Avaldus isikuandmete töötlemise kohta COVID-19 puhangu kontekstis.
Vastu võetud 19. märtsil 2020
Euroopa Andmekaitsenõukogu on vastu võtnud järgmise avalduse:
Valitsused ning avaliku ja erasektori organisatsioonid kogu Euroopas võtavad meetmeid COVID-19 ohjeldamiseks ja leevendamiseks. See võib hõlmata erinevate isikuandmete töötlemist.
Andmekaitsereeglid (nt isikuandmete kaitse üldmäärus) ei takista koroonaviiruse pandeemia vastu võitlemiseks võetud meetmeid. Nakkushaiguste vastane võitlus on väärtuslik eesmärk, mida kõik riigid jagavad ja mida tuleks seetõttu parimal võimalikul viisil toetada. Inimkonna huvides on ohjeldada haiguste levikut ja kasutada kaasaegseid meetodeid võitluses suurt osa maailmast mõjutavate haiguste vastu. Euroopa Andmekaitsenõukogu soovib siiski rõhutada, et isegi nendel erandlikel aegadel peavad vastutav töötleja ja volitatud töötleja tagama andmesubjektide isikuandmete kaitse. Seetõttu tuleks arvesse võtta mitmeid kaalutlusi, et tagada isikuandmete seaduslik töötlemine ning igal juhul tuleks meelde tuletada, et kõik sellega seoses võetavad meetmed peavad olema kooskõlas õiguse üldpõhimõtetega ega tohi olla pöördumatud. Hädaolukord on õiguslik tingimus, mis võib õigustada vabaduste piiramist, tingimusel et need piirangud on proportsionaalsed ja piirduvad hädaolukorra perioodiga.
1. Töötlemise seaduslikkus
Isikuandmete kaitse üldmäärus on laiaulatuslik õigusakt ja selles on sätestatud eeskirjad, mida kohaldatakse ka isikuandmete töötlemise suhtes sellises kontekstis nagu COVID-19. Isikuandmete kaitse üldmäärus võimaldab pädevatel tervishoiuasutustel ja tööandjatel töödelda isikuandmeid epideemia korral kooskõlas siseriikliku õigusega ja selles sätestatud tingimustel. Näiteks kui töötlemine on vajalik olulise avaliku huvi tõttu rahvatervise valdkonnas. Neil asjaoludel ei ole vaja tugineda üksikisikute nõusolekule.
1.1 Seoses isikuandmete töötlemisega, sealhulgas eriliiki andmete töötlemisega, pädevate ametiasutuste (nt rahvaterviseasutuste) poolt, leiab Euroopa Andmekaitsenõukogu, et isikuandmete kaitse üldmääruse artiklid 6 ja 9 võimaldavad isikuandmete töötlemist, eelkõige juhul, kui see kuulub riigi õigusaktides sätestatud avaliku sektori asutuse õiguslike volituste ja isikuandmete kaitse üldmääruses sätestatud tingimuste alla.
1.2 Töösuhte kontekstis võib isikuandmete töötlemine olla vajalik tööandja seadusjärgse kohustuse täitmiseks, näiteks töötervishoiu ja tööohutusega seotud kohustuste täitmiseks, või avalikes huvides, näiteks haiguste ja muude terviseohtude tõrjeks. Isikuandmete kaitse üldmääruses on ette nähtud ka erandid teatavate isikuandmete eriliikide, näiteks terviseandmete töötlemise keelust, kui see on vajalik olulise avaliku huvi tõttu rahvatervise valdkonnas (artikli 9 lõike 2 punkt i) liidu või siseriikliku õiguse alusel või kui on vaja kaitsta andmesubjekti elulisi huve (artikli 9 lõike 2 punkt c), sest põhjenduses 46 viidatakse sõnaselgelt epideemia tõrjele.
1.3 Telekommunikatsiooniandmete, näiteks asukohaandmete töötlemisel tuleb järgida ka siseriiklikke õigusakte, millega rakendatakse e-privaatsuse direktiivi. Põhimõtteliselt saab operaator asukohaandmeid kasutada ainult siis, kui need on tehtud anonüümseks või üksikisikute nõusolekul.. E-privaatsuse direktiivi artikkel 15 võimaldab liikmesriikidel siiski kehtestada seadusandlikke meetmeid avaliku julgeoleku kaitseks. Selline erandlik õigusakt on võimalik ainult siis, kui see on demokraatlikus ühiskonnas vajalik, asjakohane ja proportsionaalne meede. Need meetmed peavad olema kooskõlas põhiõiguste harta ning Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga. Lisaks allub see Euroopa Kohtu ja Euroopa Inimõiguste Kohtu kohtulikule kontrollile. Hädaolukorras peaks see olema rangelt piiratud asjaomase hädaolukorra kestusega.
