Работодатель требует qr-код, законно ли это

Обновлено: 21.11.2024

Работодателям, которые хотят сканировать QR-код в приложении CoronaCheck своих сотрудников, следует разработать политику, в которой изложены меры по обеспечению безопасности на рабочем месте. Если в контексте этой политики необходимо знать, кто был вакцинирован, протестирован и/или выздоровел, использование приложения CoronaCheck, вероятно, будет оправдано.

Основываясь на результатах использования приложения CoronaCheck или отказе от его демонстрации, работодатель может внести необходимые предложения по корректировке рабочей ситуации, например, надеть на сотрудника дополнительные средства защиты или разрешить ему работать из дома. То, что необходимо, зависит от отрасли и вида деятельности.

Работодатели должны помнить, что применение такой политики является в высшей степени инновационным и находится на неизведанной территории. Прецедентного права по этому вопросу пока нет.

Позиция правительства и Управления по защите данных Нидерландов

Много сказано и написано о допустимой политике работодателей в связи с пандемией. В Нидерландах ясно, что работодатели не могут требовать от сотрудников вакцинации. Однако, по мнению правительства, работодатели могут спрашивать сотрудников об их прививочном статусе при условии, что у работодателя есть четкий план действий, если работник окажется непривитым или не захочет раскрывать прививочный статус. Сотрудники не обязаны отвечать на вопросы о своем статусе, но работодатель может предложить внести изменения в график работы или рабочее место тем сотрудникам, которые, как он знает, не были вакцинированы или не хотят раскрывать свой статус вакцинации. По мнению правительства, если это предложение разумно, сотрудник должен принять корректировку.

С другой стороны, Управление по защите данных Нидерландов (DDPA), похоже, считает, что работодатель не может делать такие предложения. Согласно DDPA, Общий регламент по защите данных (GDPR) классифицирует данные о здоровье как особые персональные данные, которые могут обрабатываться только при наличии для этого конкретных правовых оснований. Правительство также указывает, что работодатели не могут регистрировать каким-либо образом, вакцинированы ли сотрудники, но оно, по-видимому, не видит в этом препятствия для предложения корректировок. Однако, согласно DDPA, работодатель мало что может сделать с ответом на вопрос о прививочном статусе работника. Как эти две позиции соотносятся друг с другом? Ответ может в некоторой степени зависеть от того, работает ли работодатель в сфере здравоохранения.

Работодатели в сфере здравоохранения

Это правда, что GDPR запрещает обработку данных о состоянии здоровья, если не выполняются определенные условия. Например, обработка разрешена, среди прочего, если она «необходима для целей профилактики или медицины труда, оказания медицинской или социальной помощи или управления системами и услугами здравоохранения на основании Союза или члена Закон штата или договор с медицинским работником».

Закон о реализации GDPR является основой национального законодательства, которая предусматривает, что поставщики медицинских услуг или медицинские учреждения могут обрабатывать медицинские данные, необходимые для надлежащего обращения с субъектом данных или для управления соответствующим учреждением или практикой. Эта основа предоставляет работодателям здравоохранения достаточные возможности для обработки данных о вакцинации, если, например, этот шаг необходим для защиты услуг, предоставляемых работодателем. Работодатель может выполнить обработку самостоятельно, и в этом случае она должна храниться в тайне, или поручить ее выполнение лицом, на которое распространяется профессиональная тайна, например врачом по гигиене труда.

Работодатель также может отсканировать QR-код приложения CoronaCheck. Ведь это не прямая обработка медицинских данных о прививочном статусе.

Работодатели в других отраслях

Однако не исключено, что работодатели в других отраслях, помимо здравоохранения, также могут обрабатывать данные о прививочном статусе сотрудников. GDPR разрешает обработку, если это «необходимо для целей выполнения обязательств и осуществления конкретных прав в сфере занятости и права социального обеспечения, если это разрешено законодательством Союза или законодательством государства-члена или коллективным договором, предусматривающим для надлежащих гарантий основных прав и интересов субъекта данных».

Опять же, Закон об имплементации GDPR обеспечивает основу в национальном законодательстве. Этот закон предусматривает, что запрет на обработку данных о здоровье не распространяется на работодателей, если обработка необходима для надлежащего выполнения законодательных норм, предоставляющих права, зависящие от состояния здоровья субъекта данных. Мы считаем, что в данной ситуации такие права присутствуют.

