ANSPDCP: Prelucrarea datelor în contextul pandemiei de coronavirus
Article

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), a publicat astăzi un comunicat în contextul pandemiei de coronavirus, precum și a declarării stării de urgență, în ceea ce privește prelucrarea datelor privind starea de sănătate. (vezi aici comunicatul).

 

Vă reamintim ca datele privind starea de sănătate se numără printre categorii speciale de date cu caracter personal a căror prelucrare poate fi realizata doar în scopurile definite la articolul 9 din GDPR. 

 Astfel, autoritatea ne reaminteste ca prelucrarea datelor de sanatate se poate realiza:

  • În scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale
  • Când prelucrarea este necesară în scopuri legate de medicina preventivă (...), de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală
  • Prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice
  • Când persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date

 Observația autorități este că, deși ne aflăm într-o situație excepțională, obligația de a informa persoanele vizate (angajați, vizitatori) cu privire la orice prelucrare de date a rămas neschimbată. Prin urmare, fiți transparenti în ceea ce privește prelucrarea datelor sensibile, într-un mod clar și simplu, care sa fie ușor accesibilă, care poate fi realizată prin comunicarea acestor aspecte inclusiv pe site-ul companiei.

 Autoritatea a ținut să sublinieze faptul că dezvăluirea în spațiul public a numelui și stării de sănătate a unei persoane fizice NU poate fi realizată decât cu consimțământul persoanei în cauză

Cu alte cuvinte, dacă un angajat prezintă simptome de coronavirus nu avem dreptul sa notificam printr-un e-mail întreaga firma, ci vom notifica doar persoana responsabilă cu gestionarea situației de criză din cadrul companiei.

Considerând faptul ca multe business-uri au migrat pe cat posibil în munca de acasa, autoritatea ne atrage atenția că avem în continuare obligația de a dispune ”măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător!. Asta înseamnă ca avem obligația de a ne asigura ca datele pe care angajații le vor prelucra de acasă vor fi în siguranță. 

Aveți aici o serie de resurse care vă vor fi extrem de utile în gestionarea activității de la distanta: https://techagainstcoronavirus.com

 Conform autoritatii, derogări de la prevederile GDPR pot fi introduse atunci cand şi constituie o măsură necesară şi proporţională într-o societate democratică domeniul sănătăţii publice şi al securităţii sociale, însă printre măsurile dispuse până acum de către autoritati nu am identificat aspecte care sa privească operatorii din mediul privat. Dacă apar modificări, vi le vom comunica grabnic.

 În comunicat, autoritatea a menționat și Declarația președintelui EDPB privind prelucrarea datelor cu caracter personal în contextul COVID-19, așa ca am sperat că acolo vom găsi mai multe răspunsuri.

EDPB atrage atenția că GDPR-ul nu este o piedică în lupta împotriva pandemiei coronavirusului însă au ținut sa atraga sublinieze că ”și în aceste momente excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate”.

Cu toate acestea, ”GDPR prevede motivele legale pentru a permite angajatorilor și autorităților de sănătate publică competente să proceseze datele cu caracter personal în contextul epidemiilor, fără a fi necesară obținerea consimțământului persoanei vizate.”

Ce decizii au luat autoritățile de supraveghere ale altor tari?

Paul Voigt și Wiebke Reuter, de la Taylor Wessing LLP, oferă o prezentare generală preliminară a declarațiilor și a pozițiilor grosiere ale autorităților de supraveghere cu privire protecția datelor în plina pandemie de Coronavirus. (Vezi aici articolul).

 

Țară (prezentarea autorității de protecție a datelor locala)

Poate angajatorul să colecteze date referitoare la călătorii de la angajați?

Poate angajatorul să colecteze date despre simptomele Coronavirus de la angajați?

Poate angajatorul să colecteze date despre contaminarea cu Coronavirus de la angajați?

Poate angajatul să dezvăluie date despre o persoană infectată din cadrul companiei?

Belgia

Nu.

Nu

Nu

Identitatea nu trebuie dezvăluită; poate fi dezvăluit faptul că există un caz Coronavirus în companie.

Denmarca.

Da

Da, cu toate acestea, limitat la domeniul de aplicare necesar; pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Da, pot fi necesare informații prealabile cu privire la scopul și amploarea procesării datelor.

Numai dacă informațiile sunt necesare pentru măsuri preventive (de exemplu, în ceea ce privește persoanele care au avut contact personal cu cineva infectat cu Coronavirus). Informațiile care fac posibilă identificarea nu trebuie dezvăluite.

Finlanda

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Identitatea nu trebuie dezvăluită; poate fi dezvăluit faptul că există un caz Coronavirus în companie.

Franta

Da

Nu, asta e responsabilitatea autorităților sanitare.

Da, pot fi necesare informații prealabile privind scopul și amploarea prelucrării datelor.

Da, cu toate acestea, prelucrarea datelor trebuie limitată la domeniul de aplicare necesar.

Germania.

Da

Poate fi justificat în cazuri individuale; pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Numai dacă informațiile sunt necesare pentru măsuri preventive (de exemplu, în ceea ce privește persoanele care au avut contact personal cu cineva infectat cu Coronavirus).