2. Isikuandmete töötlemise aluspõhimõtted
Taotletavate eesmärkide saavutamiseks vajalikke isikuandmeid tuleks töödelda täpselt ja selgelt kindlaksmääratud eesmärkidel. Lisaks peaksid andmesubjektid saama läbipaistvat teavet tehtavate töötlemistoimingute ja nende põhiomaduste kohta, sealhulgas kogutud andmete säilitamise aja ja töötlemise eesmärkide kohta. Esitatav teave peaks olema kergesti kättesaadav ning esitatud selges ja lihtsas keeles.
Oluline on võtta vastu piisavad turvameetmed ja konfidentsiaalsuspoliitika, millega tagatakse, et isikuandmeid ei avaldata volitamata isikutele. Praeguse hädaolukorra lahendamiseks rakendatavad meetmed ja selle aluseks olev otsustusprotsess tuleks asjakohaselt dokumenteerida.
3. Mobiilsete asukohaandmete kasutamine
• Kas liikmesriikide valitsused võivad kasutada üksikisikute mobiiltelefonidega seotud isikuandmeid COVID-19 leviku jälgimiseks, piiramiseks või leevendamiseks?
Mõnes liikmesriigis kavatsevad valitsused kasutada mobiilseid asukohaandmeid COVID-19 leviku jälgimiseks, piiramiseks või leevendamiseks. See tähendaks näiteks võimalust paigutada üksikisikuid geograafilisse asukohta või saata üksikisikutele konkreetses piirkonnas rahvatervisealaseid sõnumeid telefoni või tekstisõnumiga. Avaliku sektori asutused peaksid kõigepealt püüdma töödelda asukohaandmeid anonüümselt (st töötlema andmeid, mis on koondatud nii, et üksikisikuid ei ole võimalik identifitseerida), mis võimaldaks koostada aruandeid mobiilseadmete kontsentratsiooni kohta kindlas kohas (nn kartograafia).
Isikuandmete kaitse eeskirju ei kohaldata nõuetekohaselt anonüümseks muudetud andmete suhtes.
Kui ei ole võimalik töödelda ainult anonüümseid andmeid, võimaldab eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv liikmesriikidel võtta seadusandlikke meetmeid avaliku julgeoleku kaitseks (artikkel 15).
Kui kehtestatakse meetmed, mis võimaldavad töödelda mitte-anonüümseid asukohaandmeid , on liikmesriik kohustatud kehtestama piisavad kaitsemeetmed, näiteks andma elektroonilise side teenuste kasutajatele õiguse kasutada õiguskaitsevahendeid.
Kohaldatakse ka proportsionaalsuse põhimõtet. Alati tuleks eelistada kõige vähem sekkuvaid lahendusi, võttes arvesse taotletavat konkreetset eesmärki. Invasiivseid meetmeid, nagu üksikisikute „jälgimine“ (st säilitatud mitte-anonüümsete asukohaandmete töötlemine), võib erandlikel asjaoludel ja sõltuvalt töötlemise konkreetsetest viisidest pidada proportsionaalseks. Selle suhtes tuleks siiski kohaldada tõhustatud kontrolli ja kaitsemeetmeid, et tagada andmekaitse põhimõtete järgimine (meetme proportsionaalsus kestuse ja ulatuse osas, piiratud andmete säilitamine ja eesmärgi piiritlemine).
4. Tööhõive
• Kas tööandja võib nõuda külastajatelt või töötajatelt konkreetse terviseteabe esitamist COVID-19 kontekstis?
Proportsionaalsuse põhimõtte ja võimalikult väheste andmete kogumise põhimõtte kohaldamine on siinkohal eriti oluline. Tööandja peaks nõudma terviseteavet ainult sellises ulatuses, nagu siseriiklik õigus seda lubab.
• Kas tööandjal on lubatud töötajaid arstlikult kontrollida?
Vastus tugineb siseriiklikele õigusnormidele, mis käsitlevad tööhõivet või töötervishoidu ja tööohutust. Tööandjad peaksid terviseandmetele juurde pääsema ja neid töötlema üksnes juhul, kui seda nõuavad nende enda õiguslikud kohustused.
• Kas tööandja võib avaldada oma kolleegidele või välistöötajatele teabe selle kohta, et töötaja on nakatunud COVID-19ga?
Tööandjad peaksid teavitama töötajaid COVID-19 juhtumitest ja võtma kaitsemeetmeid, kuid ei tohiks edastada rohkem teavet, kui on vaja. Juhtudel, kui on vaja avaldada viirusega nakatanud töötaja(te) nimi (nimed) (nt ennetavas kontekstis) ja kui siseriiklik õigus seda lubab, teavitatakse asjaomaseid töötajaid eelnevalt ning kaitstakse nende väärikust ja puutumatust.
• Millist COVID-19 raames töödeldud teavet saavad tööandjad?
Tööandjad võivad saada isikuandmeid oma kohustuste täitmiseks ja töö korraldamiseks kooskõlas siseriiklike õigusaktidega.
Euroopa Andmekaitsenõukogu
Esimees
(Andrea Jelinek)
Avaldus inglise keelsena on kättesaadav EDPB veebis