רגולטורים אירופאיים מפרסמים את המותר והאסור בעיבוד מידע רפואי בהתמודדות עם מגפת הקורונה

מקור: מאמר מאת ד״ר גבריאלה זנפיר פורטונה מFuture of Privacy Forum. תורגם על ידי המכון הישראלי למדיניות טכנולוגי

מאחר שאירופה מתמודדת עם עלייה אקספוננציאלית במקרי COVID-19, חלק מהרשויות האירופיות להגנת המידע פרסמו הנחיות לציבור בנושא גבולות איסוף, שיתוף ושימוש בנתונים אישיים הנוגעים לבריאות בנסיבות חריגות אלה. תחומי דאגה מיוחדים קשורים להיקף האמצעים שמעסיקים יכולים לנקוט באופן חוקי כדי לפקח על בריאות עובדיהם, כמו גם לאיסוף נתוני הבריאות על ידי סוכנויות ממשלתיות. בסך הכל, הרגולטורים מדגישים כי חוק הגנת המידע בשום אופן אינו מהווה חסם לבריאות הציבור, אך מייעצים לארגונים מפני ניטור ואיסוף “שיטתי וכולל” של נתונים הקשורים לבריאות העובדים שלהם מחוץ לבקשות רשמיות של גורמי הממשל לבריאות הציבור.

רקע: ה- GDPR (הרגולציה האירופאית להגנת מידע) מתייחס ל”ניטור מגפות והתפשטותן”

ה- GDPR בודד מספר דרכים לעיבוד נתונים אישיים כשמדובר באינטרסים החיוניים של אנשים או מסיבות חשובות של אינטרס ציבורי. תקנה 46 מתייחסת באופן ספציפי לחוקיותם של סוגים מסוימים של עיבוד המשרתים את שתי המטרות הללו, “לרבות למעקב אחר מגפות והתפשטותן”. ישנן הוראות הן בתקנה 6 (העילה החוקית הכללית לעיבוד נתונים אישיים), והן בתקנה 9 (האיסור לעבד נתונים רגישים ונסיבות חריגות בהן ניתן לעבד) המאפשרים איסוף, שימוש ושיתוף הכרחי של נתונים אישיים הקשורים לבריאות בהקשר להתמודדות עם מגיפה.

לדוגמה, “סיבות בעלות אינטרס ציבורי בתחום בריאות הציבור, כגון הגנה מפני איומים חוצי גבולות על הבריאות” מוזכרות באופן ספציפי כשימוש מותר במידע רגיש, כולל נתונים הקשורים לבריאות, לפי תקנה 9(2)(i), אם נקבע על ידי חוק האיחוד או המדינות החברות. סעיף 52 לדברי ההסבר מתייחס באופן ספציפי לחריגים מהאיסור על עיבוד נתונים רגישים המוצדקים ל”מטרות פיקוח והתראה” ו”מניעה או בקרה של מחלות מועברות ואיומים חמורים אחרים על הבריאות”.

רגולטור המידע האיטלקי (Garante): איסוף שיטתי וכללי של נתונים בריאותיים על ידי מעסיקים אינו מומלץ

איטליה הייתה ללא ספק המדינה המושפעת ביותר כתוצאה ממגפת COVID-19 באירופה עד כה, כשהממשלה נקטה שלשום בצעד חסר התקדים של סגירת המדינה כולה. הרשות המפקחת על הגנת המידע האיטלקית – הגרנטה, הדגישה בהדרכה מוקדמת בשבוע שעבר כי רשויות הבריאות הציבוריות הן הארגונים המורשים לאסוף ולנהל נתונים על בריאות הקשורים להתפשטות הנגיף.

“מניעת התפשטות נגיף Coronavirus היא משימה לביצוע הגורמים עליהם מוטל לבצע משימה זו באופן רשמי. חקירה ואיסוף המידע על התסמינים האופייניים לנגיף ועל התנועות האחרונות של כל אחד ואחד מהחולים הם באחריותם של אנשי מקצוע בתחום הבריאות ומערכת ההגנה האזרחית, שהם הגורמים האחראים להבטיח עמידה בכללי בריאות הציבור שאומצו לאחרונה.”, כתב הגרנטה.

לפיכך, המלצת המפתח שהועברה על ידי הרגולטור האיטלקי הייתה למעסיקים “להימנע מאיסוף, מראש ובאופן שיטתי וכולל, לרבות באמצעות פניות ספציפיות לעובדים בודדים או חקירות בלתי מורשות, מידע על הימצאות סימני שפעת אצל העובד ואנשי הקשר הקרובים ביותר שלו, או בכל מקרה הנוגע לאזורים מחוץ לסביבת העבודה“. הגרנטה הזכיר כי העובדים מחוייבים ליידע את המעסיק על כל סכנה לבריאות ובטיחות במקום העבודה ועודדו את המעסיקים להקים ערוצי תקשורת ספציפיים הקשורים לסוג מידע זה.

הגרנטה קראה “לעמוד בקפידה אחר ההוראות שניתנו על ידי משרד הבריאות והמוסדות המוסמכים למנוע את התפשטות הנגיף מבלי לנקוט יוזמות אוטונומיות שמטרתן לאסוף נתונים גם על בריאות המשתמשים והעובדים”.

ממשלת איטליה פרסמה שלשום בערב צו בכתב העת הרשמי (מספר 14/2020) ליצור מסגרת משפטית מיוחדת לאיסוף ושיתוף נתונים אישיים הקשורים לבריאות על ידי רשויות בריאות הציבור וחברות פרטיות המהווים חלק ממערכת הבריאות הלאומית משך מצב החירום הקשור ל- COVID-19.