Ungaria

Nu,  în mod excepțional, chestionarele pot fi utilizate în cazul în care angajatorul are motive să creadă că un angajat ar putea fi infectat cu Coronavirus.

Poate fi justificată în cazuri individuale; pot fi necesare informații prealabile cu privire la scopul și amploarea prelucrării datelor.

Dacă angajatorul are motive să creadă că un angajat este infectat cu Coronavirus, poate colecta informații despre rezultatul unui test Coronavirus; alte date de sănătate nu pot fi procesate.

Nu se aplică.

Islanda

Da

Da, pot fi necesare informații prealabile cu privire la scopul și amploarea prelucrării datelor.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Numai dacă informațiile sunt necesare pentru măsuri preventive (de exemplu, în ceea ce privește persoanele care au avut contact personal cu cineva infectat cu Coronavirus).

Irlanda

Angajatorul poate solicita angajaților să notifice dacă au călătorit în zone considerate riscante. Chestionarele pot fi utilizate numai în cazul unui risc crescut.

Angajatorul poate solicita angajaților să raporteze simptomele. Chestionarele pot fi utilizate numai în cazul unui risc crescut.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Identitatea nu trebuie dezvăluită; faptul că există un caz de Coronavirus în cadrul societății poate fi dezvăluit în măsura în care este necesar pentru capacitatea autorităților de sănătate de a-și desfășura activitatea.

Italia.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Numai dacă informațiile sunt necesare pentru măsuri preventive (de exemplu, în ceea ce privește persoanele care au avut contact personal cu cineva infectat cu Coronavirus).

Lituania.

Da

Da, pot fi necesare informații prealabile cu privire la scopul și amploarea prelucrării datelor.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Identitatea nu trebuie dezvăluită; faptul că există un caz de Coronavirus în cadrul companiei poate fi dezvăluit.

Luxemburg

Da

Nu, sunt interzise prelucrarea sistematică (de exemplu, chestionare) sau cereri individuale.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Identitatea nu trebuie dezvăluită; poate fi dezvăluit faptul că există un caz Coronavirus în companie.

Olanda

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Nu, cu excepția cazului în care angajatul a furnizat informațiile în mod voluntar.

Identitatea nu trebuie dezvăluită; poate fi dezvăluit faptul că există un caz Coronavirus în companie.

Norvegia

Da, angajații pot pune întrebări legate de Coronavirus.

Da, angajații pot pune întrebări legate de Coronavirus; pot fi necesare informații prealabile cu privire la scopul și amploarea prelucrării datelor.

Da, angajații pot pune întrebări legate de Coronavirus; pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Numai dacă divulgarea este necesară pentru a asigura „un mediu de lucru sigur”; divulgarea către terți nu este permisă.

Polonia

Da

Da, pot fi necesare informații prealabile privind scopul și amploarea prelucrării datelor.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Nu se aplică.

Spania

Da

Numai în cazul în care nu pot fi luate alte măsuri (cum ar fi work from home) pot fi luate  în considerare.

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Numai dacă informațiile sunt necesare pentru măsuri preventive (de exemplu, în ceea ce privește persoanele care au avut contact personal cu cineva infectat cu Coronavirus).

UK.

Da

Poate fi justificată în cazuri individuale; pot fi necesare  informații prealabile privind scopul și amploarea prelucrării datelor 

Da, pot fi necesare informații prealabile cu privire la scopul și întinderea prelucrării datelor.

Numai dacă informațiile sunt necesare pentru măsuri preventive (de exemplu, în ceea ce privește persoanele care au avut contact personal cu cineva infectat cu Coronavirus).

Concluzii

Analizând datele din tabel, este evident că nu exista o practică unitară la nivelul autorităților de supraveghere. 

În aceste condiții, este responsabilitatea fiecărui angajator, ca in funcție de contextul național si al industriei in care activează, sa ia  măsurile necesare și adecvate pentru a proteja sanatatea angajatilor, asigurându-se totodată ca acestea nu sunt disproporționate față de scopul declarat, în raport cu esenţa drepturilor şi libertăţilor fundamentale.

Orice măsuri dispuneți, care implica prelucrări de date personale, prezentati-le într-un mod transparent și asigurați-vă că acele date sunt și vor ramane confidentiale, cu excepția cazului în care acestea sunt solicitate de instituțiile statului care au atribuții în gestionare a stării de urgență.

Încercați în pe cat posibil ca datele privind sanatatea sa fie gestionata de un profesionist din domeniu care are capacitatea sa le evalueze și care are obligaţia legală de a păstra secretul profesional. Trebuie sa va asigurati ca orice alta persoana care va avea acces la aceste date a semnat un acord de confidentialitate în acest sens

Oferiți angajaților un canal prin care acestea să poată raporta situații care pot reprezenta un risc pentru ceilalți angajați și implicit care pun în pericol întreaga activitate a societății.

 

Mai multe informatii despre cum puteti gestiona pandemia si instrumente suport in gestionarea coronavirus gasiti AICI.

Stay safe and productive!

Decalex
Author: DECALEX
Share:

PUNE O INTREBARE