Zyra e Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, në kuadër të përpjekjeve për rikthimin në normalitet të veprimtarive profesionale dhe tregtare nëpërmjet përshtatjes së mënyrës së punës dhe funksionimit, të këtyre të fundit, sipas Protokolleve të Masave Higjeno-Sanitare Covid-19 (të publikuar në portalin e-albania), ka vendosur të vërë në dukje dhe sqarojë, bazuar në pyetje-përgjigje konkrete, disa aspekte të këtyre protokolleve, të cilat parashikojnë përpunim të dhënash personale (veçanërisht, atyre që lidhen me shëndetin).
Ky komunikim i simuluar (pyetje-përgjigje), synon të adresojë, gjithashtu, shqetësimet e palëve të interesuara, të ardhura në adresë të Zyrës së Komisionerit, si dhe të shërbejë edhe si udhërrëfyes për punëdhënësit, punëmarrësit, klientët, etj., në lidhje me të drejtat dhe detyrimet që burojnë nga legjislacioni për mbrojtjen e të dhënave personale, në kuadër të përpunimeve që do të realizohen në bazë të protokolleve përkatëse.
Pyetja 1: A mund të mbledh të dhënat shëndetësore, në lidhje me COVID-19, të punëmarrësve ose vizitorëve që aksesojnë ambientet e shoqërisë sime?
Po. Në bazë të Protokolleve të Masave Higjeno-Sanitare COVID-19, ju jeni të detyruar të mblidhni të dhëna personale dhe shëndetësore në lidhje me simptomat e COVID-19.
Është e qartë çdo punëdhënës ka detyrimin të mbrojë shëndetin dhe jetën e punëmarrësve të tij, si dhe çdo pale tjetër të lidhur me të (në këtë rast, vizitorët).
Nga ana tjetër, kjo nuk do të thotë që keni të drejtë të përpunoni (mblidhni, ruani, transmetoni, etj.) të dhëna personale dhe sensitive, më shumë sesa paraqitet e nevojshme për qëllime të evidentimit të simptomave COVID-19.
Kështu, është e justifikueshme t’i pyesni punëmarrësit dhe vizitorët rreth simptomave të COVID-19, ose nëse këta të fundit kanë patur kontakt me persona të infektuar (apo të ekspozuar ndaj personave të infektuar), si dhe t’i regjistroni këto të dhëna, siç përcaktohet konkretisht në protokollin përkatës. Por, asnjë përpunim shtesë të dhënash personale dhe shëndetësore, në tejkalim të sa përcaktohet në këto protokolle, nuk është i lejueshëm.
Pyetja 2: Çfarë masash duhet të marrë punëdhënësi në kuadër të mbrojtjes së të dhënave personale?
Në cilësinë e kontrolluesit keni detyrimin të zbatoni parimet dhe detyrimet e parashikuara në legjislacionin për mbrojtjen e të dhënave personale, përfshirë këtu ligjin mbrojtjen e të dhënave personale dhe aktet nënligjore të miratuara nga Komisioneri (veçanërisht, udhëzimet nr. 3, 11, 22, 24 dhe 47 – 49). Të gjithë këto akte gjenden të publikuara, në format të përditësuar, në faqen zyrtare të internetit të Zyrës së Komisionerit (www.idp.al).
Gjithashtu, ju duhet të regjistroni dhe dokumentoni transmetimet e të dhënave personale dhe sensitive në adresë të institucioneve ligjzbatuese, të ngarkuara për marrjen dhe zbatimin e masave kundra COVID-19.
Pyetja 3: Kush mund të ngarkohet nga punëdhënësi për përpunimin e të dhënave personale dhe çfarë përgjegjësie ka ai/ajo në këtë rast?
Përgjigjen për këtë e gjeni në secilin nga Protokollet e Masave Higjeno-Sanitare COVID-19 (konkretisht, jeshil, i verdhë dhe i kuq).
Personat e ngarkuar me zbatimin e masave të përcaktuara në protokollet respektive, përfshirë regjistrimin e simptomave COVID-19, duhet të nënshkruajnë deklaratat e konfidencialitetit në lidhje me përpunimin e të dhënave personale.
Në çdo rast, parimisht, përgjegjës për shkeljet eventuale të jetës private të subjekteve të të dhënave dhe, rrjedhimisht, të legjislacionit për mbrojtjen e të dhënave personale është kontrolluesi (në këtë rast, punëdhënësi).
Pyetja 4: A duhet të informohet dhe, nëse po, si informohet punëmarrësi apo vizitori në lidhje me përpunimin e të dhënave të tij?
Çdo kontrollues është i detyruar të informojë kategoritë përkatëse të subjekteve të të dhënave (punëmarrës, vizitor, etj.), ndër të tjera, lidhur me qëllimin e përpunimit të të dhënave personale, kategoritë e të dhënave që përpunohen (p.sh., simptomat COVID-19), personat e angazhuar për përpunimin konkret, marrësit eventualë të të dhënave të përpunuara, si dhe faktin nëse përpunimi i të dhënave është i detyrueshëm ose jo.
Për më hollësisht, ju ftojmë t’ju referoheni dispozitave të ligjit për mbrojtjen e të dhënave personale (neni 18), si dhe akteve të Komisionerit, të përmendura më sipër.
Informimi i subjekteve të të dhënave duhet të jetë i qartë, i saktë dhe lehtësisht i aksesueshëm për ta.
Pyetja 5: A mund t’i tregoj stafit tim që një koleg mund të jetë infektuar me COVID-19?
Është e qartë se ju duhet ta mbani personelin të informuar për çdo rast me COVID-19 të konstatuar në shoqërinë tuaj. Është detyrimi juaj që të ruani shëndetin dhe sigurinë e punëmarrësve tuaj, si dhe të kujdeseni për ta.
Nga ana tjetër, ju duhet të shmangni në maksimum të identifikimin e përveçëm të të infektuarve, si dhe nuk duhet të jepni më shumë informacion sesa është e nevojshme rreth tyre.
Pra, identifikimi do të ishte i lejueshëm, vetëm në rastet kur rrethanat përkatëse e bëjnë të pashmangshëm zbulimin e tij. Barrën e provës, për këtë qëllim, e ka gjithnjë kontrolluesi.
Gjithashtu, ju duhet të informoni edhe institucionet ligjzbatuese, përfshirë, ato të ngarkuara me hetimin epidemiologjik, siç përcaktohet në protokollin e zbatueshëm ndaj subjektit tuaj.
Pyetja 6: A mund t’i bëj publike apo përhap të dhënat personale të mbledhura në kuadër të Protokolleve të Masave Higjeno-Sanitare COVID-19?
Të dhënat personale nuk mund të bëhen publike a priori, pasi kjo do të konsiderohej përpunim i paligjshëm i tyre.
Nga ana tjetër, siç theksohet më sipër, përhapja e të dhënave personale dhe atyre që lidhen me shëndetin e punëmarrësit/vizitorit, në kuadër të masave për trajtimit të COVID-19, mund të kryhet në adresë të institucioneve ligjzbatuese të autorizuara për një qëllim të tillë, sipas ligjit dhe protokollit përkatës.
Pyetja 7: Për sa kohë duhet t’i mbaj të dhënat shëndetësore të punëmarrësve dhe vizitorëve?
Duhet të kini parasysh që ky informacion mund të mbahet për aq kohë sa është e nevojshme për adresimin e kërkesave ligjore në kuadër masave kundra COVID-19.
Në çdo rast, vlerësojmë se mbajtja e këtyre të dhënave mund të zgjasë, të paktën, në përputhje me periudhën e inkubimit të virusit. Gjithsesi, një kohë më e gjatë përpunimi do të ishte e justifikueshme, në bazë të dispozitave konkrete ligjore (siç mund të përcaktohet, ndër të tjera, nga legjislacioni për parandalimin e infeksioneve dhe sëmundjeve infektive).
Pas përmbushjes së qëllimit të përpunimit, të dhënat duhet të fshihen/shkatërrohen në mënyrë të sigurt, konfidenciale dhe të pakthyeshme. Delegimi i këtij veprimi tek palë të treta mund të kryhet, vetëm, duke respektuar dispozitat e legjislacionit për mbrojtjen e të dhënave personale që rregullojnë marrëdhënien kontrollues-përpunues.
Fshirja/shkatërrimi i të dhënave personale duhet të dokumentohet rregullisht.
Pyetja 8: Personeli ynë do të angazhohet në kushte shtëpie, gjatë kohëzgjatjes së epidemisë, si dhe në vijim. Çfarë masash sigurie duhen marrë për këtë qëllim?
Legjislacioni për mbrojtjen e të dhënave personale nuk përbën pengesë për llojet e ndryshme veprimtarish dhe detyrash që kryhen në kushte shtëpie.
Rrjedhimisht, personeli i angazhuar në kushtet e punës në shtëpi mund të përdorë pajisjet personale të komunikimit, ose ato të vëna në dispozicion nga punëdhënësi.
Në çdo rast, është e rëndësishme që punëdhënësi të marrë masa teknike dhe organizative të nevojshme për garantimin e sigurisë dhe konfidencialitetit të të dhënave personale.
Në këtë aspekt, veçanërisht kujdes duhet të tregohet në rastet e përdorimit të platformave të ndryshme të komunikimit online (p.sh. gjatë zhvillimit të video-konferencave), me qëllim që të parandalohet aksesi i personave të paautorizuar në të dhënat personale (imazhe video, etj.) që përpunohen në këtë kontekst.
Shkalla e cenimit të jetës private, si rezultat i përpunimit të paautorizuar (kupto: të paligjshëm) të të dhënave personale, gjatë ushtrimit të veprimtarive dhe angazhimeve profesionale, është natyrshëm më e madhe, si dhe më e dëmshme, në kushtet e shtëpisë, sesa në vendin normal të punës.
***
Në lidhje me sa më sipër, ju ftojmë të konsultoni edhe udhëzuesit e publikuar më herët në faqen zyrtare të internetit të Zyrës së Komisionerit (www.idp.al), në lidhje me parimet dhe kriteret ligjore të përpunimit të të dhënave personale, në kuadër të masave kundra COVID-19.
Ju ftojmë të adresoni çdo paqartësi dhe shqetësim, në lidhje me përpunimin e të dhënave personale në kuadër të Protokolleve të Masave Higjeno–Sanitare Covid-19, nëpërmjet postës elektronike të Zyrës së Komisionerit, info@idp.al.