По закону работодатель обязан принимать меры для предотвращения причинения вреда своим работникам во время работы.Работодатель несет ответственность за ущерб, понесенный работниками, если он не выполняет это обязательство должным образом. Выполнение этого обязательства и, таким образом, реализация права работников на безопасное рабочее место, безусловно, зависит от состояния здоровья соответствующих работников. Пока обработка не выходит за рамки того, что строго необходимо для обеспечения безопасного рабочего места, кажется, нет причин, по которым работодатель должен нарушать GDPR.

Поэтому, вероятно, работодатели вправе просить сотрудников продемонстрировать, что они не представляют - предполагаемого - риска короны, не выясняя при этом, связано ли это с вакцинацией, справкой о выздоровлении или отрицательным тестом. Приложение CoronaCheck является подходящим инструментом для этой цели.

Для сотрудников, которые сотрудничают, будет ясно, представляют ли они риск. Для сотрудников, которые не сотрудничают, тогда станет ясно, что они могут представлять риск, связанный с коронавирусом. Вопрос в том, собираются ли вообще в этом процессе какие-либо данные о состоянии здоровья; в конце концов, работодатель не знает, не привиты ли работники, не протестированы ли они или протестированы, но просто не раскрывает это.

Тем не менее, сканирование QR-кода в приложении CoronaCheck на рабочем месте может быть необходимо, особенно для компаний, где сотрудники могут работать только на месте без достаточного физического дистанцирования. В этом случае любое ограничение конфиденциальности сотрудников будет соразмерно цели выполнения юридического обязательства по обеспечению безопасного и здорового рабочего места для всех сотрудников компании.

Информация, содержащаяся в этой публикации, предназначена только для информационных целей и не представляет собой юридическую консультацию или мнение, а также не заменяет профессиональное суждение адвоката.

Сразу после того, как CDC выпустил новое руководство, ослабляющее ограничения для привитых американцев, многие работодатели начинают задаваться вопросом, не приближается ли постпандемическая жизнь к нам. После года изоляции люди готовы путешествовать, есть дома в ресторанах, ходить в кино и на концерты с друзьями и благополучно возвращаться на работу. В то время как перспектива захватывающая, она также нервирует тех, кто задается вопросом, как мы сможем определить, кто полностью вакцинирован. Также стоит помнить, что, за некоторыми исключениями, CDC до сих пор заявлял, что полностью вакцинированные люди должны продолжать соблюдать правила ношения масок, дистанцирования, мытья рук и другие протоколы COVID-19. Тем не менее работодатели сейчас задумываются над тем, являются ли электронные паспорта вакцин ключом к возвращению к нормальной жизни и возвращению на работу.

Хотя концепция цифровых паспортов вакцин может показаться идеальным решением, ее реализация затруднена не только из-за административной осуществимости, но и из-за множества юридических и деловых соображений, возникающих при необходимости паспорта для возвращения на работу или для начала бизнеса. В этой статье рассматриваются некоторые из этих сложных юридических соображений, включая вопросы конфиденциальности и этики, и предлагается руководство для работодателей при оценке их осуществимости на рабочем месте.

Что такое цифровой паспорт вакцины?

Компании по всему миру усердно работают над созданием безопасных систем на основе приложений для цифрового паспорта прививки — документа, который вы можете легко получить на своем мобильном телефоне в виде приложения или с помощью функции цифрового кошелька, подтверждающего, что вы были полностью вакцинированы. против COVID-19. Паспорт представляет собой цифровое удостоверение личности (будь то приложение или QR-код), которое можно отсканировать, чтобы подтвердить статус вакцинации владельца. Цель оцифровки доказательств вакцинации, казалось бы, проста: эффективность, простота и гармония между отраслями, особенно в сфере путешествий, гостиничного бизнеса, развлечений и здравоохранения.

Идея потребовать от людей иметь при себе цифровой паспорт вакцины для путешествий, посещения определенных предприятий или просто для работы уже вызвала бурные споры, в том числе геополитические игры в туристической индустрии, а также угрозу дискриминации. Последнее включает не только серьезные опасения по поводу непредсказуемости цифровой конфиденциальности, но и ответственность, с которой могут столкнуться работодатели, требуя от сотрудников вакцинации, чтобы вернуться на работу.

