Koroonaviiruse pandeemiline levik maailmas ja paljudes riikides kehtestatud eriolukorrad on tõstatanud mitu õiguslikku küsimust, mis ei ole kunagi varem aktuaalsed olnud. Ühe vastuolulise teemana on tõusetunud ka küsimus andmekaitse reeglite kohaldumisest Covid-19 leviku tõkestamisega seoses.
Advokaat andmekaitsest viirusepuhangu ajal: kas tööandja tohib nõuda infot töötaja tervise kohta?
Kas tööandja tohib küsida töötajalt kinnitust selle kohta, et töötaja ei ole viibinud riskipiirkonnas või puutunud kokku viirusekandjaga? Kas tööandja tohib tööle saabujate tervist regulaarselt kontrollida, näiteks mõõtes töötajate kehatemperatuuri? Kas tohib avaldada haigestunud isikute andmeid? Tuleb välja, et tegemist on küsimustega, mille osas on ka erinevad Euroopa andmekaitse asutused väga erinevatel seisukohtadel.
EL-i isikuandmete kaitse üldmääruse (GDPR), kohaselt on isiku terviseandmete töötlemine keelatud, kui kehtivas õiguses ei ole konkreetset alust, mis lubaks terviseandmeid töödelda. Sellele üldreeglile tuginedes on näiteks Belgia, Prantsusmaa, Luksemburgi ja Hollandi andmekaitse asutused asunud seisukohale, et Covid-19 viiruse levimise kontekstis peaksid ettevõtted vältima isiku terviseandmete süstemaatilist kontrollimist ning töötajatelt kinnituse küsimist nende terviseseisundi kohta. Need riigid on põhjendanud, et terviseandmete töötlemisega kaasneb suur riive andmesubjekti põhiõigustele ja andmetöötlus oleks ebaproportsionaalne.
Samal ajal on mõni teine riik, näiteks Taani, Iirimaa, Itaalia, Läti ja Poola asunud seisukohale, et andmekaitse ei tohi takistada COVID-19 leviku piiramist ning terviseandmete töötlemine tööandja poolt seoses koroonaviiruse leviku takistamisega peab olema lubatud.
Milline on õiguslik olukord Eestis? Eesti Andmekaitse Inspektsioon on selgitanud, et nn õigustatud huvi alusel ei tohi isiku terviseandmeid töödelda ja terviseandmete töötlemise õiguslikuks aluseks saab olla seadus või inimese nõusolek. Sellega seoses on Andmekaitse Inspektsioon järeldanud, et tööandja tohib isiku terviseandmeid Covid-19 puhangu kontekstis töödelda üksnes siis, kui töötaja on sellised andmed tööandjale vabatahtlikult avaldanud. Artikli autor selle seisukohaga täielikult ei nõustu.
Eestis kehtiv töölepinguseadus ning töötervishoiu ja tööohutuse seadus sätestavad tööandja kohustuse tagada töötervishoiu ja tööohutuse nõuetele vastavad töötingimused. Eeltoodu tähendab ka seda, et tööandja kohustus on tagada, et tema hooletuse tõttu ei haigestuks tema töötajad töökohal leviva viiruse tagajärjel. Seega, juhindudes isikuandmete kaitse üldmääruse reeglist, mis lubab töödelda terviseandmeid tööandja tööõigusest tuleneva kohustuse täitmiseks ja Eesti tööõiguse regulatsioonist, võib järeldada, et tööandjal on õigus rakendada viiruspuhangu levimisel ennetavaid meetmeid. Sellel eesmärgil võib tööandja töödelda ka töötaja isikuandmeid, sh terviseandmeid.
Siiski tuleb rõhutada, et töötaja terviseandmete töötlemisel tuleb olla ettevaatlik ning alati rakendada andmekaitses kehtivat võimalikult väheste andmete töötlemise printsiipi. Eeltoodu tähendab, et lubatud võiks olla tööle saabuvate töötajate kehatemperatuuri mõõtmine ja töötajatelt kinnituse küsimine, et nad ei ole teadaolevalt viirusekandjatega kokku puutunud või riskipiirkonnas viibinud. Lubatud ei tohiks olla aga täiendavate andmete küsimine. Põhjendamatu ja ebaproportsionaalne oleks küsida, kellega töötaja täpselt on kokku puutunud või kus ta täpselt on viibinud. Põhjendatud ei oleks ka kogutud terviseandmete (näiteks kehatemperatuuri andmete) säilitamine pärast kontrolli läbiviimist. Samuti, tööandjatel ei tohiks üldiselt olla lubatud nakatunud töötajate nimede avaldamine, sest see võib põhjustada sotsiaalset häbimärgistamist ja diskrimineerimist. Erandeid nime avalikustamise keelust tuleks kohaldada ainult väga äärmuslikel ja läbimõeldud juhtudel piiratud isikute ringile, üksnes tingimusel, et nime avalikustamine on vältimatult vajalik ettevaatusabinõude rakendamiseks.
Kokkuvõtteks: andmekaitse ei saa ega tohi olla takistus Covid-19 levikuga võitlemisel. Siiski tuleb terviseandmeid alati töödelda lähtudes eesmärgi piirangust ja võimalikult väheste andmete kogumise põhimõttest. Eesti Andmekaitse Inspektsiooni tsiteerides - andmekaitse puhul olgu alati märksõnadeks «nii palju kui vajalik ja nii vähe kui võimalik».