เพื่อให้การรักษาผู้ป่วยที่ติดเชื้อประสบความสำเร็จมากขึ้น และเผยแพร่ความตระหนักเกี่ยวกับ coronavirus และวิธีการป้องกัน ข้อมูลเกี่ยวกับสุขภาพของประชาชนจะถูกเปิดเผยมากกว่าปกติ ในบล็อกนี้เราจะใช้เวลาอย่างรวดเร็วที่เป็นปัญหาของความขัดแย้งระหว่างสองสิทธิมนุษยชนขั้นพื้นฐาน: สิทธิในการดูแลสุขภาพและสิทธิในการคุ้มครองข้อมูลส่วนบุคคล
ในช่วงไม่กี่สัปดาห์ก่อนไวรัสโคโรน่า – โควิด-19 กลายเป็นประเด็นร้อนบนหน้าปกหนังสือพิมพ์ทั่วโลก การประกาศภาวะฉุกเฉินในระดับโลก ทำให้เกิดความจำเป็นในการปรับเปลี่ยนสถานการณ์ใหม่ ซึ่งเกิดจากการระบาดใหญ่ ในเวลาเพียงไม่กี่วัน หน่วยงานรัฐบาลแห่งชาติได้ออกการตัดสินใจหลายครั้งเพื่อปราบปรามไวรัสและรักษาสุขภาพของประชาชน นอกจากมาตรการที่คุ้นเคยกันดีเนื่องจากได้รับความสนใจจากสื่อ เช่น การปิดธุรกิจการบริการหรือเคอร์ฟิว มาตรการบางอย่างที่นำมาใช้มีความสำคัญเป็นพิเศษในด้านกฎหมายความเป็นส่วนตัว
เหตุผลทางกฎหมายของสหภาพยุโรป
มาตรา 9 ของกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR)จัดประเภทข้อมูลที่เกี่ยวข้องกับสุขภาพเป็นข้อมูลส่วนบุคคลประเภทพิเศษ ซึ่งอยู่ภายใต้การคุ้มครองในระดับที่สูงขึ้น ในขณะที่การประมวลผลข้อมูลที่ไม่ได้ระบุว่าเป็น “พิเศษ” จะได้รับอนุญาตตราบเท่าที่มีการปฏิบัติตามเหตุผลทางกฎหมายอย่างใดอย่างหนึ่งในหกข้อ การประมวลผลข้อมูลประเภทนี้เป็นสิ่งต้องห้าม มีข้อยกเว้นสำหรับทุกกฎ ดังนั้น GDPR จะกำหนดว่าเมื่อใดที่สามารถข้ามกฎนี้ได้
การประมวลผลข้อมูลที่ละเอียดอ่อนสามารถทำได้ ตัวอย่างเช่น หากจำเป็นด้วยเหตุผลที่เป็นประโยชน์สาธารณะในด้านสาธารณสุข เช่น การป้องกันภัยคุกคามด้านสุขภาพที่ร้ายแรงข้ามพรมแดน การปกป้องผลประโยชน์ที่สำคัญของสังคม หรือเพื่อปฏิบัติตาม ด้วยภาระผูกพันทางกฎหมายอื่น
สถานการณ์ฉุกเฉิน
หากเราพิจารณาเรื่องการปกป้องข้อมูลจากแง่มุมของการจ้างงาน ไม่อาจโต้แย้งได้ว่านายจ้างทั่วโลกใช้มาตรการป้องกันต่างๆ เพื่อรักษาความปลอดภัยให้กับพนักงานและสถานที่ประกอบธุรกิจของตน เนื่องจากความทะเยอทะยานที่จะปฏิบัติตามข้อกำหนดในทิศทางนี้ นายจ้างจึงเผชิญกับความท้าทายเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลที่ชอบด้วยกฎหมาย การรักษาข้อมูลส่วนบุคคลอาจเปลี่ยนแปลงได้ในระหว่างสถานการณ์ฉุกเฉิน ซึ่งทำให้เกิดคำถามอย่างหลีกเลี่ยงไม่ได้: ข้อมูลประเภทใดที่สามารถเก็บรวบรวมและจะนำไปใช้ได้อย่างไร
