În contextul răspândirii COVID-19, Andrea Jelinek, președintele European Data Protection Board într-o opinie recentă ne spune următoarele[1]: Normele de protecție a datelor (precum este GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Cu toate acestea, aș dori să subliniez faptul că, chiar și în aceste momente excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate. Prin urmare, trebuie luate în considerare o serie de aspecte pentru a garanta prelucrarea legală a datelor cu caracter personal.
Cuprins:
1. Poziționările autorităților naționale de supraveghere
1.1. RAPORTAREA PERMISIVĂ
1.2. RAPORTAREA NEUTRĂ
1.3. RAPORTAREA RESTRICTIVĂ
2. Poziționarea României
3. Poziționarea COMUNĂ
4. Obligațiile prevăzute de dreptul muncii
5. Soluții?
6. Concluzie
Într-adevăr, GDPR-ul oferă posibilitatea prelucrării datelor cu caracter personal și deci, anumite temeiuri legale pentru ca operatorii de date, în speță, autoritățile de sănătate publică, alte autorități ale statului implicate în lupta împotriva virusului dar și angajatori, fără a fi nevoie de consimțământul persoanei! Această situație este aplicabilă situației când prelucrarea datelor angajaților este necesară pentru servirea unui interes public sau pentru protejarea interesului vital al persoanei, sau pentru a te conforma cu o obligație legală – a se vedea art. 6 alin. (1) lit. c), d), e) și considerentul 46.
1. Pozițiile autorităților naționale de supraveghere
Pentru că nivelul de răspândire a virusului în rândul statelor europene este diferit, nivelul de infectare a populației este diferit, raportarea și măsurile luate de autorități sunt diferite. Astfel există o serie de state care, prin autorităține naționale de supraveghere și-au exprimat poziția referitor la prelucrarea datelor cu caracter personal[2]. Printre acestea se numără:
Cu toate acestea, practica nu este unitară iar pozițiile față de relația ANGAJATOR (OPERATOR) – ANGAJAT (persoană vizată) și prelucrarea datelor cu caracter personal în contextul COVID-19 diferă. În linii mari putem considera că există trei mari raportări[20]:
1.1. RAPORTAREA PERMISIVĂ – Prelucrările de date medicale – sensibile sunt acceptate din partea angajatorului precum:
- este justificată documentarea și transmiterea de date privitoare la coronavirus, simptome sau locația angajatului;
- se va avea în vedere dacă transmiterea a mai puține date atinge la fel de bine același scop.
- luarea temperaturii la locul de muncă;
- adresarea de întrebări referitoare la starea de sănătate
- redactarea de chestionare pentru a vedea istoricul deplasărilor, dacă angajatul vine dintr-o zonă roșie / cu risc de infecție, chestionare referitoare la infectarea membrilor de familie, la persoane cu care a avut contact, și permite transmiterea datelor către autorități interesate (serviciul de urgență)
Guvernul, autoritățile de sănătate publică și alți profesioniști pot trimite publicului mesaje pe telefon sau emailuri în vederea informării cu privire la situația de urgență.
1.2. RAPORTAREA NEUTRĂ – Permite prelucrări precum sunt cele de mai sus doar în contextul unei analize atente, astfel:
- Angajatorilor, de regulă nu este permisă transmiterea numelor angajaților infectați, întrucât ar putea conduce la stigmatizare socială;
- Excepție este cazul în care numele este absolut necesar pentru ca angajatorul să ia măsuri eficiente de protejare a angajaților;
- Principiul proporționalității trebuie mereu avut în vedere, astfel angajatorii pot prelucra date (chiar și cu caracter medical) ale angajaților și vizitatorilor pentru a vedea dacă au avut contact cu persoane infectate, au venit din zone cu risc ridicat doar cu privire la coronavirus;
- Imediat după terminarea pandemiei aceste date vor fi șterse;
- Angajații pot fi obligați să informeze angajatorul dacă suunt infectați cu virusul.
- Realizarea de la caz la caz a unei analize care va determina ce informații sunt necesare pentru a fi transmise, pentru protejarea intereselor vitale ale persoanei;
1.3. RAPORTAREA RESTRICTIVĂ – Această raportare poate fi caracterizată în felul următor:
- Evaluarea stării de sănătate trebuie realizată doar de către medicul competent să detecteze infecția, nicidecum de către angajator. Acest medic va informa angajatorul și autoritățile competente, cine dintre angajați a contactat virusul;
- Testarea sistematică și generalizată a stării de sănătate, precum luarea temperaturii angajaților zilnic, nu este o măsură proporțională în raport cu scopul prelucrării;
- Angajatorul nu poate obliga angajatul să completeze chestionare medicale sau alte chestionare referitoare la călătoriile avute.
