Datu valsts inspekcija (DVI) atgādina par personu tiesībām un pienākumiem datu aizsardzības jomā veselības informācijas kontekstā un skaidro, cik tiesīgs ir darba devējs vai pakalpojumu sniedzējs pieprasīt no darbinieka vai klienta informāciju par tā veselības stāvokli un ārvalstu apmeklējumu.
DVI norāda, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no Vispārīgās datu aizsardzības regulas 6. panta 1. punktā minētajiem pamatojumiem (Regulā ir noteikti seši vispārīgi tiesiskie pamati: piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana). Savukārt īpašu kategoriju (veselības dati) personas datu apstrāde ir atļauta, ja pastāv vismaz viens no Vispārīgās datu aizsardzības regulas 9. panta 2. punktā minētajiem pamatojumiem, piemēram, apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā – aizsardzībai pret nopietniem pārrobežu draudiem veselībai.
Līdz ar to personas datu apstrāde būtu jāveic tā, lai tā kalpotu cilvēkam, nevis veicinātu paniku, vairojot puspatiesības un pieņēmumus. Personas datu aizsardzībai nav jābūt šķērslim, kas kavētu efektīvu cīņu ar infekciju slimību (tai skaitā Covid-19) izplatību, bet gan novērstu nepamatotu un nesamērīgu informāciju izplatīšanu par konkrētām saslimušām personām vai personām, kuras atrodas riska grupā. Ir svarīgi, lai attiecīga informācija tiktu izmantota, lai veiktu konkrētos pasākumus/darbības sabiedrības veselības jomā.
Gadījumā, ja informācija par pasažieru kontaktinformāciju tiek nodota atbildīgajām iestādēm, kad konstatēts, ka vismaz viena persona ir inficējusies ar Covid-19, šī darbība kalpo sabiedrības interešu ievērošanai – nodrošināt infekcijas slimības izplatības ierobežošanu, informēt sabiedrību par iespējamajiem riskiem, un tā tiek veikta, lai aizsargātu personas veselību.
Darba devējs drīkst iegūt informāciju no darbinieka, bet nav tiesīgs to nodot citiem darbiniekiem
Arī darba devējs, ievērojot tā leģitīmas intereses un nodrošinot sabiedrības intereses veselības jomā, kā arī lai nodrošinātu aizsardzības pasākumus pret citu darbinieku un klientu saslimšanas risku, drīkst iegūt no darbiniekiem informāciju, vai darbinieki nav pēdējo 14 dienu periodā bijuši ārvalstīs un nav bijuši kontaktā ar Covid-19 saslimušajiem vai kontaktpersonām. Ja darba devēja rīcībā ir šāda informācija, darba devēja pienākums, ievērojot Darba aizsardzības likumā minētās prasības, ir nepielaist šo darbinieku pie darba pienākumu pildīšanas un nosūtīt viņu mājās. Savukārt, ja darbinieks nepilda darba dēvēja norādījumus un nāk uz darbu, darba devējam ir tiesības par to ziņot Valsts policijai.
Darba devējs nav tiesīgs nodot citiem darbiniekiem informāciju, kas tam ir kļuvusi zināma, bet pēc nepieciešamības ir tiesīgs nodot Slimību profilakses un kontroles centram (SPKC) vai citām atbildīgajām iestādēm, ņemot vērā šo iestāžu kompetenci.
Savukārt, ja kolēģis, darba devējs, kaimiņš vai skolas biedrs, pieņemot, ka persona ir inficējusies ar Covid-19, šo informāciju nodod trešajām personām, t.sk. publicējot to savos sociālās tīklošanas vietņu profilos, izpaužot arī personas vārdu, uzvārdu un citu identificējošu informāciju, viņš neapšaubāmi pārkāpj personas tiesības uz privātumu un datu aizsardzību. DVI vērš uzmanību, ka šāda informācija ir jānodod tikai atbildīgajām iestādēm atbilstoši to kompetencei.
DVI aicina būt uzmanīgiem attiecībā uz to, ar kādu informāciju mēs dalāmies ar citiem. Nepamatoti veikta personas datu apstrāde var veicināt diskrimināciju un radīt risku fizisku personu tiesībām un brīvībām, kā arī nelabvēlīgi ietekmēt to ekonomisko un sociālo stāvokli.
DVI aicina aktuālo informāciju par Covid-19 un tā izplatību iegūt tikai no uzticamiem avotiem, oficiālām valsts vai publisko iestāžu mājaslapām internetā vai to sociālo tīklu kontiem. Piemēram, no Veselības ministrijas un SPKC izteiktajiem ieteikumiem savas un citu personu veselības un drošības aizsardzībai.
