Връщане на работното място? Последните 18 месеца видяхме трансформацията на почти всеки аспект на нашия свят. Всички организации се справиха с различни предизвикателства по време на пандемията и тъй като правителствата облекчават мерките, много предприятия планират служителите да се върнат на работното място.
Това обаче няма да бъде връщане към „нормалното“ и работодателите ще трябва да обмислят прилагането на нови работни практики, за да осигурят безопасно работно място и да управляват риска от инфекция с Covid-19 в контекста на медицинската поверителност и телесната неприкосновеност, ваксинацията и контрол на инфекциите.
Освен това работодателите имат задължение да се грижат за балансиране на многобройни съображения, включително безопасността на служителите, съветите за общественото здраве и последиците за поверителността от връщането на работното място, както и правата за защита на данните на служителите.
Определянето дали събирате допълнителна информация, свързана със здравето на служителите, благосъстоянието, статуса на ваксинация или друга нова обработка, трябва да започне с няколко прости въпроса:
Законно ли е?
Необходимо ли е?
Пропорционално ли е?
Прозрачно ли е?
Всеки случай на събиране или използване на нови данни изисква внимателна оценка за всеки отделен случай на законното основание, за което те могат да бъдат събрани и/или използвани, необходимостта и пропорционалността на това събиране или използване, както и отчитане на това колко прозрачно е събирането и използването на данните на вашите служители.
В допълнение, минимизирането на количеството данни, които събирате, и продължителността на времето, през което ги съхранявате, са прагматични контроли, които намаляват рисковете, свързани с тези нови дейности по обработване.
Предотвратяването на заразяване извън работното място ще включва редица действия, които трябва да бъдат предприети, и въз основа на наличните насоки от органите за защита на данните, основните принципи за защита на данните за законност, необходимост, пропорционалност и прозрачност са от решаващо значение.
Законосъобразност
Отправната точка за повечето фирми ще бъде да се опитат да пазят инфекциите (и следователно заразените лица) извън работното място и да предотвратят заразяването на други чрез близки или случайни контакти на работното място.
Прилагането на нови мерки на работното място може да доведе до събиране на значителни количества лични данни, включително здравна информация, която се третира като данни от специална категория съгласно GDPR (и Закона за защита на данните), така че подлежи на допълнителни защити.
Новите дейности по обработка, свързани с новите мерки за контрол на Covid-19, трябва да се основават на ясна законова основа за тези дейности. Това означава да бъдем кристално ясни, че подходяща правна разпоредба улеснява тези мерки. Съществуват редица законови основания съгласно законите за защита на данните, които биха могли да оправдаят обработването
Лични данни (член 6, GDPR): Най-вероятното законово основание ще бъде, че обработването е:
- необходимо за спазване на законово задължение, напр. задължението на бизнеса да осигури безопасна работна среда, или
- в законните интереси на бизнеса и тези интереси не са по-важни от правата на лицето.
Здравни данни (член 9, GDPR): Отново, най-вероятното законово основание ще бъде, че обработването е:
- необходимо за спазване на законово задължение, напр. задължение на бизнеса да осигури безопасна работна среда.
- Въпреки това, може също да е възможно обработването да се обоснове като необходимо от съображения за общественото здраве, при условие че се прилага законодателен акт, който подкрепя обработването.
Прозрачност и комуникация
Работодателите трябва да спазват изискванията за прозрачност на законодателството за защита на данните (напр. Общия регламент на ЕС за защита на данните или Закона за защита на данните) и да предоставят на служителите си подходящо известие, за да обяснят защо данните се събират.
Това известие трябва да разкрива законното основание за събиране на информацията, изричната(ите) цел(и), колко дълго ще се съхранява, дали и кога може да бъде споделена с трета страна (като правителствена агенция) и към кои служители могат да се обърнат, ако имат въпроси или за да упражнят правата си за защита на данните.
Съображения за нови мерки за контрол на работното място
Работодателите имат задължение да се грижат за своите служители и трябва да ги помолят да следват съветите за обществено здраве, свързани с управлението и лечението на симптомите и контрола на инфекциите. Необходими са внимателни съображения относно проверката на служителите при завръщането им на работното място, така че да бъдат документирани пропорционални решения относно това каква информация се събира, тя да бъде сведена до необходимия абсолютен минимум, да се съхранява сигурно, и само толкова дълго, колкото е необходимо и да бъде оповестява само при необходимост.