Что происходит в остальном мире?

Великобритания, Дания, еще несколько европейских стран и Таиланд объявили о планах по развертыванию программ цифровых паспортов вакцин, которые будут использоваться во многих отраслях. Израиль стал первым, кто внедрил свою цифровую программу в конце февраля 2021 года, воспользовавшись высоким уровнем вакцинации. Несколько авиакомпаний и отраслей или направлений, связанных с туризмом, также потребуют подтверждения вакцинации сотрудников и посетителей в той или иной форме. В частности, Etihad Airways и Emirates начнут использовать цифровой проездной, разработанный Международной ассоциацией воздушного транспорта. Кроме того, Всемирный экономический форум и швейцарская некоммерческая организация Commons Project Foundation тестируют цифровой паспорт вакцины под названием CommonPass.

Являются ли паспорта вакцин законными?

Несмотря на то, что требование подтверждения вакцинации может быть законным, предприятия и работодатели должны тщательно оценивать возможные юридические последствия и практические соображения, относящиеся к их отрасли.

Недавнее руководство, выпущенное EEOC, напоминает работодателям о том, что перед возвращением на работу от сотрудников может потребоваться предъявить справку о вакцинации — за некоторыми важными исключениями. Многие работодатели уже давно требуют, чтобы работники перед входом в помещение проходили проверку температуры и анкеты о состоянии здоровья. Однако это право не является абсолютным. Даже в контексте цифровых паспортов вакцинации работодатели должны быть готовы к ситуациям, когда сотрудники не могут получить вакцину по причинам, связанным с инвалидностью или религиозными убеждениями.

Руководство, выпущенное властями штата Калифорния на рабочем месте 4 марта, иллюстрирует трудности, с которыми сталкиваются работодатели по всей стране, если они требуют введения вакцины: приспособления, когда это необходимо, и не может принимать ответные меры против кого-либо за запрос приспособления.

В соответствии с руководством EEOC (и штата Калифорния), если сотрудник отказывается от вакцины из-за инвалидности, работодатель обязан участвовать в интерактивном процессе, чтобы определить доступность разумного приспособления, не создавая чрезмерных трудностей для бизнеса. Столкнувшись с тем, что сотрудники отказываются от вакцины из-за своей инвалидности, очень важно, чтобы работодатели помнили, что наличие разумного приспособления зависит от конкретного факта. Таким образом, каждый интерактивный процесс уникален для отдельного сотрудника и работы.

Некоторые предложения по возможным приспособлениям в этом контексте включают возможность работать из дома, а также возможность внедрения разумных процедур и мер безопасности на рабочем месте, которые позволили бы сотруднику работать, не подвергая опасности себя или других. Хотя власти Калифорнии не предлагают конкретных «разумных процедур и мер предосторожности», соответствующие соображения включают использование масок и других средств индивидуальной защиты (СИЗ), социальное дистанцирование или, возможно, даже перемещение сотрудника с ограниченными возможностями в закрытое помещение для работы. Конечно, в действительности работодателю, скорее всего, придется предоставить более одной из этих гарантий. Кроме того, если работодатели соблюдали те же самые процедуры в течение прошлого года, а качество работы соответствовало бизнес-ожиданиям, может быть трудно доказать, что эти, казалось бы, рентабельные меры безопасности могут создать трудности для бизнеса.

Еще одно соображение, которое работодатели должны учитывать, касается Раздела VII Закона о гражданских правах и защиты сотрудников, которые отказываются от вакцин из-за искренних религиозных убеждений. Хотя предприятия могут потребовать от сотрудников предоставить доказательства прививки, они должны быть готовы предоставить разумное приспособление, если искренне исповедуемые религиозные убеждения, обычаи или обряды сотрудника не позволяют им пройти вакцинацию, если только приспособление не создаст чрезмерных трудностей в соответствии с Разделом VII. .