Klienta informācijas iegūšana un apstrāde
Tāpat DVI norāda, ka pakalpojumu sniedzēji (valsts iestādes, privātas kompānijas, organizācijas) ar mērķi pasargāt savus darbiniekus un klientus, bieži vien vēlas iegūt informāciju vai klients/apmeklētājs nerada paaugstinātu infekcijas risku. Daži prasa rakstiskus apliecinājumus vai arī apstiprinājumus elektroniskajā sistēma par personas veselību (persona paraksta to un norāda savu vārdu un uzvārdu) u.tml. Saņemot rakstiskus apliecinājumus, pakalpojumu sniedzējs sāk apstrādāt personas datus (kurus tas nebūtu apstrādājis, ja nebūtu ņēmis apliecinājumus).
DVI norāda, ka informācijas par personas veselības stāvokli (ir inficēta ar noteiktu vīrusu vai nav) vai atrašanos ārvalstīs vākšana, iekļaušana dokumentos un pēc tam lietvedības sistēmā (kartotēkā) vai šādas informācijas glabāšana elektroniskajā sistēmā ir personas datu apstrāde. Šādai personas datu apstrādei saskaņā ar Vispārīgās datu aizsardzības regulas 6. pantu ir jābūt tiesiskajam pamatam (normatīvais akts, sabiedrības intereses, personas vitālās intereses, juridiskais pienākums, līgums, leģitīmas intereses, piekrišana). Turklāt ir jāizvērtē, vai veicamā personas datu apstrāde tiešām sasniedz konkrēto mērķi, piemēram, ierobežot Covid-19 infekcijas izplatību.
Viens no principiem, bez kura nav iedomājama personas datu apstrāde, ir nolūka ierobežojuma princips.
Tas nozīmē, ka nedrīkst ņemt vairāk informācijas, kā nepieciešams mērķa sasniegšanai.
Šī patiesība ir jāievēro gan ārkārtējās, gan arī ikdienišķu apstākļu motivētas personas datu apstrādes veikšanā. Praktiski tas nozīmē, ka ikvienam, kurš plāno sākt apstrādāt personas datus, ir jāapzinās mērķis, kura sasniegšanai dati nepieciešami, un jāsaprot, kāds informācijas apjoms nepieciešams, lai mērķi sasniegtu. Un pirms personas datu apstrādes uzsākšanas ir jāatbild uz jautājumiem “kāpēc personas dati tiek vākti?”, “kādam nolūkam tie tiks izmantoti?” “kā personas datu apstrāde palīdzēs man sasniegt mērķi?”
Inspekcija, izvērtējot normatīvo aktu regulējumu, nevar izdarīt secinājumu, ka personas datu apstrāde, ņemot no pakalpojuma saņēmēja (apmeklētāja) apliecinājumu par to, ka viņš/viņa nav bijis ārvalstīs, nav inficēts vai nav kontaktpersona, var sasniegt mērķi – ierobežot Covid-19 infekcijas izplatību. Līdz ar to šādai personas datu apstrādei šobrīd nav tiesiska pamata.
Personām, kas ir ieradušās no ārvalstīm, kuras SPKC ir noteicis kā Covid-19 infekcijas slimības kontaktpersonas, kurām apstiprināta Covid-19 diagnoze un kuru veselības stāvoklis pieļauj ārstēšanos mājās, nav tiesību saņemt iestādes pakalpojumu klātienē. Attiecīgo regulējumu noteic Covid-19 infekcijas izplatības seku pārvarēšanas likums. Attiecīgi šādām personām pirms pakalpojuma pieprasīšanas un saņemšanas no pakalpojuma sniedzēja, kā arī jebkura tieša fiziska kontakta ar citu personu ir pienākums informēt pakalpojuma sniedzēju par inficēšanās risku.
Pakalpojumu sniedzējam prasīt klientiem apliecinājumu vai apstiprinājumu tam, ka viņi nav bijuši ārvalstīs vai nav saslimuši ar Covid-19, nav tiesiska pamata un nepieciešamība.
Ja pakalpojuma sniedzējs vēlās un uzskata to par nepieciešamu, tas var sasniegt mērķi – ierobežot Covid-19 infekcijas izplatību – nevis, ņemot apliecinājumus no personām, bet informējot personas par viņiem noteiktiem pienākumiem, ņemot vērā Ministru kabineta pieņemtos lēmumus un normatīvo aktu regulējumu.
Personu informēšanai var ievietot informāciju mājaslapās, izvietot pakalpojuma sniegšanās telpās u.tml. DVI norāda, ka informēšanas pasākums ir brīvprātīgs pasākums. Pakalpojumu sniedzēji var to veikt, lai vērstu apmeklētāju uzmanību uz katras personas pienākumiem, iespējami mazinot negodprātīgo personu rīcību, kuras apzināti neievēro pašizolācijas noteikumus.
