GDPR și COVID-19: Sfaturi practice pentru companii

Întrucât evenimentele din ultima perioadă privind răspândirea și eforturile de diminuare a efectelor virusului COVID-19 au impact direct în activitatea companiilor din toate industriile, implementarea unor măsuri de urgență privind asigurarea securității și sănătății angajaților și colaboratorilor poate conduce la începerea unui proces decolectare și prelucrare acategoriilor speciale de date (cum sunt datele privind sănătatea), moment în care prevederile legislației privind prelucrarea datelor cu caracter personal trebuie aplicate și respectate.

Deși scenariul sus-menționat prezintă aspecte de noutate din punct de vedere faptic, obligațiile companiilor, în calitate de operatori de date rămân aceleași în ceea ce privește prelucrarea datelor cu caracter personal, respectiv conformarea cu principiile prevăzute de GDPR.

Articol realizat cu sprijinul Alexandrei Dunăreanu, avocat asociat Filip & Company și Georgianei Ghinescu, avocat asociat Filip & Company.

În acest context următoarele aspecte cu privire la modalitățile de prelucrare a datelor și de asigurare a conformității cu cerințele legislației aplicabile în materie trebuie avute în vedere cu prioritate de către operatori:

1. Pe ce temei juridic se poate baza prelucrarea datelor?

Citeste si:
Un singur caz de coronavirus a dus la anularea a sute de zboruri...
Sute de zboruri anulate pe un...

Având în vedere că în contextul virusului COVID-19 companiile urmăresc prelucrarea unor categorii speciale de date, precum datele privind sănătatea, acestea trebuie să se asigure că activitatea de prelucrare este conformă cu principiul legalității și respectă atât prevederile art. 6, precum si prevederile art. 9 din GDPR.

Alexandra Dunăreanu

La o primă vedere, activitatea de prelucrare a datelor ar putea fi întemeiată pe îndeplinirea unei obligații legale, însă acest raționament presupune o interpretare extensivă a prevederilor legislației sănătății și securității în muncă, potrivit cărora, angajatorul are obligația de a asigura securitatea și sănătatea angajaților în toate aspectele legate de muncă.

Citeste si:
Regulamentul european care le poate da politicienilor puterea de a...
Regulamentul european care le...

Totuși, având în vedere faptul că legislația menționată mai sus nu prevede în mod expres obligația angajatorilor de a face demersuri în a analiza și constată existența sau inexistența unei suspiciuni de boală, operatorii ar putea justifica un interes legitim pentru prelucrarea datelor angajaților. În acest caz, operatorii trebuie să procedeze la documentarea unei asemenea prelucrări prin realizarea unui test de echilibru (balancing test).

În ceea ce privește cerințele instituite de art. 9 din GDPR, se poate argumenta în mod rezonabil faptul că nu este necesară obținerea consimțământului persoanelor vizate, ci operatorii pot avea în vedere excepția prevăzută de alin. (2) lit. g) a acestui articol, potrivit căruia pot fi prelucrate date privind starea de sănătate atunci când prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.

2. Ce categorii de date pot fi prelucrate?

În activitatea de prelucrare operatorii trebuie să respecte și principiul reducerii la minimum a datelor. Astfel, se recomandă companiilor să nu prelucreze date concrete precum nivelul temperaturii persoanelor vizate sau locurile în care acestea au călătorit ori sa colecteze in mod sistematic si generalizat date privind starea de sănătate a persoanelor, ci să limiteze prelucrarea datelor in acest context la cele strict necesare pentru scopul de a asigura sănătatea si securitatea angajaților in aspectele legate de munca. În acest context, apreciem că ar fi oportun ca persoanei vizate să nu îi fie adresată o întrebare deschisă (i.e., să completeze destinațiile unde a călătorit), ci doar sa bifeze da/nu dacă a călătorit in zonele cu risc sau să exprime existența ori inexistența simptomelor specifice COVID-19, anume: temperatură, tuse, dificultăți respiratorii, stare de oboseală. In funcție de răspuns, persoana poate fi îndrumată sa consulte un medic si sa aplice masurile comunicate de autorități pentru aceasta situație.