КСРТ использует очень широкое определение «религии», которое выходит за рамки членства в церкви и включает в себя твердые и искренние моральные или этические убеждения. Например, возражение сотрудника может быть основано на моральном убеждении против приема определенных химических веществ в организм. При рассмотрении просьбы работника о предоставлении жилья работодатели должны исходить из того, что она основана на искреннем убеждении. Хотя работодатели могут запросить подтверждающую документацию, если есть объективные основания для проверки убеждений, это очень деликатная область права, и работодатели должны согласовывать свои действия с юрисконсультом, прежде чем предпринимать какие-либо шаги в этом отношении.

Что касается конфиденциальности?

Несмотря на сложные юридические риски, связанные с цифровым паспортом вакцины, одно можно сказать наверняка: эта попытка вызывает споры и вызывает огромные опасения в отношении конфиденциальности данных о здоровье и обмена данными. Поэтому система управления приложением должна быть надежной, требующей интуитивного предусмотрительности множества факторов, связанных с проектированием и развертыванием. Соответственно, устойчивость к утечкам данных и надежность аутентификации представляют собой колоссальную проблему. Биометрия — в частности, распознавание лиц, связанное с системой камер, — часто считается решением проблемы подлинности. Однако исследователи и технологи также указывают на риск предвзятости в алгоритмах. Таким образом, лидеры в области науки о данных и больших технологий изучают методы шифрования и управления данными, повышающие конфиденциальность, а также пересматривают алгоритмы, которые отслеживают, прогнозируют и реагируют на аномалии в потоке и использовании личных данных.

В связи с серьезными проблемами конфиденциальности технологические гиганты страны и организации здравоохранения объединились и способствовали быстрому развитию биометрии и эволюции систем идентификации.Одна из коалиций ведущих компаний в области технологий и здравоохранения — инициатива Vaccine Credential Initiative — ставит перед собой цель разработать универсальные стандарты для приложений для проверки вакцин, чтобы обеспечить равный доступ.

Но технологи также предупреждают о дополнительных проблемах — времени. В краткосрочной перспективе общественность должна опасаться поспешных технических решений, позволяющих использовать одноразовые приложения. Создание долговечной и стабильной этической технологии, которая не будет хранить личные данные или позволит отслеживать пользователей, требует достаточно времени и ресурсов. Работодатели могут испытывать желание реализовать первое представленное им решение, чтобы как можно быстрее восстановить нормальную жизнь, но это может быть не лучшим способом действий.

Нет никаких сомнений в том, что паспорта вакцин создают относительно странную (и, возможно, неудобную) динамику, добавляя объемы к личным и конфиденциальным данным, которые будут регулярно собираться и добровольно предоставляться за привилегию (будь то посещение бейсбольного матча или возвращение в работай). Поскольку наша жизнь становится все более зависимой от развивающейся экосистемы хранения цифровых данных, работодатели должны стремиться быть начеку и быть информированными о технической инфраструктуре и разработках, лежащих в основе будущего цифрового паспорта.

Например, важно понимать неотъемлемые риски (несмотря на упреждающие меры защиты) при хранении цифровых данных, чтобы обеспечить реализацию мер безопасности для обеспечения безопасности и целостности данных. Это может включать в себя необходимые гарантии того, что смартфон работодателя (или другое устройство для сбора данных) не хранит информацию о сотруднике для каких-либо целей дольше, чем простая проверка.

Каковы этические проблемы?

Хотя доказательство вакцинации для участия в определенных мероприятиях и въезда в определенные страны не является новой концепцией, прецедентов общесоциальных ограничений и использования цифрового скрининга практически нет (если они вообще есть). . Соответственно, большая часть дебатов сосредоточена на доказанном и продолжающемся несправедливом распределении вакцины среди цветных людей и более бедных слоев населения. Таким образом, требуя доказательства вакцинации, вакцинированное население получает возможности, которые не предоставляются населению, не имеющему такого же доступа к вакцине. Это может привести к удручающим и несправедливым результатам: белое население из числа профессионалов/высшего класса непропорционально допущено на работу, в магазины, на спортивные мероприятия и в рестораны, в то время как цветные люди или представители рабочего класса непропорционально исключены. Если работодатель требует от сотрудников иметь прививочный паспорт, это может негативно сказаться на различных сегментах рабочей силы.