- Angajatorul nu va putea divulga numele angajaților infectați cu coronavirus;
- Angajatorul va putea doar să informeze angajații că există cazuri de infecție în companie / instituție.
2. Poziționarea României
Cum arată lucrurile în România? Ca urmare a informării făcute de ANSPDCP la data de 18.03.2020, ce putem înțelege este că în contextul coronavirusului, există un temei legal al prelucrărilor de date care privesc medicina preventivă, stabilirea unui diagnostic medical, interesul vital al persoanei (fiind enunțate art. 6 și 9 lit. a), b), h), i) ).
Cu toate acestea, prelucrarea se va face sub REZERVA respectării unor condiții și garanții:
1. Datele cu caracter medical să fie prelucrate de către un profesionist, supus obligației de păstrare a secretului profesional (ex. medic) SAU de o altă persoană supusă unei obliații de confidențialitate;
2. Operatorul trebuie să facă informarea persoanei vizate cu privire la prelucrare, spre exemplu, pe website;
3. Operatorul trebuie să asigure măsuri de securitate;
4. Operatorul trebuie să ia măsuri tehnice și organizatorice prin care să poată demonstra că prelucrarea se efectuează conform GDPR!
Totodată, dezvăluirea în spațiul public, efectuată de operator, a numelui, a prenumelui, a stării de sănătate a unei persoane, angajat sau vizitator, ori altă persoană vizată, se poate face doar cu CONSIMȚĂMÂNTUL persoanei în cauză.
3. Poziționarea COMUNĂ
INDIFERENT de abordare, poziția COMUNĂ a autorităților de supraveghere este că, principiile generale ale GDPR trebuie respectate, astfel, vom respecta principiul:
- confidențialității, atunci când prelucrăm date ale persoanelor care este posibil să fie infectate de virus;
- asigurării securitatății datelor, pentru a nu fi divulgate sau distruse unor părți terțe care nu justifică un temei legal valid;
- prelucrării la minim a datelor, strict pentru a atinge scopul de a preveni, răspândi virusul sau contamina proprii angajați sau alte persoane vizate
- responsabilității, prin păstrarea unor evidențe privind deciziile luate referitor la prelucrarea datelor și a măsurilor tehnice și organizatorice luate în contextul pandemiei.
De asemenea, o a doua orientare comună este că legislația privind protecția datelor NU trebuie să reprezinte o barieră la sănătatea publică! Această poziție își are rădăcinile chiar în
Considerentul 46 al GDPR ,,… Prelucrarea este legală când scopul este asigurarea protecției unui interes essential persoanei vizate / pentru viața altei persone fizice. De exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare…”.
4. Obligațiile prevăzute de dreptul muncii
În practică, situația se complică mai mult, de la caz la caz, deoarece unii angajatori pot motiva luarea măsurilor care aduc atingere vieții private a angajaților, în baza obligațiilor impuse de dreptul muncii. Spre exemplu:
- Art. 178 alin. (1) Angajatorul răspunde de organizarea activităţii de asigurare a sănătăţii şi securităţii în muncă;
- Art. 177 alin. (1) În cadrul propriilor responsabilităţi angajatorul va lua măsurile necesare pentru protejarea securităţii şi sănătăţii salariaţilor;
- Art. 175 . alin. (1) Angajatorul are obligatia sa asigure securitatea și sănătatea salariaților în toate aspectele legate de muncă;
- Art. 180 . alin. (1) Angajatorul are obligaţia să organizeze instruirea angajaţilor săi în domeniul securităţii şi sănătăţii în muncă;
- Art. 39 alin. (1) lit. f) oferă angajatului dreptul la securitate și sănătate în muncă.
5. Soluții?
Astfel fiecare angajator se întreabă ce soluții poate găsi pentru a trece peste toată această situație, poate fi:
- Instruirea personalului ca transmiterea de date referitoare la virus să se facă direct către angajator sau autoritățile publice de sănătate
- Stabilirea de canale dedicate pentru a primi – trimite informații referitoare la coronavirus, infectarea angajaților, starea de sănătate;
- Lucrul de acasă, acolo unde este posibil, fiind cea mai utilizată dintre practicile existente.