ยุโรปคุ้มครองคณะกรรมการข้อมูล (EDPB) ตอบคำถามนี้โดยการออกคำชี้แจงเกี่ยวกับการประมวลผลของข้อมูลส่วนบุคคลในบริบทของ COVID-19 การระบาดของโรค,ซึ่งหมายถึงความสำคัญของการประยุกต์ใช้กฎหมายคุ้มครองข้อมูลยุโรปแม้ในช่วงสถานการณ์ฉุกเฉิน ดังนั้น ประธาน EDPB จึงเน้นย้ำว่าบทบัญญัติเกี่ยวกับเรื่องนี้จะไม่แทรกแซงการดำเนินการของมาตรการพิเศษที่มุ่งเป้าไปที่การบรรเทาผลกระทบจากไวรัสโคโรน่า ดังนั้น ผู้ประมวลผลข้อมูล (รวมถึงนายจ้าง) จำเป็นต้องรักษาระดับการป้องกันข้อมูลที่รวบรวมไว้ โดยไม่คำนึงถึงสถานการณ์ฉุกเฉิน
เก็บไว้ในใจเสมอ
GDPR ประกาศหลักการสำคัญที่ต้องดำเนินการเมื่อรวบรวมข้อมูลที่เกี่ยวข้องกับสุขภาพตามรายการด้านล่าง
ความถูกต้องตามกฎหมาย: เหตุผลทางกฎหมาย
ความยินยอมของเจ้าของข้อมูลสำหรับการประมวลผลข้อมูลในบริบทของโควิด-19 ไม่มีบทบาทสำคัญ ดังนั้น นายจ้างจึงจำเป็นต้องระบุพื้นฐานทางกฎหมายสำหรับการเปิดเผยข้อมูลในทุกกรณี กล่าวคือ ตรวจสอบว่ามาตรการพิเศษมีความสมเหตุสมผลหรือไม่
ตัวอย่างเช่น:
เหตุผล “การปฏิบัติตามข้อผูกพันทางกฎหมาย” จะเหมาะสมหากการรวบรวมนั้นจำเป็นสำหรับการปฏิบัติตามกฎหมายของสหภาพยุโรปหรือกฎหมายระดับประเทศของประเทศสมาชิก หรือ “ผลประโยชน์โดยชอบด้วยกฎหมายที่ผู้ควบคุมหรือบุคคลที่สามติดตาม” จะถือว่าสะดวกหากมีในบางกรณี
ในทางกลับกัน การใช้ ‘การคุ้มครองผลประโยชน์ที่สำคัญ’ อย่างง่าย ๆ เป็นเหตุผลทางกฎหมายน่าจะไม่เพียงพอ
ความโปร่งใส:แจ้งพนักงาน
ตามหลักการนี้ เจ้าของข้อมูลที่อ้างถึงข้อมูลส่วนบุคคลจะต้องได้รับการแจ้งจากนายจ้างในการเปิดเผยข้อมูลให้ใครทราบ วัตถุประสงค์ในการรวบรวมข้อมูลคืออะไร และระยะเวลาเก็บรักษานานเท่าใด
นอกจากนั้น นายจ้างได้รับอนุญาตให้เปิดเผยข้อมูลเกี่ยวกับการมีอยู่ของไวรัสภายในบริษัท แต่จะต้องหลีกเลี่ยงการตั้งชื่อพนักงานที่ติดเชื้อ เว้นแต่จะหลีกเลี่ยงไม่ได้ นอกจากนี้ ขอแนะนำให้ตั้งค่าสายด่วนพิเศษเกี่ยวกับไวรัสโคโรนา ซึ่งอาจส่งเสริมให้พนักงานที่สงสัยว่าอาจติดเชื้อให้ขอความช่วยเหลือเป็นการส่วนตัวและไม่สร้างความตื่นตระหนกให้กับบุคลากรที่เหลือ
ย่อเล็กสุด:รวบรวมและประมวลผลเฉพาะข้อมูลที่จำเป็น
นายจ้างทุกรายจะต้องรวบรวมเฉพาะข้อมูลที่ขาดไม่ได้ เพื่อประเมินความเสี่ยงของการแพร่กระจายของไวรัสและเพื่อดำเนินมาตรการด้านความปลอดภัย
เพื่อความกระจ่าง เราได้ให้ตัวอย่างบางส่วน
อย่างไรก็ตาม บริษัทจะลบข้อมูลที่รวบรวมทั้งหมดที่เกี่ยวข้องกับ coronavirus เมื่อการระบาดใหญ่ผ่านไปและตัวไวรัสเองไม่ได้เป็นตัวแทนของภัยคุกคามอีกต่อไป
อนุญาตให้แชร์เมื่อใด
