Q & A Προσωπικά δεδομένα υγείας εργαζομένων
1. Μπορώ να λάβω μέτρα και να συλλέξω δεδομένα υγείας των εργαζομένων στην επιχείρηση μου και λοιπών εισερχόμενων προσώπων προκειμένου να διαφυλάξω τη λειτουργία της και την υγεία αυτών των προσώπων;
Από τις κείμενες διατάξεις προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων, αφετέρου, οι εργαζόμενοι ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσής τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Δεν μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις νόμιμης επεξεργασίας σύμφωνα με τον GDPR.
2. Τι μέτρα θα μπορούσα να λάβω;
Ενδεικτικά μπορούν να ληφθούν μέτρα όπως θερμομέτρηση των εισερχομένων ή η υποβολή συμπλήρωσης ερωτηματολογίου σχετικά με την κατάσταση της υγείας των εργαζομένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος με αυξημένο κίνδυνο μετάδοσης του covid19, ενημέρωση των λοιπών εργαζομένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζομένου. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχομένου συλλογής μόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό, τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εμπιστευτικότητας πληροφοριών). Αυτό σημαίνει ότι πρέπει να συλλέξετε μόνο τον όγκο και το είδος δεδομένων που κρίνονται απολύτως απαραίτητα. Επισημαίνεται ότι η συλλογή δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαμβάνει χώρα αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο. Αντίθετα, μια συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων και λοιπών εισερχομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας και θα έχει αρνητικές συνέπειες. Υπόψη πρέπει να ληφθεί και η έκταση της ευθύνης που ενδεχομένως μπορεί να έχετε σε περίπτωση που πχ η θερμομέτρηση δεν ληφθεί σωστά.
3. Τι ενέργειες απαιτούνται προκειμένου η επεξεργασία αυτών των δεδομένων να είναι νόμιμη;
Ενδεικτικά συστήνουμε το εξής σύνολο ενεργειών:
Α. Επισκόπηση όλων τον υπό εξέταση μέτρων από τον Υπεύθυνο Προστασίας Δεδομένων της εταιρείας σας (εάν υφίσταται) ή σε κάθε περίπτωση από το στέλεχος που έχετε ορίσει ως υπεύθυνο για την εποπτεία του συγκεκριμένου τομέα, καθώς από εξειδικευμένο γιατρό.
Β. Σύνταξη από τα ως άνω πρόσωπα της πολιτικής επεξεργασίας αυτών των δεδομένων και ένταξη της στο αρχείο δραστηριοτήτων επεξεργασίας της εταιρείας.
Γ. Ενημέρωση των εργαζομένων και λοιπών προσώπων των οποίων τα δεδομένα θα υποστούν επεξεργασία με κάθε πρόσφορο και διαφανή τρόπο.
Δ. Λήψη όλων των αναγκαίων τεχνικών και οργανωτικών μέτρων για την ασφάλεια επεξεργασίας αυτών των δεδομένων και τον περιορισμό της πρόσβασης σε αυτά, όπως πχ κρυπτογράφηση ή ψευδωνυμοποίηση.
Ε. Διεξαγωγή εκτίμησης αντικτύπου της επεξεργασίας αυτών των δεδομένων, σύμφωνα με τα οριζόμενα στο άρθρο 35 GDPR, πριν από την έναρξη της επεξεργασίας.