Проверка на температурата: Спазването на съветите за обществено здраве за всеки скрининг на служителите е абсолютният минимум. Проверката на температурата на служителите обаче представлява значително излагане на потенциално ненужно и непропорционално използване на лични данни. Намаляването на тази обработка до възможно най-минималното – т.е. проста проверка, която се прилага, когато лицето влезе на работното място и гарантира, че резултатът не се записва или комбинира с каквито и да било други данни – помага за минимизиране на тези рискове.
Тестване за Covid-19: Работодателите имат важна роля да информират служителите какви опции са налични за тестване и/или да организират допълнителни тестове, ако е необходимо. В зависимост от средата на работното място, фирмите може да искат да тестват служителите си, за да определят дали действително са били заразени с Covid-19. Трудовото законодателство ще трябва да бъде взето предвид и се изисква внимателно разглеждане на законовото основание за представяне на служители за тестване и достъп или искане на резултати от тестове.
Проследяване на контакти: Ако се установи, че служител е заразен, бизнесът може да иска да предупреди тези, които са били в близък контакт с него, за риска, че те също са заразени. Въпреки това, поверителността на тази информация е от първостепенно значение и предоставената информация трябва да бъде ограничена. Обикновено органите на общественото здравеопазване трябва да осъществяват контакт с близки или случайни контакти, като по този начин премахват рисковете от работодателя.
Състояние на ваксинация: Връщането на работното място означава препроектиране на много работни пространства и офиси, за да се отчете повишеното физическо дистанциране между лицата и да се осигури засилен контрол на инфекциите. Работодателите могат да отделят неваксиниран и ваксиниран персонал или може да изискват неваксиниран персонал да работи от дома или от отдалечени места (ако работата им позволява). Въпреки това, обработването на ваксинационния статус на служителите вероятно не се счита за необходима или пропорционална мярка в повечето ситуации на заетост и следователно не трябва да се предприема.
Съвети за работодатели
При обработване на лични данни, включително здравни данни, трябва да се прилагат подходящи предпазни мерки, които включват ограничаване на достъпа до данните и осигуряване на подходящо обучение на персонала за защита на правата на субектите на данни.
По същия начин трябва да има мерки, за да се гарантира, че тези лични данни ще бъдат изтрити, след като вече не се изискват, въпреки че бизнесът трябва да бъде нащрек за всички законови срокове на съхранение (напр. за здравни досиета), които могат значително да удължат периода, в който тези данни трябва да бъдат съхранявани.
Където е възможно, организациите трябва да обмислят приемането на подходи за псевдонимизирани или анонимизирани данни, за да намалят риска от идентифициране или повторно идентифициране на своите служители.
Важно е правилно да документирате решенията, оценките на риска, съображенията за всеки отделен случай и контролите, установени за управление на проблемите, включително задълженията за спазване на защитата на данните, представени от отговора на вашата организация на пандемията Covid-19. Законите за защита на данните изискват оценка на въздействието върху защитата на данните (DPIA) да се извършва преди започване на високорискови дейности по обработка и това е особено важно за организации, които въвеждат всякакви нови технологии, включително системи за проследяване, проверки за скрининг и при планиране на връщане на работното място в новия следпандемичен свят.
Изпратете запитване
Как да се справим със скрития риск в неструктурираните данни през 2022 г
Как организациите по целия свят могат да избегнат пробиви на данни? Във време, в което атаките на...
Има ли нужда моят бизнес от DPO?
Накратко, да. Сегашното мнение е, че всички организации ще се нуждаят от DPO и техните услуги, освен ако вашият бизнес не може да докаже, че не обработва лични данни.
Киберсигурност през 2021 г. – Ето какво трябва да знаете
Заплахите за киберсигурност са заплахи, които се фокусират върху получаването на достъп до...
Защитете вашата компания срещу фишинг атаки
Знаете ли, че повече от 90% от всички успешни хакове и нарушения на данни започват с фишинг...
Как тестването на пробивите в сигурността е от полза за бизнеса?
Предвид днешното ниво на киберзаплахите, наложително е организациите да разполагат с правилните...
Как да защитите вашата организация от атаки на рансъмуер?
Едно нещо, което притеснява всички ИТ директори през последните няколко години, е дали тяхната...