ดังที่กล่าวไว้ ข้อมูลที่เกี่ยวข้องกับสุขภาพต้องการการปกป้องในระดับที่สูงขึ้น โดยสอดคล้องกับลักษณะและความอ่อนไหวของข้อมูล สิ่งนี้ทำให้เกิดคำถามเกี่ยวกับการจำกัดการใช้งานเกี่ยวกับข้อมูลประเภทนี้ เช่นเดียวกับการให้เหตุผลในการเปิดเผยข้อมูลแก่บุคคลที่สาม ในแง่นี้ หน่วยงานคุ้มครองข้อมูลระดับประเทศส่วนใหญ่เห็นด้วย – ข้อมูลส่วนบุคคลของพนักงานที่ติดเชื้อสามารถเปิดเผยได้ก็ต่อเมื่อจำเป็นเท่านั้น เพื่อปกป้องผลประโยชน์สาธารณะและสุขภาพของประชาชน เช่น:
1. การแบ่งปันกับอาสาสมัครที่จำเป็นต้องมีส่วนร่วมเพื่อใช้มาตรการด้านสุขภาพและความปลอดภัยบางอย่าง หรือ
2. การแบ่งปันกับหน่วยงานของรัฐและองค์กรต่างๆ เมื่อได้รับมอบอำนาจ
ข้อมูลเชิงลึกของประเทศเปรียบเทียบ
ประเทศในยุโรป
- สหราชอาณาจักรปฏิบัติตามคำชี้แจงของ EDPB: นายจ้างจะต้องดำเนินการตามมาตรการที่จำเป็นทั้งหมดเพื่อปกป้องพนักงานและมีสิทธิ์ที่จะได้รับการแจ้งเตือนหากพนักงานอาจติดเชื้อ นอกจากนี้ นายจ้างที่มีการติดต่อโดยตรงกับลูกค้าอาจขอให้ผู้มาเยี่ยมทุกคนปฏิบัติตามคำแนะนำของหน่วยงานผู้มีอำนาจก่อนเข้าไปในสถานที่ประกอบธุรกิจของนายจ้าง
- ในฝรั่งเศสนายจ้างมีอำนาจในการเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับไวรัสโคโรน่าที่อ้างอิงถึงพนักงาน เฉพาะเมื่อมีการร้องขอของหน่วยงานที่มีอำนาจ แต่ไม่ก่อนที่จะดำเนินการตามมาตรการป้องกันและจัดระเบียบการทำงานที่กำหนดไว้ทั้งหมดในช่วงที่มีการแพร่ระบาดของโรค
- ทางการอิตาลีกำหนดให้การตรวจหาและการปราบปรามของ COVID-19 เป็นภารกิจเฉพาะของอาสาสมัครคุ้มครองพลเรือนและสถาบันทางการแพทย์มืออาชีพตามกฎหมาย ดังนั้น นายจ้างต้องละเว้นจากการดำเนินการตามมาตรการเองที่เกี่ยวกับการเก็บข้อมูล
- หน่วยงานคุ้มครองข้อมูลของสเปนได้ออกแถลงการณ์โดยสมบูรณ์ตามข้อกำหนดของ EDPB โดยเน้นว่าข้อกำหนดใดที่ต้องปฏิบัติตาม ที่เกี่ยวข้องกับการรวบรวมและประมวลผลข้อมูลระหว่างการระบาดของ coronavirus: a) เหตุผลทางกฎหมาย – อ้างถึงมาตรา 9 ของ GDPR ภาษาสเปน กฎหมายคุ้มครองข้อมูลและกฎหมายแรงงานและข) การลดข้อมูล
ประเทศนอกยุโรป
ทางการจีนได้กำหนดภาระหน้าที่ของนายจ้างที่จะต้องได้รับความยินยอมล่วงหน้าจากเจ้าของข้อมูลในการรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับสภาพสุขภาพของตน ในทำนองเดียวกันกฎหมายของออสเตรเลียกำหนดให้เจ้าของข้อมูลต้องอนุมัติการรวบรวมข้อมูลที่เกี่ยวข้องกับสุขภาพอย่างชัดแจ้ง โดยมีข้อบังคับเฉพาะเกี่ยวกับการใช้และการเปิดเผยข้อมูลที่เก็บรวบรวม ในทางกลับกัน ในฮ่องกงข้อมูลส่วนบุคคลสามารถประมวลผลได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล หากจำเป็นเพื่อหลีกเลี่ยงอันตรายต่อร่างกายหรือจิตใจต่อบุคคลที่สาม
แล้วความเป็นส่วนตัวแบบดิจิทัลล่ะ?