רגולטור המידע האירי (DPC): בקשות מידע על נסיעות אחרונות ותסמינים של עובדים ומבקרים עשויות להיות מוצדקות

הממונה על הגנת המידע באירלנד הבהירה בתחילת ההנחיה כי “חוק הגנת המידע אינו עומד בדרך של מתן שירותי בריאות וניהול סוגיות בתחום בריאות הציבור”. אך יחד עם זאת “ישנם שיקולים חשובים אותם יש לקחת בחשבון בעת ​​הטיפול בנתונים אישיים בהקשרים אלה, ובמיוחד    צריך לקבל הנחיות של רשויות בריאות הציבור, או רשויות רלוונטיות אחרות

הממונה מדגישה היבטים רלוונטיים במיוחד לעמידה בהוראות רגולציית הפרטיות, כמו שקיפותלגבי האמצעים שננקטו לאיסוף המידע והשימוש בו, שמירה על סודיות מידע בתחום הביתי, שמירה על סודיות המידע אודות הדבקה אפשרית ב- COVID-19 של עובדים ספציפיים, יישום אבטחת מידע מתאימה, עיבוד כמות מינימלית של נתונים אישיים בכדי להשיג את המטרה של מניעת התפשטות הנגיף וחקירתו, כמו גם מעקב אחר כל ההחלטות שהתקבלו ביחס לאיסוף נתונים אלה אמצעי הגנה שיושמו.

ההנחייה כוללת דוגמאות לשאלות ציבור שהובאו בפני הרשות. לדוגמא, האם מעסיק יכול לדרוש מכל הצוות והמבקרים בבניין למלא שאלון המבקש מידע על היסטוריית הנסיעות האחרונות שלהם למדינות שנפגעו מהנגיף, ומידע רפואי כמו טמפרטורת גוף ומדדים חיוניים. בהתחשב בכך שעל פי החוק האירי יש למעסיקים גם חובה חוקית לשמור על בריאות עובדיהם ולשמור על מקום עבודה בטוח, ועל רקע ההצדקות הספציפיות ב- GDPR שהוזכרו לעיל, “מעסיקים רשאים לבקש מהעובדים והמבקרים ליידע אותם אם הם ביקרו באזור נגוע או חווים תסמינים”. אם מידע כזה ייאסף באמצעות שאלונים, יש לשקול את הנחיצות והמידתיות, תוך התחשבות בכל הנחיות רשויות בריאות הציבור.

רגולטור המידע הצרפתי (CNIL): איסוף תיקים רפואיים או שאלונים מכל העובדים, ככל הנראה לא מוצדק

הרשות הצרפתית הזכירה לארגונים כי נתונים אישיים הקשורים לבריאות נהנים מהגנה חזקה יותר תחת ה- GDPR בגלל הרגישות שלהם. ההנחיות הקצרות שפורסמו ב- 6 במרץ התרכזו במה שהמעסיקים יכולים לעשות ומה הם לא יכולים לעשות ביחס לנתונים על מצבם הבריאותי של העובדים שלהם. ככלל, כל עיבוד חריג של מידע אישי בשל ההתמודדות עם המגיפה לא צריך לחרוג מהנדרש לצורך זיהוי חשד לחשיפה לנגיף, במיוחד בהתחשב בעובדה שקוד בריאות הציבור חל גם על מצב זה.

ברשימה השחורה של פעילויות העיבוד, ה- CNIL מציין כי “על המעסיקים להימנע מאיסוף באופן שיטתי וכולל, או באמצעות פניות ובקשות פרטניות, של מידע הנוגע לחיפוש אחר תסמינים אפשריים שהוצגו על ידי עובד וקרוביהם”. ה- CNIL נותן דוגמאות לעיבוד שלא כדין: מדידת חובה של טמפרטורה של כל עובד ומבקר שישלח מדי יום למנהלים שלהם או איסוף תיקים רפואיים או שאלונים מכל העובדים.

יצויין כי לא ברור האם הנחייה זו מתייחסת אך ורק לאיסוף המידע הקשור לבריאותו הכללית של העובד או למידע על נסיעותיו האחרונות.

ה- CNIL מציע גם דוגמאות לפעולות שמעסיקים יכולים לבצע באופן חוקי:

עידוד עובדים לחשוף באופן אינדיבידואלי מידע הקשור לחשיפה אפשרית לנגיף למעביד או לרשויות הבריאות המוסמכות; הגדרת ערוצים ייעודיים לקבלת מידע מסוג זה; קידום פתרונות עבודה מהבית; במקרה של דיווח על חשיפה אפשרית, “המעסיק יכול לרשום את התאריך ואת זהותו של האדם החשוד שנחשף; האמצעים הארגוניים שננקטו (בידוד, עבודה מרחוק, הדרכה ותקשורת עם הרופא התעסוקתי וכו’). “

רשויות הבריאות יכולות לאסוף נתונים הקשורים לבריאות במסגרת התפשטות COVID-19, בהתחשב בכך ש”הערכה ואיסוף של מידע הנוגע לתסמינים של נגיף קורונה ומידע על תנועותיהם האחרונות של אנשים מסוימים היא באחריות הרשויות הציבוריות הללו “.

יודגש כי ה- CNIL מציין כי על העובדים חלה חובה על פי חוק לשמור על בריאותם ובטיחותם של אחרים, כך ש”עליהם להודיע ​​למעסיק שלהם במקרה של חשד למגע עם הנגיף”