Citeste si:
Noi modificări legislative privind Kurzarbeit
Noi modificări legislative...

Georgiana Ghinescu

Mai mult, la nivel internațional s-a propus ca recomandare înființarea unei linii telefonice special destinate notificării cazurilor COVID-19 care are drept scop asigurarea confidențialității, precum și a evitării unor posibile discriminări în rândul angajaților.

3. Cum se asigură transparența referitor la activitatea de prelucrare în raport cu persoanele vizate?

În cazul în care companiile decid implementarea unor măsuri care presupun prelucrarea datelor privind starea de sănătate a angajaților, acestea au obligația de a proceda la informarea prealabilă apersoanelor vizate cu privire la scopul prelucrării, categoriile de date prelucrate, precum și perioada de stocare a acestora. În acest sens, operatorii pot avea în vedere întocmirea unei note de informare speciale care să prevadă totalitatea detaliilor legate de prelucrarea datelor în contextul apariției virusului COVID-19.

4. Pe ce perioadă pot fi stocate datele?

În ceea ce privește stocarea datelor de sănătate prelucrate pentru împiedicarea răspândirii și a diminuării efectelor virusului COVID-19, operatorii vor avea în vedere stocarea acestora distinct de alte date ale angajaților colectate pentru alte scopuri (i.e., se va evita stocarea acestor date în dosarul de personal). De asemenea, operatorii trebuie să aibă în vedere asigurarea ștergerii datelor cu caracter personal colectate în perioada de criză după un anumit timp determinat, stabilit de operator cu respectarea principiului limitării legate de stocare prevăzut de GDPR. De exemplu, operatorul ar putea stabili păstrarea datelor pe o perioada rezonabila (cum ar fi 4-6 săptămâni) ulterior declarării de cătreautoritățile publice a faptului că România nu se mai aflăîn situație de criza, urmând ca apoi datele sa fie șterse).

5. Este necesară efectuarea unei evaluări a impactului asupra protecției datelor?

Având în vedere natura, contextul și scopurile de prelucrare a datelor cu caracter personal, posibilitatea necesitații efectuării unei evaluări a impactului asupra protecției datelor, astfel cum este prevăzut la art. 35 GDPR, nu poate fi exclusă.

În cazul în care prelucrările pe care operatorii intenționează să le desfășoare în contextul COVID-19 pot duce la declanșarea unui risc ridicat pentru drepturile și libertățile persoanelor vizate, atunci operatorii vor avea în vedere efectuarea unei astfel de evaluări, anterior începerii desfășurării activității de prelucrare urmărite.

Având în vedere cele de mai sus, operatorii trebuie să înțeleagă faptul că în efortul de diminuare a efectelor COVID-19 și a stării de urgență care a condus la desfășurarea unor activități noi de prelucrare, prevederile referitor la prelucrarea datelor cu caracter personal trebuie respectate în continuare pentru a maximiza rezultatele urmărite și a evita potențiale riscuri în această perioadă.

Sursa foto: shutterstock
Despre autor
Wall-Street.ro este un cotidian de business fondat în 2005, parte a grupului InternetCorp, unul dintre cei mai mari jucători din industria românească de publishing online. Pe parcursul celor peste 15 ani de prezență pe piața media, ne-am propus să fim o sursă de inspirație pentru mediul de business, dar și un canal de educație pentru pentru celelalte categorii de public interesate de zona economico-financiară. În plus, Wall-Street.ro are o experiență de 10 ani în organizarea de evenimente B2B, timp în care a susținut peste 100 de conferințe pe domenii precum Ecommerce, banking, retail, pharma&sănătate sau imobiliare. Astfel, am reușit să avem o acoperire completă - online și offline - pentru tot ce înseamnă business-ul de calitate.

Te-ar putea interesa și:


Mai multe articole din secțiunea Cariere »



Setari Cookie-uri