Aspecte introductive
Cu o răspândire din ce în ce mai mare a COVID-19, societățile se confruntă cu provocări complexe în activitatea lor de zi cu zi. Pentru evitarea riscului de infecție în cadrul forței de muncă, protejarea angajaților și activitatea lor, societățile au luat în considerare mai multe abordări, inclusiv o monitorizare activă a angajaților (starea lor de sănătate, planurile de călătorie sau de întâlnire în sau în afara locului de muncă și posibilul lor contact cu persoanele infectate în afara locului de muncă), dar și a contractanților sau vizitatorilor care intră în spațiul lor. Implicațiile unei astfel de monitorizări și diseminarea datelor sensibile din perspectiva confidențialității datelor sunt abordate pe scurt în cele ce urmează. Această secțiune de confidențialitate trebuie citită în concordanță cu secțiunea de dreptul muncii a acestui set de instrumente, care conține informații complementare.
În aceste momente grele, când statele își închid frontierele și declară stare de urgență, când anumite activități sunt limitate sau închise prin lege, acțiunile care ar fi putut fi respinse în alte circumstanțe pot deveni cea mai bună alegere. Prin urmare, pledăm pentru luarea în considerare a bunului mai mare, considerarea obligațiilor legale de a respecta măsurile pentru prevenirea sau controlul bolilor infecțioase (în caz de nerespectare de către persoane juridice sau fizice deopotrivă, fiind incriminat conform Codului Penal Român), scopuri care înlocuiesc interesele sau drepturile și libertățile fundamentale ale persoanelor fizice ale căror date sunt prelucrate.
28 noiembrie - Profit Financial.forum
Întrebări & răspunsuri relevante din perspectiva confidențialității
1. Îmi este permis să monitorizez în mod activ starea de sănătate a angajaților și a vizitatorilor care intră în spațiu?
DA. Orice colectare activă de date (cum ar fi temperatura corpului și informații despre modelele de călătorie și posibile întâlniri cu persoane infectate) de la angajații/vizitatorii care intră în spațiu este permisă, cu condiția ca această colectare de date să se bazeze pe o condiție valabilă potrivit RGPD (art. 6 lit. d. și art. 9 (2) literele b., h. și i) și este limitată la ceea ce este necesar (de exemplu, angajatorul nu trebuie să solicite informații despre istoricul medical al persoanei vizate sau orice documentație medicală).Vă rugăm să rețineți că (a) angajații au obligația generală de a informa imediat angajatorul cu privire la orice circumstanțe care cred că sunt un pericol pentru sănătatea și siguranța la locul de muncă (risc de/ infectare confirmată cu COVID-19) și (b) angajatorii trebuie să anunțe autoritățile medicale, și anume Direcția de Sănătate Publică (DSP) în cazul unei infecții confirmate cu COVID-19 printre forța sa de muncă [a se vedea șisecțiunea de dreptul muncii a acestui set de instrumente].
2. Există vreo derogare de la prelucrarea datelor de sănătate recomandată de RGPD?
DA.
Preambulul (52) din RGPD prevede că “Derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru și ar trebui să facă obiectul unor garanții adecvate, astfel încât să fie protejate datele cu caracter personal și alte drepturi fundamentale, atunci când acest lucru se justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter personal în domeniul legislației privind ocuparea forței de muncă, protecția socială, inclusiv pensiile, precum și în scopuri de securitate, supraveghere și alertă în materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile și a altor amenințări grave la adresa sănătății. Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică și gestionarea serviciilor de asistență medicală, în special în vederea asigurării calității și eficienței din punctul de vedere al costurilor ale procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisă, printr-o derogare, atunci când este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție, indiferent dacă are loc în cadrul unei proceduri în fața unei instanțe sau în cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.”
Articolul 23 (1) litera e) din RGPD prevede că „Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a asigura: […]alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale.”
3. Cum pot monitoriza starea de sănătate din punct de vedere practic?
Pentru angajați:
- screening-ul temperaturii la intrarea în spațiu;
- controale medicale efectuate sau supravegheate de medicul de medicina muncii;
- oferiți opțiuni de muncă la distanță;
- asigurați dezinfectarea completă a tuturor zonelor dacă luați cunoștință de orice persoane suspecte de sau infectate cu COVID-19 confirmate care au intrat în spațiu și solicitați tuturor membrilor forței de muncă care au intrat în contact (direct sau indirect) cu persoana infectată să se autoizoleze;
- implementați proceduri și politici pentru reducerea riscului de infecție la locul de muncă (e.g., un plan de intervenție în caz de urgență care evidențiază măsurile care trebuie luate de personalul societății pentru a asigura prevenirea și controlul posibilelor cazuri de COVID-19 în rândul angajaților, contractanților, vizitatorilor și familiilor acestora, proceduri clare de autoizolare în caz de contaminare etc.); în cazul în care o astfel de procedură este pusă în aplicare, recomandăm notificarea oficială a acesteia comitetului de securitate și sănătate în muncă, în conformitate cu art. 71 din Normele de aplicare a Legii nr. 319/2006 privind securitatea și sănătatea în muncă;
Pentru vizitatorii care intră în spațiu:
- screening-ul temperaturii la intrarea în spațiu,
- chestionar/ lista de verificare pentru autoevaluare pentru a evalua expunerea potențială la virus și, prin urmare, riscul potențial al accesului în spațiu.