Поэтому перед внедрением цифрового паспорта вакцины крайне важно, чтобы работодатели оценили эти этические соображения и сохраняли бдительность при выявлении потенциальных несоизмеримых последствий, вызванных несправедливым распределением вакцин в стране.

Что это значит для работодателей?

Пока неясно, что произойдет в ближайшие недели и месяцы в отношении использования цифровых паспортов вакцин. Будут ли они широко использоваться, чтобы вернуть нас к допандемической жизни, или они настолько сопряжены с риском, что станут малоиспользуемыми диковинками? Президент Джо Байден включил директиву для государственных органов «оценить возможность» увязки прививок от COVID-19 с международными сертификатами о прививках и выпуска их цифровых версий, что может быть предвестником того, что цифровым паспортам вакцин будет уделено серьезное внимание в общем бизнесе. сектор. Хотя несколько местных авиакомпаний и круизных лайнеров внедрили требования к цифровому здравоохранению, в настоящее время национального сертификата вакцинации от COVID-19 или «паспорта» пока нет.

Хотя в этой статье рассмотрено большинство очевидных правовых рисков, связанных с такой программой, полный масштаб правовых последствий, связанных с цифровыми паспортами вакцин, остается неизвестным. Если ваша компания рассматривает вопрос о необходимости подтверждения прививки для сотрудников (или посетителей), вам следует тесно сотрудничать с консультантом, чтобы рассмотреть юридические и деловые риски в ущерб бизнесу в целом.

Перепечатано с разрешения из выпуска корпоративного юрисконсульта от 24 марта 2021 г. © 2021 ALM Media Properties, LLC. Все права защищены.

ЧЛЕН ФИРМА

Закон о конфиденциальности продолжает контролировать, как, когда и почему вы можете собирать личную информацию даже во время пандемии.

Пока мир ждет вакцины, работодатели и организации сосредоточены на своих планах обеспечения безопасности от COVID-19, пытаясь защитить сотрудников, клиентов и посетителей от инфекции и остановить распространение COVID-19. Для сектора ухода за престарелыми, сильно пострадавшего сектора гостеприимства и других предприятий, подвергшихся воздействию COVID, это означает сбор необходимой контактной информации от посетителей и персонала для целей отслеживания контактов. Ряд других предприятий, которым технически не требуется хранить контактную информацию в соответствии с указаниями или приказами, в любом случае используют бесконтактную регистрацию в рамках своего плана управления рисками COVID. Как мы видели во время этой пандемии, мобильные технологии часто используются для сбора данных и отслеживания контактов. Последним примером этого является распространение использования QR-кодов для бесконтактной регистрации.

Многие компании используют QR-коды (и сторонние мобильные приложения или онлайн-сервисы) для бесконтактной регистрации в помещениях и на рабочих местах, особенно в секторе здравоохранения и других компаниях, которые заботятся о уязвимых людях. Но для тех компаний, которые связаны Законом о конфиденциальности и рассматривают возможность использования QR-кода и сторонних сервисов для бесконтактной регистрации, есть важные вопросы, которые нужно задать в первую очередь, чтобы убедиться, что вы соблюдаете Принципы конфиденциальности Австралии.

QR-коды и информация о здоровье

QR-код – это штрих-код, который считывается камерой смартфона или приложением для чтения QR-кодов. После сканирования QR-код перенаправляет пользователя либо к онлайн-форме (или к приложению, установленному на телефоне пользователя), в котором фиксируется дата и время посещения пользователем помещения, и в большинстве случаев пользователю предлагается предоставить свои данные. контактные данные и ответить на вопросы анкеты. Собранная информация затем используется для идентификации посетителя или сотрудника, который может иметь отношение к горячей точке COVID, и по запросу раскрывается государственным органам здравоохранения для целей отслеживания контактов. Для предприятий, которым необходимо собирать контактную информацию, поля анкеты будут зависеть от применимого распоряжения или распоряжения правительства. Например, в Квинсленде необходимая информация ограничивается датой и продолжительностью визита, именем, номером телефона и адресом электронной почты.

