Articol realizat de Ecaterina Burlacu (foto stânga) și Georgiana Evi (foto dreapta), Senior Associates Clifford Chance Badea, pentru secțiunea Experții Future Banking, un spațiu virtual de dezbatere în care poți interacționa cu specialiști din diferite industrii și arii de practică. Îi poți întâlni și în offline pe 3-4 iunie la cel mai mare eveniment de FinTech și digital banking din România - Future Banking,

Ce fel de date cu caracter personal pot fi colectate și în ce manieră? Pot fi ele distribuite către alte companii din cadrul grupului sau cu entități din afara grupului, cum ar fi furnizorii de servicii și autoritățile?

Aceste întrebări apar în relația dintre angajator și angajat, dar și în relație cu alte părți interesate aflate în contact cu locul de muncă - clienți, contractanți și alți vizitatori.

Față de această situație de excepție, fiecare companie ar trebui să ia în considerare pregătirea și aplicarea unor politici dedicate, care să adreseze în mod corespunzător riscurile pe care le ridică întregul context, atât pentru companie și angajat, cât și pentru public, în general.

Astfel, companiile trebuie să aibă în vedere câteva aspecte:

Permite Regulamentul GDPR companiilor să colecteze date privind călătoriile și starea de sănătate a persoanelor pentru izolarea Coronavirusului (e.g. informații privind călătoriile recente, expunerea la persoane contaminate, simptome)?

În general, datele privind călătoriile pot fi colectate, în condițiile în care compania respectă principii esențiale precum transparența, legalitatea sau securitatea datelor. Prelucrarea datelor referitoare la sănătate este, ca regulă, interzisă, iar excepțiile de la regulă trebuie să respecte cerințele pe care le-am detaliat mai jos.

Fiind într-o situație excepțională, fiecare companie trebuie să acorde o atenție ridicată datelor pe care le prelucrează cu privire la angajați și alte persoane cu care aceștia intră în contact și, pentru a evita încălcări ale drepturilor la viața privată, este recomandat ca aceste prelucrări să se efectueze pe baza unui set de reguli clare, comunicate în organizație.

În contextul curent, într-un sens larg, se poate interpreta că toate datele care privesc călătoriile, interacțiunile sociale, expunerea la anumite medii sau la anumiți factori pot fi calificate ca date privind starea de sănătate. În toate cazurile, scopul prelucrării acestor informații este de a stabili starea de sănătate și potențialul risc pe care o persoană îl poate reprezenta pentru sănătatea altor persoane.

Astfel, cea mai prudentă abordare este de a trata prelucrarea acestor tipuri de date ca o prelucrare de date cu caracter special.

Cum se colectează în mod legal aceste date cu caracter personal conform prevederilor Regulamentului GDPR?

În vederea colectării datelor, compania trebuie să aibă în vedere:

  • Legalitatea: în primul rând, este necesară identificarea unei baze legale care legitimează prelucrarea acestor date. În contextul eforturilor de a preveni sau limita răspândirea unei epidemii, fie se identifică o obligație legală specifică, fie prelucrarea poate avea la bază interesul legitim – dacă compania prelucrează datele în baza obligației generale de a asigura securitatea și sănătatea în muncă - sau, după caz, se va avea în vedere protecția intereselor vitale ale persoanei vizate sau a celorlalte persoane, în măsura în care nu se identifică un alt temei al prelucrării. În situații specifice și limitate, și acordul poate să constituie un temei legal care să justifice o asemenea prelucrare.

  • Date speciale: GDPR definește în mod larg datele referitoare la sănătate ca reprezentând orice informație care se referă la sănătatea fizică sau psihică a unei persoane. Astfel, datele referitoare la sănătate nu acoperă doar date care în mod evident și direct se referă la starea de sănătate, dar și informații cu caracter mai general.

Potrivit GDPR, derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie permisă, în special în cazul în care se pune problema de supraveghere și alertă în materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile și a altor amenințări grave la adresa sănătății.

În mod ideal, autoritățile competente ar trebui să emită o serie de reguli, restricții și recomandări legate de prelucrarea de date cu caracter personal în această situație excepțională.

Deocamdată, Ministerul Muncii a emis o serie de recomandări în contextul epidemiei, potrivit cărora angajatorii au obligația de a monitoriza apariția oricărui caz confirmat de Coronavirus și de a implementa măsuri adecvate pentru a proteja angajații. Recomandările, deja implementate la nivelul unui număr semnificativ de companii, includ și dispunerea de către angajatori, în măsura posibilităților, a desfășurării muncii de la domiciliul angajatului.

  • Transparența: persoanelor ale căror date cu caracter personal sunt prelucrate trebuie să li se pună la dispoziție toate informațiile privind prelucrarea acestora înaintea sau, cel mai târziu, la data colectării. Astfel, fiecare companie care se angajează într-o astfel de prelucrare trebuie să aibă pregătită documentația potrivit cerințelor legale.

