Hkrati je v trenutni situaciji skoraj neizogiben trenutek, ko bo v določeni organizaciji potrebno zbiranje določenih podatkov, ki se bodo uvrstili med zdravstvene podatke. Ob tem gre izpostaviti, da zdravstveni podatki niso zgolj ozko podatki o zdravstvenem stanju (na primer simptomi), temveč tudi drugi povezani podatki (na primer že sam podatek, da bo oziroma je oseba na bolniški). Ker gre za pomembno vprašanje, je dne 19. 3. 2020 Evropski odbor za varstvo podatkov podal izjavo, v kateri je navedel, da je mogoče v trenutni situaciji najti podlage za obdelavo osebnih podatkov vezanih na zdravstveno stanje zaposlenih brez pridobivanja soglasja zaposlenega, v zvezi z deljenjem teh podatkov z ostalimi zaposlenimi pa med drugim izpostavil:
»Delodajalci morajo obveščati zaposlene o primerih COVID-19 in sprejeti zaščitne ukrepe, vendar ne smejo sporočiti več informacij, kot je potrebno. V primerih, ko je treba razkriti ime zaposlenega, ki se je okužil z virusom (npr. iz preventivnih razlogov) in ko nacionalna zakonodaja to dovoljuje, je treba zadevne zaposlene vnaprej obvestiti in zaščititi njihovo dostojanstvo in integriteto.«
Nacionalna zakonodaja v Sloveniji še vedno ni prilagojena Splošni uredbi o varstvu podatkov (GDPR), kljub temu pa se na eni strani GDPR uporablja neposredno, na drugi strani pa imamo tudi številne področne zakone, ki se (vsaj v določeni meri ali posredno), dotikajo tudi vprašanj s področja varstva osebnih podatkov na delovnem mestu. Tako na primer Zakon o varnosti in zdravju pri delu (ZVZD-1) med drugim kot eno osnovnih obveznosti tako delavca kot delodajalca predpisuje obveznost varovanja življenja in zdravja sebe in drugih delavcev. Smiselno enako za delavca obveznost določa tudi 35. člen Zakona o delovnih razmerjih (ZDR-1), za delodajalca pa 45. člen ZDR-1. Te obveznosti bi lahko (odvisno od primera) bile tudi podlaga za obdelavo osebnih podatkov povezanih z zdravjem, saj v okvir zagotavljanja zdravja ostalih delavcev nedvomno sodi tudi informacija o tem, ali so le-ti bili v stiku z osebo, ki je okužena z nevarnim virusom.
GDPR že v uvodnih določbah med drugim določa, da je obdelava posebnih vrst osebnih podatkov lahko potrebna iz razlogov javnega interesa na področju javnega zdravja brez privolitve posameznika, na katerega se nanašajo osebni podatki. Za takšno obdelavo bi morali veljati ustrezni in posebni ukrepi za zaščito pravic in svoboščin posameznikov (recital (54) preambule GDPR). Recital 46 preambule GDPR izrecno predvideva tudi nastanek epidemije, in določa, da bi se morala obdelava osebnih podatkov šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se osebni podatki nanašajo ali za življenje tretje osebe. Pri tem izpostavlja, da vrste obdelave lahko služijo tako pomembnim razlogom v javnem interesu kot življenjskim interesom posameznika, na katerega se nanašajo osebni podatki, na primer kadar je obdelava potrebna v humanitarne namene, tudi za spremljanje epidemij in njihovega širjenja ali v izrednih humanitarnih razmerah, zlasti pri naravnih nesrečah in nesrečah, ki jih povzroči človek.
Podlago za obdelavo določenih, tudi posebnih vrst, osebnih podatkov zaposlenih je torej moč najti tako v GDPR kot v nacionalni zakonodaji (zlasti v členih 9(2)(b) in 9 (2)(c) GDPR), vendar pa je potrebno v vsaki konkretni situaciji presoditi in oceniti, ali pravna podlaga obstaja in katere podatke lahko na tej podlagi obdelujemo. Pri tem so relevantne tudi zlasti naslednje točke:
o Posameznike je o takšni obdelavi potrebno obvestiti in po potrebi posodobiti obvestilo o varstvu zasebnosti za zaposlene
o Zagotoviti je potrebno ustrezne in še posebej stroge in učinkovite varnostne ukrepe za zavarovanje osebnih podatkov
o Vse uvedene ukrepe je potrebno dokumentirati
o Strogo je potrebno upoštevati načeli proporcionalnosti in minimizacije
o Dostop do osebnih podatkov je potrebno omejiti na le tiste osebe, ki jih nujno potrebujejo
o V kolikor se zaposleni seznanijo s temi osebnimi podatki, jih je potrebno opozoriti, da le-teh ne smejo deliti z ostalimi
Ob vsem skupaj ni odveč opozoriti tudi na to, da seveda tako pridobljenih osebnih podatkov delodajalec ne sme uporabiti še za kakšen drug namen.