4. Pot dezvălui date personale și cui?
Ca regulă generală, întrucât avem în vedere date sensibile (date despre sănătate), evităm dezvăluirea publică sau ca identitatea persoanei infectate să fie accesibilă altor persoane decât:
- personalul, în măsura în care trebuie să le cunoască; o declarație generală în cazul unei infecții confirmate cu COVID-19 în cadrul forței de muncă (evitarea dezvăluirii identității angajatului) poate fi luată în calcul la locul de muncă, dacă nu este susceptibilă de a preveni lupta împotriva bolilor/răspândirea bolii. Cu toate acestea, prevenirea și lupta împotriva bolii/răspândirii acesteia implică o obligație de a investiga și identifica toate persoanele care au fost în contact direct sau indirect cu angajatul care este sau poate fi infectat cu COVID-19.
- împuterniciții autorizați pentru sau instruiți de societate în vederea prelucrării datelor cu caracter personal (e.g., compania de securitate care gestionează accesul în spațiu) pe baza urmăririi scopului specific;
- societățile afiliate și asociații (schimbul de informații în cadrul aceluiași grup de întreprinderi), numai dacă este justificat de un interes legitim care înlocuiește interesul și drepturile persoanelor în cauză (test de echilibrare care trebuie dat în acest caz particular de divulgare);
- obligații de raportare în conformitate cu legile și reglementările locale către autoritățile publice care acționează în calitatea lor instituțională.
5. Ce trebuie să iau în calcul când pun în aplicare orice măsuri de monitorizare?
- Autoritățile în materie de confidențialitate recomandă în general societăților să ia în considerare:
- dacă există un motiv întemeiat pentru a colecta sau dezvălui datele cu caracter personal în cauză;
- dacă datele cu caracter personal specifice sunt necesare, inclusiv dacă scopul angajatorului poate fi atins prin colectarea a puține date;
- dacă este necesar să se spună nume – e.g. numele persoanei infectate sau în carantină.
6. Ce trebuie să iau în calcul din punct de vedere al confidențialității datelor?
- Următoarele recomandări pot fi făcute în context:
- asigurați informarea adecvată a persoanelor vizate (conform art. 13 din RGPD) – atât pentru angajații cât și pentru vizitatorii care intră în spații cu privire la orice chestionare de evaluare sau verificări de sănătate (e.g., screening-ul de temperatură al angajaților și vizitatorilor care intră în spațiu) pe care societatea intenționează să le implementeze;
- evitați colectarea sau păstrarea de date excesive, în special datele de sănătate (e.g., nu trebuie înregistrate sau arhivate înregistrări din memoria scanerului termic);
- luați în considerare implicarea potențială a unui medic de medicina muncii pentru efectuarea controalelor de sănătate;
- luați în considerare actualizarea planului de prevenire și protecție al societății [vezi secțiunea dreptul muncii pentru detalii suplimentare].
7. Există un termen de retenție pentru orice chestionare sau înregistrări ale vizitatorilor/angajaților în contextul COVID-19?
NU. Perioada de retenție a chestionarelor sau a altor înregistrări aferente este stabilită de la caz la caz de fiecare operator de date, cu condiția ca datele să nu fie păstrate mai mult decât este necesar, având în vedere scopul de prelucrare pentru care au fost colectate datele. Vă recomandăm să setați perioade scurte de retenție (până la 60 de zile), care să fie prelungite în toate cazurile în care datele ar putea fi necesare pentru investigații epidemiologice/comunicarea cu Direcția de Sănătate Publică (DSP).
8. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis orientări în contextul COVID-19?
DA. Orientări specifice privind protecția datelor în cazul COVID-19 au fost emise la data de 18 martie 2020 de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și sunt disponibile aici.
Având în vedere dezvoltările, poziția oficială trebuie verificată constant, aici.
9. Există excepții de la regulile și obligațiile de confidențialitate în contextul COVID-19?
NU. Toate obligațiile care se supun reglementărilor de confidențialitate trebuie respectate de operatori și persoanele împuternicite de operatori deopotrivă (notificarea încălcărilor securității datelor, exercitarea drepturilor persoanelor vizate și implementarea de măsuri tehnice și organizatorice adecvate pentru toate activitățile de procesare în contextul COVID-19).În ceea ce privește investigațiile, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nu a dat declarații cu privire la suspendarea activităților sale, prin urmare, vom presupune că activitățile de investigare vor continua, cu anumite limitări (limitând prezența echipelor de investigație la sediul societăților, cu accent pe solicitarea documentelor și informațiilor în format electronic, metodă care a fost utilizată și anterior de autoritate).
Notă: Această analiză este bazată pe prevederile legale în vigoare la 19 martie 2020, fiind supusă oricăror modificări impuse de reglementări viitoare.
Un material Legal Marketing