Cert este că posibilitatea riscurile cu privire la prelucrările de date cu caracter personal sunt mult mai mari în această perioadă. De ce?
- Deoarece numărul prelucrărilor este nespus mai mare, chiar al prelucrării datelor sensibile (precum este starea de sănătate);
- Capacitatea de răspuns a operatorilor, la diverse situații cu risc ridicat la adresa datelor cu caracter personal, este foarte limitată întrucât resursele acestora se îndreaptă spre buna funcționare, redresarea economică și protecția sănătății angajaților;
- Interesul față de starea de sănătate a angajaților este foarte ridicat, pentru a putea fi luate măsuri urgente față de posibilele îmbolnăviri.
Între toate cele menționate, putem cădea de acord că datele cu caracter personal joacă un rol crucial în răspândirea virusului. Fiecare, atunci când ne aflăm în prezența altuia care tușește spre exemplu, ne întrebăm: De ce tușește? care îi e temperatura? De unde vine? A avut contact cu vreo persoană infectată? Pentru acestea este nevoie și de un răspuns, obținut în mod direct sau indirect, formal sau nu. Răspunsul constituie prelucrarea absolut esențială în ceea ce înseamnă soluționarea situației. Și astfel, căutăm soluții să obținem răspunsul. Cu toate acestea, nu orice prelucrare de date poate fi justificată în baza acestei situații. Este nevoie să găsim un echilibru între protecția sănătății publice și protecția vieții private!
6. Concluzie
În concluzie, scopul acestui articol este de a contura principalele poziționări ale autorităților de supraveghere din Europa, cu privire la răspândirea coronavirusului. Odată ce înțelegem poziționarea autorității naționale de supraveghere, noi, ca operatori de date, putem vedea care este limita prelucrărilor de date medicale, cum le putem gestiona și ce soluții putem găsi pentru a apăra atât sănătatea angajaților cât și viața lor privată.
Până în acest moment soluția nu poate fi una singură, iar vechea zicală ,,câte bordeie atâtea obiceie” ne arată că trebuie să găsim cea mai potrivită soluție pentru țara noastră și în mod specific pentru compania sau instituția în care lucrăm.
Pentru a vedea cum soluționați situația la locul dumneavoastră de muncă, vă invităm să ne împărtășiți experiența în cadrul comunității DPO.
- https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en ↑
- https://www.hldataprotection.com/files/2020/03/Coronavirus-and-Data-Protection-Guidance-by-DPAs-Hogan-Lovells-1.pdf ↑
- În franceză: https://www.autoriteprotectiondonnees.be/covid-19-et-traitement-de-donn%C3%A9es-%C3%A0-caract%C3%A8re-personnel-sur-le-lieu-de-travail ↑
- În daneză: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/mar/hvordan-er-det-med-gdpr-og-coronavirus/ ↑
- În franceză: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles ↑
- În germană: https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976Și https://www.baden-wuerttemberg.datenschutz.de/faq-corona/ ↑
- În engleză: https://www.dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19 ↑
- În italiană: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117 ↑
- În franceză: https://cnpd.public.lu/fr/actualites/national/2020/03/coronavirus.html ↑
- În engleză: https://ico.org.uk/for-organisations/data-protection-and-coronavirus/ ↑
- În norvegiană: https://www.datatilsynet.no/personvern-pa-ulike-omrader/korona/ ↑
- În olandeză: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/mijn-zieke-werknemer#mag-ik-mijn-werknemers-controleren-op-corona-7633 ↑
- În poloneză: https://uodo.gov.pl/pl/138/1456 ↑
- În română: https://www.dataprotection.ro/?page=Prelucrarea_datelor_privind_starea_de_sanatate&lang=ro ↑
- În rusă: http://rkn.gov.ru/news/rsoc/news72206.htm ↑
- În slovacă: https://dataprotection.gov.sk/uoou/sk/content/koronavirus-spracuvanie-osobnych-udajov-aktualizovane-1332020 ↑
- În slovenă: https://www.ip-rs.si/novice/odgovorno-ravnanje-vseh-je-kljucno-v-casu-virusne-krize-1170/ ↑
- În spaniolă: https://www.aepd.es/es/documento/2020-0017.pdf și https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID19.pdf ↑
- În suedeză: https://www.datainspektionen.se/nyheter/coronavirus-och-personuppgifter/ ↑
- https://www.hldataprotection.com/files/2020/03/Coronavirus-and-Data-Protection-Guidance-by-DPAs-Hogan-Lovells-1.pdf ↑
Comenteaza