Но любой, кого попросили отсканировать QR-код для бесконтактной регистрации в связи с COVID-19, знает, что часто запрашиваемая информация не ограничивается основными контактными данными. В анкете часто также запрашиваются ответы «да / нет» в ответ на обычные вопросы безопасности COVID («есть ли у вас температура», «контактировали ли вы с кем-либо, у кого диагностирован COVID-19» и «вы недавно путешествовали за границу»). ). В некоторых случаях анкета дополнительно распространяется на дату рождения и другую профилирующую информацию, а также на прямое маркетинговое «согласие», и все это под видом «для целей безопасности от COVID».

Важно помнить, что любая информация или мнение, касающиеся здоровья клиентов, посетителей и сотрудников, являются конфиденциальной информацией в соответствии с Законом о конфиденциальности и требуют дополнительных обязательств и мер защиты конфиденциальности по сравнению с другой личной информацией.

Как правило, для компаний, связанных Законом о конфиденциальности, это означает, что информация о здоровье должна собираться только с согласия физического лица и должна быть разумно необходимой для функций или деятельности бизнеса (хотя из этого общего правила есть несколько важных исключений). Неверно предполагать, что, поскольку бизнес обязан собирать контактные данные в рамках Плана обеспечения безопасности COVID (или иным образом по распоряжению или распоряжению правительства), этого достаточно для выполнения обязательств бизнеса в соответствии с Законом о конфиденциальности и что анкета может использоваться для сбора личной информации в других целях, например в целях прямого маркетинга.

Пять советов по соблюдению конфиденциальности

Несмотря на то, что компании (и работодатели) внесли множество изменений в методы обработки информации, рабочие механизмы, системы и процессы в ответ на COVID-19, это не должно происходить за счет конфиденциальности. Мы можем заботиться о наших сотрудниках, нашем бизнесе и сообществе, а также защищать личную информацию, которой мы располагаем.

Прежде чем использовать QR-код (а также приложение или стороннюю службу) для бесконтактной регистрации в вашем помещении, задайте себе следующие вопросы:

Действительно ли мне нужно собирать эту личную информацию?

При настройке полей анкеты убедитесь, что вы собираете только ту личную информацию, которую вы обязаны собирать в соответствии с распоряжением или распоряжением правительства, или, если вы не обязаны собирать контактную информацию в соответствии с распоряжением или распоряжением, что вы только сбор личной информации, необходимой вам для целей ваших функций и деятельности. Главное — не допускать чрезмерного сбора личной информации. Например, ресторану не нужно собирать данные о дате рождения посетителя в рамках бесконтактной регистрации в связи с COVID-19.

Если вы хотите использовать регистрацию в качестве точки контакта для сбора дополнительной личной информации или использовать собранную личную информацию для других целей, таких как прямой маркетинг, убедитесь, что эта личная информация собирается отдельно и в соответствии с Австралийские принципы конфиденциальности (APP). Это также поможет вам соблюдать требования к спаму.

Что происходит с данными?

Компании, собирающие личную информацию с помощью QR-кода и приложения для регистрации (или другого программного обеспечения или службы), должны будут принять разумные меры для обеспечения безопасного хранения личной информации. Для этого вам нужно будет знать, где и как хранятся собранные данные. Также важно обеспечить, чтобы только сотрудники, которым необходимо знать эту личную информацию, имели доступ к порталу или базе данных, используемой для ее хранения, и чтобы база данных имела соответствующие разрешения на доступ и элементы управления. Вам также следует рассмотреть возможность хранения этих данных отдельно от вашей базы данных CRM и других баз данных, так как это поможет вам обеспечить использование данных только для (ограниченной) цели, и что вы сможете легче уничтожить эти данные, когда они больше не нужны ( см. совет 5 ниже). Вам также необходимо убедиться, что ваш план реагирования на утечку данных включает личную информацию, собранную с помощью QR-кода и приложения (или служб) регистрации.

Вам также необходимо знать о любых предполагаемых раскрытиях собранной личной информации:

  • Если вы собираете личную информацию по распоряжению или распоряжению правительства для целей отслеживания контактов, вы должны раскрывать эту информацию соответствующему государственному органу здравоохранения только по запросу для целей отслеживания контактов. Его нельзя раскрывать никакому другому лицу.
  • Если вы собираете личную информацию с целью ограничения доступа в помещения для тех лиц, которые не представляют риска заражения (например, кабинет врача или учреждение по уходу за престарелыми), то любое раскрытие должно быть строго под контролем и в соответствии с вашими обязательствами по Приложениям.

