COVID-19 un personas datu apstrādes tiesiskums Latvijā
COVID-19 ir vīruss, kas apdraud cilvēka veselību. Līdz ar to ir pašsaprotami, ka infekcijas izplatības ierobežošana nevar notikt bez cilvēka personas datu apstrādes pat tad, ja cilvēkam vēl nav konstatēta saslimšana.
Šī raksta fokuss ir vērsts uz lakonisku organizāciju tipiskās rīcības vērtējumu un pienākumiem no Vispārīgās datu aizsardzības regulas Nr. 2016/679 (turpmāk – Regula) viedokļa ārkārtas situācijas laikā, un šeit aplūkotie jautājumi nebūt nav vienīgie, kuri vēl nākotnē tiks analizēti.
Infekcijas slimību apkarošana normālā situācijā pamatā balstās uz šādiem soļiem:
a) ārsts pacientam konstatē infekciju un uzsāk ārstēšanu; ārsts par infekciju ziņo speciālai valsts iestādei – Slimību profilakses un kontroles centram (turpmāk – SPKC), kura funkcija ir apzināt pacienta iespējamās kontaktpersonas (piemēram, ģimenes locekļi, darba kolēģi) un ieteikt tām noteiktus aizsardzības pasākumus;
b) nepieciešamības gadījumā personai tiek atvērta darba nespējas lapa un persona neierodas darbā (darba nespējas lapa neparedz diagnozes izpaušanu);
c) apzinīgās kontaktpersonas dodas pie ārsta pārbaudīt veselību un nepieciešamības gadījumā uzsāk ārstēšanos.
COVID-19 gadījumā secība var būt citāda. Galvenokārt tāpēc, ka pašlaik par noteiktu riska grupu personu veselību vispirms interesējas nevis ārsts, bet SPKC un tagad jau arī gandrīz katrs darba devējs, piemēram, saistībā ar personas komandējumu, repatriāciju. Tātad, salīdzinot ar parasto situāciju, pašreiz noteiktu personas datu apstrāde var proaktīvi notikt jau darba vietā.
Datu valsts inspekcija 2020. gada 17. martā publicēja ieskatu Regulas interpretācijā saistībā ar esošo ārkārtas situāciju (ar kuru var iepazīties iestādes tīmekļa vietnē), tāpēc šeit tiks aplūkoti citi būtiski jautājumi, kuri nav līdz šim analizēti. Jāpiebilst, ka Eiropas Datu aizsardzības kolēģija šā gada 19. martā savā vietnē publicēja speciālu paziņojumu attiecībā uz dažiem jautājumiem, kas var rasties saistībā ar personas datu apstrādi šajā periodā.
Regula neaizliedz vispār apstrādāt personas veselības datus, it īpaši sabiedrības veselības mērķiem, taču apstrādei jānotiek Regulā un Latvijas likumiem atbilstošajā kārtībā.
1. Vairākas tipveida situācijas saistībā ar personas datu apstrādi darba vietā
(A) Informāciju par darbinieku vai viņa kontaktpersonām darba devējam pieprasa SPKC
Epidemioloģiskās drošības likums (turpmāk – EDL) nosaka, ka kontaktpersona ir cilvēks, kurš ir bijis tiešā vai netiešā kontaktā ar infekciozu personu vai uzturējies epidēmijas perēklī un kuram ir bijusi iespēja inficēties. Piemēram, epidemiologs, kas noskaidrojis kādu inficētu personu, tālāk noskaidros viņas darba vietu un to, ar kādām personām inficētajai personai ir bijis kontakts darba vietā. Kontaktpersonu noskaidrošanas mērķis ir informēt šīs personas par inficēšanās risku, nepieciešamību veikt pārbaudes, kā arī noteikt pienākumu ievērot attiecīgos drošības pasākumus. Atbilstoši EDL darba devējam pēc SPKC pieprasījuma ir jāsniedz SPKC to darbinieku personas dati, kuri ir strādājuši kopā ar kontaktpersonu, un šādā gadījumā Regula netiks pārkāpta. Tomēr svarīga ir pieprasījuma forma. Ja pieprasījums tiek izteikts telefona sarunas laikā, jābūt pārliecībai, ka personas datus pieprasa tieši SPKC epidemiologs. Darba devējam nav tiesiska pamata informēt citus darbiniekus par attiecīgo SPKC interesi, kā arī izpaust citiem darbiniekiem jebkādu medicīnisku informāciju.
(B) Preventīva personas datu apstrāde kā darba drošības jautājums
Vispirms jau jāuzsver, ka uz katru darba devēju attiecas Darba aizsardzības likums, kura mērķis ir garantēt un uzlabot nodarbināto drošību un veselības aizsardzību darbā. Iespēja saslimt ar COVID-19 ir jauns darba vides risks, ar kuru iepriekš neviens nebija saskāries. It īpaši tas jāņem vērā tad, ja darba vieta tiek organizēta kā koplietošanas vai atvērtais birojs, kur katram darbiniekam nav iekārtota konkrēta darba vieta. Līdz ar to darba devējam ir jādomā par dažādiem aizsardzības pasākumiem, lai risku mazinātu, piemēram, pastiprināti dezinficējot telpas vai uzstādot stikla aizsargbarjeras pie veikala kasēm.
Tomēr viens no darbinieku aizsardzības pasākumiem pašreiz varētu būt arī personas datu apstrāde, piemēram, saņemot no klientiem apliecinājumus, ka viņiem nav infekcijas simptomu. Turklāt šādas informācijas sniegšanas pienākumu kontaktpersonām paredz valdības rīkojums.
Klientu apliecinājumu pieprasīšana un iegūšana
Apliecinājumu iegūšana ir personas datu apstrāde, jo tajā konkrēts datu subjekts (vārds, uzvārds, iespējams, arī personas kods), piemēram, ar parakstu apliecina, ka nav bijis ārvalstīs vai ir/nav kontaktpersona EDL izpratnē. Šādi apliecinājumi būtībā nesatur veselības datus, kā arī neliecina par to, ka persona ir vai nav vesela. Līdz ar to šos personas datus nevarētu atzīt par īpašas kategorijas personas datu apstrādi. Šādu datu apstrādei pastāv gan leģitīms mērķis saskaņā ar Regulas 6. panta 1. punkta f) apakšpunktu – aizsargāt darbinieku un citu apmeklētāju veselību, gan arī būtībā ir piemērojams Regulas 6. panta 1. punkta d) apakšpunkts – apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses. Tiesiskais pamats ir atkarīgs no apliecinājumā pieprasītās informācijas apjoma, kuru veidojot jāievēro Regulas 5. panta principi. Tā kā informēšanas pienākums ar valdības rīkojumu ir uzlikts kontaktpersonai (nevis pakalpojumu sniedzēja pienākums ievākt datus), tad pakalpojumu sniedzējiem ir jāizvēlas piemērots veids, kā saņemt un uzkrāt informāciju, pēc iespējas ievērojot Regulas 5. panta principus.
Ja pakalpojumu sniedzējs pieprasa konkrētu apliecinājumu par veselību vai personas fizioloģisko stāvokli, tad šāds apliecinājums jau ietvers arī īpašas kategorijas (veselības) personas datus. Tas nozīmē, ka tiesiskajam pamatam ir jābūt noteiktam atbilstoši Regulas 9. pantam.
Darbinieku veselības monitorings
Arī darbinieku veselības monitorings ir vērsts uz citu personu veselības aizsardzību, šajā gadījumā citu darbinieku un klientu (apmeklētāju) veselības drošību. Regulas 9. panta 2. punkta g) apakšpunkts paredz apstrādi, kas ir vajadzīga būtisku sabiedrības interešu dēļ.
Var izdarīt secinājumu, ka, lai pareizi noteiktu darba devēja pienākumus, vispirms būtu jānošķir, vai tiek apstrādāti veselības dati un vai šādu datu apstrāde darba vietā tiešām ir nepieciešama.
2. Regulā paredzētie organizatoriskie pienākumi un datu subjekta tiesības
Uzsākot jaunu datu apstrādes procesu attiecībā uz darbinieku veselības monitoringu, organizācijai jāizvērtē, vai šādu datu apstrāde ir iekļaujama personas datu apstrādes reģistrā. Ja apliecinājumi tiks ievākti ilgāku laika posmu no visiem klientiem, tad tā ir regulāra personas datu apstrāde, tātad šāda apstrāde ir jāiekļauj reģistrā. It īpaši Regulas 30. panta pienākums ir īstenojams, ja tiek apstrādāti veselības dati.
Jānosaka šo ievākto personas datu glabāšanas termiņš. Jāņem vērā, ka iegūtajai informācijai par darbinieku vai klientu veselības stāvokli (arī darbinieku un klientu apliecinājumi) ir pārejošs raksturs. Ja šo datu glabāšanai nevar pašreiz noteikt galīgo glabāšanas termiņu, būtu jāparedz termiņa pārskatīšanas datums, kā arī jau tagad jāsaprot, kā notiks šādu datu iznīcināšana vai dzēšana.
Datu subjektam ir tiesības iepazīties ar visiem personas datiem par sevi, kas ir darba devēja (vai pakalpojumu sniedzēja) rīcībā, un tas attiecas uz informāciju, kas apstrādājama saistībā ar COVID-19.
3. Elektronisko sakaru pakalpojumu lietotāju dati par atrašanās vietu
Ministru kabinets 2020. gada 29. martā grozīja iepriekš pieņemto rīkojumu Nr. 103 "Par ārkārtējās situācijas izsludināšanu", papildinot to ar jaunu 4.48. punktu, kas paredz, ka Valsts policija pēc SPKC pieprasījuma pieprasa un elektronisko sakaru komersanti izsniedz informāciju par konkrētas personas telefona numuru un abonenta atrašanās vietu, ja attiecīgajai personai var būt noteikts inficētas personas vai kontaktpersonas statuss. Saņemtos datus nodod SPKC, lai veiktu epidemioloģisko izmeklēšanu un pārliecinātos, ka personas sniegtā informācijas par pārvietošanos ir patiesa.
Šajā saistībā ir vairāki jautājumi.
Piemēram, par kādiem tieši atrašanās vietas datiem tika lemts?
Atgādināšu, ka 2016. gadā bija lielas diskusijas par to, vai it kā atrašanās vietas datus drīkst izmantot, lai Ārlietu ministrija ar elektronisko pakalpojumu sniedzēju starpniecību nosūtītu īsziņas par terorisma draudiem tiem abonentiem un lietotājiem, kuri atrodas ārvalstīs. Pat šādā sīkā jautājumā tika izdarīti grozījumi Elektronisko sakaru likuma (turpmāk – ESL) 71. pantā, kaut arī abonenta pieslēguma faktu kāda Latvijas elektronisko sakaru operatora viesabonēšanas nodrošinātājam ārvalstīs, kas noticis noteiktā datumā, nevar uzskatīt par atrašanās vietas datiem ESL un Direktīvas 2002/58/EK izpratnē. Saskaņā ar Direktīvas 2002/58/EK preambulas skaidrojumu atrašanās vietas dati var attiekties uz lietotāja gala iekārtas platumu, garumu un augstumu, uz raidīšanas virzienu, uz atrašanās vietas informācijas precizitātes līmeni, uz tās maršrutizācijas noteikšanu, kurā atrodas gala iekārta kādā konkrētā laikā, un uz laiku, kurā reģistrēta atrašanās vietas informācija.
Tāpat ESL 1. pielikumā attiecībā uz saglabājamo datu veidiem norādīts, ka tiek saglabāti dati, kas identificē mobilo sakaru tīkla katras šūnas ģeogrāfisko atrašanās vietu atbilstoši šūnas atrašanās identifikatoram (piemēram, šūnas ID) atrašanās vietas datu saglabāšanas perioda laikā.
Latvijas mobilo sakaru operatoram nav datu par citas valsts operatora šūnas atrašanās identifikatoru. Tātad dati par personas atrašanos ārvalstīs vēsturiskā skatījumā nav atrašanās vietas dati ESL izpratnē.
Atrašanās vietas dati par personu pārvietošanos tiek aizsargāti saskaņā ar Direktīvu 2002/58/EK, ESL 71. pantu un arī Latvijas Republikas Satversmes 96. pantu.
Ja personas (abonenta) vārds, uzvārds un telefona numurs ir gan noslodzes dati, gan var būt uzskatāmi vienkārši par personas datiem (jo šādu personas datu kopu apstrādā par darbiniekiem arī katrs darba devējs), tad atrašanās vietas dati to īstajā nozīmē ir ekskluzīvs noslodzes datu veids, kurus ESL 71.1 pants (Saglabājamo datu izmantošana un apstrāde) neparedz izpaust ne Valsts policijai, ne kādai citai iestādei ar infekcijas monitoringa mērķi.
Šādus datus no elektronisko sakaru komersanta var pieprasīt un saņemt arī saskaņā ar datu subjekta piekrišanu, bet tai atbilstoši Regulas izpratnei ir jābūt brīvai piekrišanai.
Tomēr jāatceras, ka datu subjekti par datu apstrādi var sākt izvirzīt iestādēm dažādas pretenzijas, bet par valdības rīkojumiem iesniegt pieteikumu Satversmes tiesā, lai vērtētu to tiesiskumu.
Nevar noliegt, ka šādi dati var būt derīgi pašreizējā infekcijas apkarošanas procesā un personas datu aizsardzība nav svarīgāka par personas veselību (bez veselības nebūs arī datu subjekta, kura datus aizsargāt). Tomēr pašreizējā situācijā valdības jau pieņemtie lēmumi un turpmākie lēmumi nedrīkst ignorēt kārtību, kādā cilvēktiesības var tikt ierobežotas. Arī Eiropas Datu aizsardzības kolēģija savā 2020. gada 19. marta paziņojumā ir norādījusi, ka valstīm, kuras vēlas iegūt personalizētus atrašanās vietas datus no elektronisko pakalpojumu sniedzējiem, ir jāizdara atbilstoši grozījumi likumā (balstoties uz Direktīvas 2002/58/EK 15. pantu), paredzot datu subjektam atbilstošas tiesību aizsardzības garantijas.
Ņemot vērā, ka valdības rīkojumā nav norādīts, par kādu laika posmu dati (vēsturiskie vai aktuālie) tiks ievākti, par šo apstrādi pašlaik pilnībā atbild SPKC, ņemot vērā, ka Valsts policija drīzāk ir tikai instruments, caur kuru šādi dati tiks iegūti un nodoti SPKC.
Taču nav arī skaidrs, kāda būs Valsts policijas pieprasījuma forma. Esošie Ministru kabineta noteikumi par saglabājamo datu pieprasīšanu nav piemēroti, jo izdoti citam mērķim.
Līdz ar to nav skaidrs jautājums, vai Valsts policija vēl kaut kā īpaši vērtēs SPKC pieprasījumus. Ņemot vērā, ka Valsts policijas pieprasījums nav vērsts uz kriminālprocesu, datu subjektam ir tiesības zināt par šo datu pieprasījumu un apstrādi. Tāpēc Valsts policijas pieprasījumā, kas adresēts elektronisko sakaru operatoram, ir skaidri jānorāda pieprasījuma mērķis un tiesiskais pamats, kas nebūs kriminālprocess.
Ja vēlāk SPKC konstatēs, ka persona neievēro pašizolācijas procesu, SPKC būs dati atkal jānodod Valsts policijai administratīvā pārkāpuma lietai. Šajā gadījumā vēl jāievēro likums "Par fizisko personu datu apstrādi kriminālprocesā un administratīvā pārkāpuma procesā".
Par GDPR jautājumiem uzzini arī:
Riska vadības rokasgrāmata
Līgumu rokasgrāmata
Būvniecības vadības rokasgrāmata