คำชี้แจงของ EDPB กำหนดลักษณะเฉพาะเกี่ยวกับข้อมูลการสื่อสารทางอิเล็กทรอนิกส์ เช่น ข้อมูลตำแหน่ง คำสั่งความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ (ต่อไปนี้: คำสั่ง ) ควบคุมเรื่องนี้โดยกำหนดอย่างชัดแจ้งว่าข้อมูลตำแหน่งสามารถประมวลผลได้เฉพาะเมื่อถูกทำให้ไม่เปิดเผยตัวหรือด้วยความยินยอมของเจ้าของข้อมูล ในกรณีที่ไม่สามารถประมวลผลเฉพาะข้อมูลที่ไม่ระบุชื่อได้ Directive อนุญาตให้สมาชิกของรัฐกำหนดมาตรการเฉพาะเพื่อปกป้องความมั่นคงของประเทศและสาธารณะ
ไม่เพียงแต่ประเทศในยุโรปเท่านั้นที่ใช้ความเป็นไปได้นี้ แต่บางส่วนของเอเชียก็เช่นกัน ตัวอย่างเช่นทางการอิตาลีร่วมมือกับผู้ให้บริการโทรศัพท์เคลื่อนที่ ซึ่งแชร์ข้อมูลตำแหน่งกับกระทรวงสาธารณสุข โดยให้ข้อมูลเกี่ยวกับจำนวนพลเมืองที่ละเมิดข้อจำกัดการเคลื่อนไหวที่กำหนด รัฐบาลโปแลนด์เปิดตัวแอปเพื่อกักกันพลเมือง ในบางครั้ง แอพจะขอให้เจ้าของโทรศัพท์มือถือถ่ายเซลฟี่ตามตำแหน่งทางภูมิศาสตร์ เพื่อให้เจ้าหน้าที่มั่นใจได้ว่าคำสั่งของพวกเขาจะไม่ถูกละเมิด
มาตรการที่น่าสนใจได้ถูกนำมาใช้ในฮ่องกงเกี่ยวกับพลเมืองที่เพิ่งเดินทางมาจากประเทศอื่น ๆ – ทางการได้จัดเตรียมสายรัดข้อมือที่บันทึกตำแหน่งของบุคคลและแจ้งให้เจ้าหน้าที่ผู้มีอำนาจทราบหากบุคคลนั้นไม่ปฏิบัติตามคำสั่งกักกัน สิงคโปร์เปิดเผยข้อมูลทั้งหมดเกี่ยวกับพลเมืองที่ติดเชื้อ ขั้นตอนต่อไปคือการเปิดตัวแอปที่ทำให้ตำแหน่งของผู้ที่ตกเป็นเหยื่อของ coronavirus มองเห็นได้เพื่อให้สามารถติดตามได้ พูดซ้ำซาก – ความชอบธรรมของมาตรการประเภทนี้เป็นที่น่าสงสัยอย่างแน่นอน
สาธารณรัฐเซอร์เบีย
เมื่อพูดถึงกฎหมายฉุกเฉินภายในประเทศ ไม่มีมาตรการใดที่กำหนดให้มีข้อยกเว้นในด้านการคุ้มครองข้อมูล แตกต่างจากประเทศดังกล่าวข้างต้นเจ้าหน้าที่เซอร์เบียไม่ได้ออกคำสั่งอย่างชัดเจนใด ๆ เกี่ยวกับข้อมูลส่วนบุคคล–ยกเว้นสำหรับการอุทธรณ์ให้กับประชาชนเพื่อให้สอดคล้องกับคำแนะนำที่ออกโดยหน่วยงานที่ มีข้อสงสัยว่าการขาดปฏิกิริยาล่าช้าโดยไม่ตั้งใจหรือรัฐบาลไม่ได้ตระหนักถึงความจำเป็นของกฎระเบียบดังกล่าว ควรให้คำตอบจากทางการเซอร์เบียโดยเร็วที่สุด
เมื่อการระบาดของ COVID-19 สิ้นสุดลง หลายด้านของชีวิตจะได้รับผลกระทบอย่างมากอย่างแน่นอน แต่การปกป้องข้อมูลไม่จำเป็นต้องเป็น . นายจ้างต้องดำเนินการให้ทันเวลาเพื่อให้แน่ใจว่ากฎและขั้นตอนด้านความปลอดภัยทั้งหมดอยู่ในสถานที่ เพื่อลดผลกระทบของโรคระบาดต่อความสัมพันธ์ในการจ้างงานให้เหลือน้อยที่สุด ข้อมูลส่วนบุคคลของพนักงานจะได้รับการคุ้มครองอย่างเข้มงวดตามกฎ GDPR เช่นเดียวกับคำสั่งฉุกเฉินที่ออกโดยหน่วยงานของรัฐ
กล่าวอีกนัยหนึ่ง – รักษาพนักงานของคุณให้ปลอดภัยในทุก ๆ ด้าน
