Ņemot vērā aktuālo informāciju par COVID-19 un tā izplatību pasaulē un arī Latvijā, Datu valsts inspekcija (DVI) informē par personu tiesībām un pienākumiem datu aizsardzības jomā veselības informācijas kontekstā.
DVI atgādina, ka personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja piemērojams vismaz viens no Eiropas Parlamenta un Padomes regulas 2016/679 jeb Vispārīgās datu aizsardzības regulas (Regula) 6. panta 1. punktā minētajiem pamatojumiem (Regulā noteikti seši vispārīgi tiesiskie pamati, proti, piekrišana, līguma izpilde, juridisks pienākums, sabiedrības intereses, vitālo interešu aizsardzība un leģitīmo interešu ievērošana). Savukārt īpašu kategoriju personas datu, tostarp veselības datu, apstrāde ir atļauta, ja pastāv vismaz viens no Regulas 9. panta 2. punktā minētajiem pamatojumiem, piemēram, apstrāde nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomā – aizsardzībai pret nopietniem pārrobežu draudiem veselībai.
Līdz ar to personas datu apstrāde jāveic tā, lai tā kalpotu cilvēkam, nevis veicinātu paniku, vairojot puspatiesības un pieņēmumus. Personas datu aizsardzībai nav jābūt šķērslim, kas kavētu efektīvu cīņu ar infekciju slimību (tostarp COVID-19) izplatību, bet gan novērstu nepamatotu un nesamērīgu informācijas izplatīšanu par konkrētām saslimušām personām vai personām, kuras atrodas riska grupā. Ir svarīgi, lai attiecīgo informāciju izmantotu, lai veiktu konkrētos pasākumus/darbības sabiedrības veselības jomā.
Ja informāciju par pasažieru kontaktinformāciju nodod atbildīgajām iestādēm, kad konstatēts, ka vismaz viena persona inficējusies ar COVID-19, šī darbība kalpo sabiedrības interešu ievērošanai, proti, nodrošināt infekcijas slimības izplatības ierobežošanu un informēt sabiedrību par iespējamajiem riskiem, un tā tiek veikta, lai aizsargātu personas veselību.
Arī darba devējs, ievērojot tā leģitīmas intereses, nodrošinot sabiedrības intereses veselības jomā un aizsardzības pasākumus pret citu darbinieku un klientu saslimšanas risku, var iegūt no darbiniekiem informāciju, vai viņi pēdējo 14 dienu periodā nav bijuši ārvalstīs un nav bijuši kontaktā ar COVID-19 saslimušajiem vai kontaktpersonām. Ja darba devēja rīcībā ir šāda informācija, viņa pienākums, ievērojot Darba aizsardzības likumā minētās prasības, ir nepielaist konkrēto darbinieku pie darba pienākumu pildīšanas un nosūtīt viņu mājās. Savukārt, ja darbinieks nepilda darba dēvēja norādījumus un ierodas darbā, darba devējam ir tiesības par to ziņot Valsts policijai. Darba devējs nav tiesīgs nodot citiem darbiniekiem informāciju, kas viņam kļuvusi zināma, bet pēc nepieciešamības ir tiesīgs to nodot Slimību profilakses un kontroles centram vai citām atbildīgajām iestādēm, ņemot vērā šo iestāžu kompetenci.
Savukārt, ja kolēģis, darba devējs, kaimiņš vai skolas biedrs, pieņemot, ka persona inficējusies ar COVID-19, šo informāciju nodod trešajām personām, tostarp publicējot to savos sociālo tīklu profilos un izpaužot arī personas vārdu, uzvārdu u.c. identificējošu informāciju, viņš pārkāpj personas tiesības uz privātumu un datu aizsardzību. Jānorāda, ka šāda informācija jānodod tikai atbildīgajām iestādēm atbilstoši to kompetencei.
DVI aicina būt uzmanīgiem, ar kādu informāciju mēs dalāmies ar citiem. DVI vērš uzmanību, ka nepamatoti veikta personas datu apstrāde var radīt diskrimināciju un risku fizisku personu tiesībām un brīvībām, kā arī nelabvēlīgi ietekmēt to ekonomisko un sociālo stāvokli.
DVI aicina aktuālo informāciju par COVID-19 un tā izplatību iegūt tikai no uzticamiem avotiem, oficiālām valsts vai publisko iestāžu mājaslapām internetā, kā arī to sociālo tīklu kontiem, piemēram, no Veselības ministrijas un Slimību profilakses un kontroles centra ieteikumiem savas u.c. personu veselības un drošības aizsardzībai.