  • Evaluarea Impactului asupra Protecției Datelor (Data Protection Impact Assessment) (DPIA): având în vedere faptul că discutăm despre o prelucrare pe scară largă și de natură sensibilă – implicând o prelucrare de date speciale – este de analizat dacă este necesară și evaluarea impactului asupra protecției datelor conform Regulamentului GDPR și, în acest context, trebuie implementate și măsurile de protecție aferente.

  • Durata prelucrării și reținerea datelor: Esențial în această situație de excepție și având în vedere caracterul special al datelor este să se stabilească reguli clare privind durata prelucrării, reținerea datelor și, mai ales, ce se întâmplă cu aceste date când prelucrarea lor nu mai este necesară.

Fiecare companie trebuie să stabilească politici și măsuri interne în acest sens și este de așteptat să apară și cel puțin o serie de recomandări din partea autorităților competente.

Ce date cu caracter personal pot fi colectate?

Companiile ar trebui să colecteze doar datele cu caracter personal necesare pentru scopul asumat al prelucrării. În contextul dat, poate fi vorba despre colectarea informațiilor minim necesare pentru evaluarea riscului ca o persoană să fie purtătoare de Coronavirus sau să fi fost expusă la acest risc, și pentru luarea unor măsuri proporționale pentru diminuarea acestui risc. Astfel, dacă date precum prezența simptomelor Coronavirus, confirmarea că persoana respectivă a călătorit recent în „zone fierbinți”, contactul apropiat cu persoane care au fost recent în „zone fierbinți” și/ sau care prezintă simptome, reprezintă date care, în mod rezonabil pot fi considerate necesare; date precum identitatea persoanelor cu care persoana vizată a intrat în general în contact într-o anumită perioadă nu ar trebui să fie considerate necesare (cu excepția unor cazuri excepționale în care și aceste informații pot reprezenta un element într-o investigație a unei potențiale expuneri).

Nu avem, desigur, o listă de date care pot fi considerare ca fiind la acest moment necesare sau nu, o astfel de listă poate evolua în orice direcție, în funcție de evoluția contextului.

Cum trebuie colectate datele personale?

În ceea ce privește metoda de colectare a datelor, întotdeauna ar trebui să fie aleasă metoda cel mai puțin intruzivă. Acest lucru poate să însemne o abordare treptată, în funcție de riscuri, cum ar fi:

  1. Chestionare cu întrebări de tip DA / NU pentru a realiza o primă selecție a informațiilor. Verificați chestionarele pentru a vă asigura că sunt colectate doar informațiile solicitate. Pe baza rezultatelor inițiale, notificați persoanele care prezintă riscuri mari de contaminare cu privire la măsurile ce trebuie luate pentru a limita interacțiunile acestora la locul de muncă;

  2. Solicitați persoanelor care au furnizat chestionare incomplete sau incorect completate să confirme informațiile.

Chestionarele trebuie, așa cum anticipam mai sus, însoțite întotdeauna de o informare cu privire la prelucrarea de date.

De asemenea, anumite organizații și-au pus problema dacă ar putea implementa sau lua măsuri pentru impunerea unor teste/ analize medicale (e.g. verificarea temperaturii, analize de sânge). Astfel de măsuri ar ridica însă o serie de cu totul alte probleme din punctul de vedere al protecției datelor cu caracter personal (având în vedere caracterul lor intruziv), dar și din alte perspective (e.g. dreptul la integritatea corporală, confidențialitatea medic-pacient).

Permite Regulamentul GDPR companiilor să externalizeze colectarea și analizarea datelor cu caracter personal privind Coronavirus?

Externalizarea unor astfel de date ar trebui să se facă în condiții foarte restrictive, pentru a evita o diseminare de informații care poate să aducă atingere drepturilor persoanelor. Astfel, orice dezvăluire de informații către un terț trebuie să se facă numai cu respectarea regulilor GDPR, iar necesitatea transmiterii de date trebuie analizată cu atenție.

Poate o companie să împărtășească cu alte părți date cu caracter personal în contextul Coronavirus?

Da, dacă este absolut necesar (e.g. implicarea unui contractant sau a unei companii din cadrul grupului pentru a implementa măsuri suficiente de securitate și sănătate) sau obligatoriu (e.g. distribuirea informațiilor către autoritățile guvernamentale). În orice caz, o astfel de distribuire a datelor ar trebui să aibă loc în conformitate cu toate cerințele Regulamentului GDPR (e.g. stabilirea unei baze legale, informații privind persoanele vizate, minimizarea datelor, implementarea măsurilor de securitate, introducerea unor prevederi adecvate de protecție a datelor).

Sursa foto: FILEOPEN CREATION / Shutterstock.com