Deși scenariul sus-menționat prezintă aspecte de noutate din punct de vedere faptic, obligațiile companiilor, în calitate de operatori de date rămân aceleași în ceea ce privește prelucrarea datelor cu caracter personal, respectiv conformarea cu principiile prevăzute de GDPR.

Articol realizat cu sprijinul Alexandrei Dunăreanu, avocat asociat Filip & Company și Georgianei Ghinescu, avocat asociat Filip & Company.

În acest context următoarele aspecte cu privire la modalitățile de prelucrare a datelor și de asigurare a conformității cu cerințele legislației aplicabile în materie trebuie avute în vedere cu prioritate de către operatori:

1. Pe ce temei juridic se poate baza prelucrarea datelor?

Citeste si:
CORONAVIRUS Două treimi dintre pacienții din România sunt vindecați...
Două treimi dintre pacienții...

Având în vedere că în contextul virusului COVID-19 companiile urmăresc prelucrarea unor categorii speciale de date, precum datele privind sănătatea, acestea trebuie să se asigure că activitatea de prelucrare este conformă cu principiul legalității și respectă atât prevederile art. 6, precum si prevederile art. 9 din GDPR.

Alexandra Dunăreanu

La o primă vedere, activitatea de prelucrare a datelor ar putea fi întemeiată pe îndeplinirea unei obligații legale, însă acest raționament presupune o interpretare extensivă a prevederilor legislației sănătății și securității în muncă, potrivit cărora, angajatorul are obligația de a asigura securitatea și sănătatea angajaților în toate aspectele legate de muncă.

Citeste si:
10 recomandari la doi ani de la implementare normelor GDPR
10 recomandari la doi ani de...

Totuși, având în vedere faptul că legislația menționată mai sus nu prevede în mod expres obligația angajatorilor de a face demersuri în a analiza și constată existența sau inexistența unei suspiciuni de boală, operatorii ar putea justifica un interes legitim pentru prelucrarea datelor angajaților. În acest caz, operatorii trebuie să procedeze la documentarea unei asemenea prelucrări prin realizarea unui test de echilibru (balancing test).

În ceea ce privește cerințele instituite de art. 9 din GDPR, se poate argumenta în mod rezonabil faptul că nu este necesară obținerea consimțământului persoanelor vizate, ci operatorii pot avea în vedere excepția prevăzută de alin. (2) lit. g) a acestui articol, potrivit căruia pot fi prelucrate date privind starea de sănătate atunci când prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.

2. Ce categorii de date pot fi prelucrate?

În activitatea de prelucrare operatorii trebuie să respecte și principiul reducerii la minimum a datelor. Astfel, se recomandă companiilor să nu prelucreze date concrete precum nivelul temperaturii persoanelor vizate sau locurile în care acestea au călătorit ori sa colecteze in mod sistematic si generalizat date privind starea de sănătate a persoanelor, ci să limiteze prelucrarea datelor in acest context la cele strict necesare pentru scopul de a asigura sănătatea si securitatea angajaților in aspectele legate de munca. În acest context, apreciem că ar fi oportun ca persoanei vizate să nu îi fie adresată o întrebare deschisă (i.e., să completeze destinațiile unde a călătorit), ci doar sa bifeze da/nu dacă a călătorit in zonele cu risc sau să exprime existența ori inexistența simptomelor specifice COVID-19, anume: temperatură, tuse, dificultăți respiratorii, stare de oboseală. In funcție de răspuns, persoana poate fi îndrumată sa consulte un medic si sa aplice masurile comunicate de autorități pentru aceasta situație.

Citeste si:
România, cea mai ”generoasă” țară europeană la amânarea creditelor?
România, cea mai ”generoasă”...

Georgiana Ghinescu

Mai mult, la nivel internațional s-a propus ca recomandare înființarea unei linii telefonice special destinate notificării cazurilor COVID-19 care are drept scop asigurarea confidențialității, precum și a evitării unor posibile discriminări în rândul angajaților.

3. Cum se asigură transparența referitor la activitatea de prelucrare în raport cu persoanele vizate?

În cazul în care companiile decid implementarea unor măsuri care presupun prelucrarea datelor privind starea de sănătate a angajaților, acestea au obligația de a proceda la informarea prealabilă apersoanelor vizate cu privire la scopul prelucrării, categoriile de date prelucrate, precum și perioada de stocare a acestora. În acest sens, operatorii pot avea în vedere întocmirea unei note de informare speciale care să prevadă totalitatea detaliilor legate de prelucrarea datelor în contextul apariției virusului COVID-19.

4. Pe ce perioadă pot fi stocate datele?

În ceea ce privește stocarea datelor de sănătate prelucrate pentru împiedicarea răspândirii și a diminuării efectelor virusului COVID-19, operatorii vor avea în vedere stocarea acestora distinct de alte date ale angajaților colectate pentru alte scopuri (i.e., se va evita stocarea acestor date în dosarul de personal). De asemenea, operatorii trebuie să aibă în vedere asigurarea ștergerii datelor cu caracter personal colectate în perioada de criză după un anumit timp determinat, stabilit de operator cu respectarea principiului limitării legate de stocare prevăzut de GDPR. De exemplu, operatorul ar putea stabili păstrarea datelor pe o perioada rezonabila (cum ar fi 4-6 săptămâni) ulterior declarării de cătreautoritățile publice a faptului că România nu se mai aflăîn situație de criza, urmând ca apoi datele sa fie șterse).

5. Este necesară efectuarea unei evaluări a impactului asupra protecției datelor?

Având în vedere natura, contextul și scopurile de prelucrare a datelor cu caracter personal, posibilitatea necesitații efectuării unei evaluări a impactului asupra protecției datelor, astfel cum este prevăzut la art. 35 GDPR, nu poate fi exclusă.

În cazul în care prelucrările pe care operatorii intenționează să le desfășoare în contextul COVID-19 pot duce la declanșarea unui risc ridicat pentru drepturile și libertățile persoanelor vizate, atunci operatorii vor avea în vedere efectuarea unei astfel de evaluări, anterior începerii desfășurării activității de prelucrare urmărite.

Având în vedere cele de mai sus, operatorii trebuie să înțeleagă faptul că în efortul de diminuare a efectelor COVID-19 și a stării de urgență care a condus la desfășurarea unor activități noi de prelucrare, prevederile referitor la prelucrarea datelor cu caracter personal trebuie respectate în continuare pentru a maximiza rezultatele urmărite și a evita potențiale riscuri în această perioadă.

Sursa foto: shutterstock