Какую информацию вы должны предоставить лицам, сканирующим QR-код?

Приложение 5 требует, чтобы бизнес предпринимал разумные шаги, чтобы уведомить человека о сборе личной информации и предоставить определенную информацию во время сбора или как можно скорее после этого. В зависимости от технического решения, используемого для бесконтактной регистрации с помощью QR-кода, уведомление может быть включено в веб-форму или приложение, а также содержать ссылку на политику конфиденциальности компании. Кроме того, вы можете разместить уведомление о сборе у себя на территории.

Основная информация, которая должна быть предоставлена ​​в уведомлении, — это сведения о цели сбора (т. е. для помощи в отслеживании контактов с COVID-19), последствиях непредоставления личной информации (т. е. о месте проведения) и будет ли личная информация раскрыта другим лицам.

Используете стороннее приложение или сервис QR-кода? Важные моменты, которые необходимо проверить в договоре

Мы видели хорошие (и не очень) примеры условий использования QR-кода и приложений и сервисов для бесконтактной регистрации. Ключевыми положениями о конфиденциальности, которые необходимо включить в любой контракт с вашим поставщиком услуг, являются обязательства по обеспечению безопасности данных (включая идентификацию местонахождения серверов, т. е. офшорных и хостинговых соглашений) и обязательство вернуть (или уничтожить) данные, собранные через приложение или обслуживание с согласованной периодичностью или по вашему указанию. Поставщику услуг не должно быть разрешено использовать какие-либо данные, полученные от ваших клиентов, посетителей или сотрудников через приложение или службу, в своих собственных целях. Обратите особое внимание на любые положения об аналитике данных, даже если они относятся к деидентифицированным или агрегированным данным.

Должная осмотрительность также является важной частью выбора правильного поставщика услуг QR-кода. В идеале оценка воздействия на конфиденциальность и безопасность поставщика должны быть завершены до заключения контракта.

Не настроишь и не забудешь

После того как вы соберете личную информацию в рамках процесса бесконтактной регистрации COVID, у вас будут постоянные обязательства в соответствии с Законом о конфиденциальности.

Ключевое обязательство помнить в соответствии с ПРИЛОЖЕНИЕМ 11.2, которое требует от компаний принятия разумных мер для уничтожения личной информации или обеспечения ее деидентификации, когда она больше не нужна для цели, для которой она может использоваться или раскрыто.

Регулярно проверяйте данные, которые вы собираете с помощью службы QR-кода, и убедитесь, что у вас есть четкая (и принудительная) политика хранения данных. Для личной информации, собранной с использованием QR-кода для отслеживания контактов, это означает, что данные должны быть уничтожены по истечении периода, указанного в применимом распоряжении или приказе правительства (например, в Квинсленде это происходит через 56 дней).Для предприятий, на которые не распространяются указания или приказы (но которые связаны Законом о конфиденциальности), разумный период составляет около 30 дней. Любые оценки воздействия на конфиденциальность также должны обновляться (или проводиться, если это еще не сделано).

Такое обращение с личной информацией также будет служить мерой по предотвращению «смешивания» или «смешивания» личной информации, собранной для целей COVID, с другими персональными данными, хранящимися в организации. Невозможность разделить эти типы информационных хранилищ может привести к ряду рисков соответствия в соответствии с APPs, при этом устранение этого риска и разделение этих хранилищ личной информации будет сложно реализовать с оперативной и практической точки зрения.

Дополнительные рекомендации правительства по регистрации и отслеживанию контактов

В начале этого года Управление Комиссара по информации Австралии (OAIC) ​​опубликовало руководство для компаний, собирающих личную информацию для отслеживания контактов. Вы можете получить доступ к этому руководству здесь. OAIC также опубликовала четкое руководство для организаций и агентств, связанных Законом о конфиденциальности, о том, как правильно собирать медицинскую информацию от сотрудников в ответ на COVID-19.

Правительства большинства штатов также опубликовали информацию и рекомендации по использованию QR-кодов для регистрации и отслеживания контактов, включая Квинсленд и Новый Южный Уэльс.

Читайте также: