formatu i mediju se nalazili
 
- uz osigurane mjere sigurnog i trajnog uništavanja zdravstvene dokumentacije - ako smo već prikupili zdravstvene podatke, nakon što svrha obrade istih prođe, moramo ih uništiti na način da ih nitko ne može naknadno pročitati, a ako su u elektroničkom obliku, osigurati da se isti trajno izbrišu sa svih medija, uključujući i sigurnosne kopije
 
- dokumentirano - sve prethodno neophodno je zapisati, argumentirati i opravdati, vjerujte nam, prilikom dokumentiranja ćete sami uočiti "drži li vodu" to što radite. U konačnici, dokumentiranost će vam jedina pomoći u slučaju dokazivanja da ste postupali u skladu s GDPR-om.
 
---------------------------
 
Sad je dobar dio vas ponovno pročitao prethodni tekst i ne nalazi odgovor na jednostavno pitanje: ako nam se zaposlenik dokazano zarazi koronavirusom, smijemo li to reći ostalim zaposlenicima?
 
Trebate informirati ostale zaposlenike da imate slučaj zaraze u organizaciji i podržati ih u ostvarivanju njihove odgovornosti da se u slučaju javljanja simptoma zaraze kod bilo kojeg drugog zaposlenika oni sami jave svom obiteljskom liječniku sukladno javnozdravstvenim uputama.
 
Pri tom nemojte odavati ime zaraženog zaposlenika.
 
Sjetite se obveze strogog ograničenja osobnim podacima o zdravstvenom stanju zaraženog zaposlenika. O istome ste obavijestili nadležne institucije temeljem obveza koje kao poslodavac imate iz važećih propisa i odluka nadležnih tijela, i nema tog propisa koji vam nalaže otkrivanje identiteta zaraženog zaposlenika unutar organizacije.
 
Naravno, u manjim organizacijama ili organizacijskim jedinicama zaposlenici će sami vrlo brzo shvatiti tko im nedostaje u timu i ne dolazi na posao. To je životno istinito. Sami će doći do zaključaka, bez da im poslodavac išta otkrije.
 
Na trenutak stavimo GDPR sa strane. U takvim slučajevima poslodavac mora spriječiti stigmatizaciju i osuđivanje zaraženog zaposlenika, mora skrenuti pozornost svojim zaposlenicima da nije zaraženi zaposlenik kriv što se zarazio i da se zaraza može dogoditi svakome.
 
Poslodavac mora biti u takvim trenucima motivator svom timu da pomognu svom kolegi da mu povratak na radno mjesto bude razlog veselju svih članova tima.