Cum trebuie asigurată prelucrarea datelor personale în contextul pandemiei COVID-19?

La data de 19 martie 2020, Comitetul European pentru Protecția Datelor (CEPD) a adoptat o Declarație privind prelucrarea datelor cu caracter personal în contextul  COVID-19 care, în principal, vizează următoarele aspecte, ce trebuie avute în vedere de operatorii și procesatorii de date cu caracter personal (cu referire specială la angajatori):

 – măsurile de protecție împotriva pandemiei COVID-19, pot implica procesarea diferitelor tipuri de date cu caracter personal, inclusiv date privind starea de sănătate;

– normele legale privind protecția datelor personale nu împiedică măsurile luate în lupta împotriva COVID-19, însă operatorul si procesatorul datelor trebuie să  asigure protecția datelor cu caracter personal ale persoanelor vizate și  prelucrarea legală a acestor date;

– situația de urgență este o condiție legală care poate legitima restricțiile de libertate, cu condiția ca aceste restricții să fie proporționale și limitate la perioada de urgență. 

În cuprinsul acestei declarații, CEPD a formulat și opinii punctuale privind:

  1. Legitimitatea prelucrării

Regulamentul (UE) 679/2016 (RGPD) permite  autorităților competente de sănătate publică și angajatorilor să proceseze date cu caracter personal, în condițiile determinate de pandemie, în conformitate cu legislația națională și în condițiile prevăzute de aceasta.

Cu titlu de exemplu, se menționează că atunci când procesarea este necesară din motive de interes public pentru protecția sănătății publice, nu este necesar ca prelucrarea să se bazeze pe consimțământul persoanelor vizate.

În ceea ce privește măsurile de protecție ce sunt asigurate de către angajatori, prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unor obligații legale cum ar fi: obligații referitoare la sănătate și securitate la locul de muncă sau la interesul public, precum controlul bolilor și alte amenințări la adresa sănătății.

În ceea ce privește prelucrarea datelor de telecomunicații, cum ar fi datele privind locația, trebuie respectate și legile naționale care pun în aplicare Directiva privind confidențialitatea.

În ceea ce privește prelucrarea datelor privind locația, CEPD consideră că, în temeiul art. 15 din Directiva asupra Confidențialității si Comunicațiilor Electronice (Directiva 2002/58/CE), statele membre pot să introducă măsuri legislative pentru a proteja securitatea publică. Organismul European consideră că un astfel de acces are ca temei o legislație excepțională și este posibilă numai dacă constituie o măsură necesară, adecvată și proporțională în cadrul unei societăți democratice, urmând  a fi strict limitată în timp.

Remarcăm ca exemplu privind adoptarea unor astfel de măsuri, Germania și Austria, ca țări în care companiile de telecomunicații naționale, Telekom, respectiv A1 au acordat guvernului național acces la datele telefoanelor mobile ale clienților, în efortul de a urmări focarul COVID-19.

  1. Principiile de bază referitoare la prelucrarea datelor cu caracter personal

CEPD consideră că datele cu caracter personal necesare pentru atingerea obiectivelor  trebuie prelucrate în scopuri specificate și explicite, iar persoanele vizate trebuie să primească informații transparente despre activitățile de prelucrare, care se desfășoară și principalele lor caracteristici, inclusiv perioada de păstrare a datelor colectate și scopurile prelucrării.

Angajatorii urmează să documenteze în mod corespunzător toate măsurile puse în aplicare pentru gestionarea situațiilor de urgență și procesul de luare a deciziilor în acest sens.

Organismul european consideră că principiul proporționalității trebuie, de asemenea, respectat. Soluțiile cel mai puțin intrusive, trebuie să fie întotdeauna preferate, ținându-se cont de scopul specific care trebuie atins.

Cu referire expresă la raporturile specifice dreptului muncii, CEPD răspunde la o serie de întrebări  punctuale.

  • Un angajator poate solicita angajaților sau vizitatorilor să furnizeze informații specifice de sănătate, în contextul COVID-19?

Angajatorul trebuie să solicite informații despre sănătate numai în măsura în care legislația națională o permite, iar aplicarea principiului proporționalității și minimizării datelor este deosebit de relevantă.

  • Poate un angajator să dezvăluie că un angajat este infectat cu COVID-19 colegilor sau altor persoane din afara companiei ?

Angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui să comunice mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contractat virusul, cu respectarea legislației naționale aplicabile, angajații în cauză vor fi informați în avans, astfel încât  demnitatea și integritatea lor sa fie protejate.

  • Ce informații prelucrate în contextul COVID-19 pot fi obținute de către angajatori?

Angajatorii pot obține informații personale pentru a-și îndeplini obligațiile ce le revin, inclusiv obligația referitoare la sănătate și securitate la locul de muncă în conformitate cu legislația națională.

Organismul european consideră că trebuie garantată prelucrarea legală a datelor cu caracter personal și că, în toate cazurile, nu trebuie uitat că orice măsură luată în acest context trebuie să respecte principiile generale ale dreptului și nu trebuie să fie ireversibilă.

La nivel național, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din Romania a publicat pe site-ul instituției, la Secțiunea Știri,  un set de recomandări pentru operatorii de date cu caracter personal, în contextul pandemiei COVID-19.

Conform autorității române în domeniu, operatorii care prelucrează date personale vor avea în vedere următoarele:

  • prevederile art. 9 din RGPD care stabilesc condițiile in care pot fi prelucrate datele privind starea de sănătate;
  • prevederile art. 6 din RGPD care stabilesc condițiile de prelucrare ale altor date personale, decât cele cu caracter special;
  • prevederile art. 32 din RGPD care reglementează ”Securitatea prelucrării”;
  • prevederile art. 24 alin. (1) din RGPD care prevăd faptul că, operatorii trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a demonstra că prelucrarea se efectuează în conformitate cu Regulamentul.

În ceea ce privește dezvăluirea în spațiul public a numelui și stării de sănătate a unei persoane fizice, ANSPDCP subliniază că prelucrarea (dezvăluirea) acestor date se poate realiza cu consimțământul persoanei în cauză. În concluzie, putem afirma că, în acest context pandemic, se  naște dreptul fiecărei națiuni să participe la efortul de reducere a răspândirii coronavirusului, dar și obligația de a adopta și implementa orice fel de măsuri restrictive numai în condițiile în care  – în acord cu prevederile art. 23 alin (1) lit. e) din RGPD – respectă esența drepturilor şi libertăților fundamentale şi constituie măsură necesară şi proporțională într-o societate democratică.

https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_en

https://www.dataprotection.ro/?page=Prelucrarea_datelor_privind_starea_de_sanatate&lang=ro