COVID-19: curiozități legate de prelucrarea datelor personale și sfaturi utile în contextul reîntoarcerii la muncă
9 minute • Luana Musi • 04 iunie 2020
Deși ne aflăm în plină starea de alertă și multe afaceri abia reușesc să se mențină pe linia de plutire, Regulamentul General Privind Protecția Datelor (GDPR) din 2018 se aplică în continuare. Iar acum, pentru că se mai relaxează și măsurile, e posibil să avem nevoie de acest regulament mai mult ca niciodată, mai ales că se întoarce lumea la muncă.
Apropo de prelucrarea datelor personale, tocmai am văzut că registrul de rezervări când vrei să mergi la terase nu prea e în linie cu GDPR-ul.
Desigur, nu înseamnă că odată aplicat acest regulament, afacerile își pierd și dreptul de a se pune la pază de COVID-19. Din contră, în contextul acestui regulament există un articol, mai precis articolul 6, denumit ”Legalitatea prelucrării”, unde, pe baza preambulului 46 este reglementată următoarea situație:
„Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.”
Practic, afacerile încearcă să creeze un echilibru în 3 direcții:
- respectarea regulilor privind protejarea datelor;
- adaptarea la situația pandemiei provocate de COVID-19;
- protejarea dreptului de a avea datele protejate pentru fiecare individ în parte.
După cum am văzut cu registrul de rezervări sau cu prelucrarea datelor privind temperatura persoanelor care intră într-o locație, lucrurile nu sunt chiar atât de simple, mai ales că nu avem norme clare care să ne zică ce putem prelucra, cum, de ce și în ce fel. Și atunci ne dăm cu părerea și încercăm să facem lucrurile cât mai corect, cu informațiile pe care le avem.
Important e să cunoști care sunt limitele tale ca angajator.
sau continuă cu:
Întrebări cheie privind prelucrarea datelor în contextul pandemiei de COVID-19
Să nu uităm de principiile Regulamentului privind Protecția Datelor Personale, care se pliază extrem de bine și pe situațiile apărute în acest context. Adică, trebuie să ținem cont și acum de legalitate, echitate și transparență. Practic, regulamentul te poate ajuta ca să nu faci niște gafe foarte mari atunci când anunți cine știe ce veste. Prelucrarea datelor personale există și în perioada asta și e bine să ții cont de reglementări, altfel riști amenzi de până la 20 milioane de euro.
Pot să îmi informez angajații că printre ei se află o persoană infectată cu COVID-19?
Da. Dar detaliile pe care alegi să le divulgi fac diferența, în funcție de context.
- Informări generale la nivel de firmă – Comisia pentru Protecția Datelor consideră că atunci când avem un caz de COVID în firmă și se realizează o informare generală, de exemplu, pe mail, unde angajații sunt informați că un coleg de-al lor este infectat, nu trebuie să fie menționat și numele celui infectat. Ține minte, această regulă se aplică atunci când comunicarea se face la nivel înalt – de exemplu, este informată o multinațională.
- Informări la nivel de departament sau de echipă – Aici este justificată divulgarea identității celui infectat. Gândește-te că informarea se face doar la nivelul echipei sau departamentului cu care a avut contract direct acel angajat. Vorbim despre o mână de oameni care sunt puși în fața unui risc extrem de mare și care probabil vor trebui să se ducă în izolare pentru 14 zile, conform normelor. Parcă aici e puțin mai echitabil să știe fiecare ce e de făcut pe mai departe, nu?
Dar indiferent despre care context este vorba, orice informare trebuie să se facă într-un mod cât mai confidențial, serios și sigur. Prelucrarea datelor personale trebuie să fie transparentă și asumată.
Le putem solicita angajaților să specifice de ce boli suferă și alte detalii relevante cu privire la acestea pe certificatele lor medicale, în lumina pandemiei globale?
Da. Tot Comisia pentru Protecția Datelor reglementează această situație. Ei consideră că aceste informații sunt relevante pentru angajator. Astfel, în cazul în care un angajat a contactat acest virus, ar fi mult mai ușor de urmărit următorul scenariu: cât de grav e pentru el și pentru ceilalți oameni cu care a venit în contact? Există obligații duble, spun ei:
- Pentru angajați – Aceștia au datoria te a se proteja pe ei și implicit de a-i proteja pe colegii lor și pe toți ceilalți colaboratori cu care vin în contact. Drept urmare, orice angajat, mai ales dacă a venit în contact cu acest virus, trebuie să-l informeze pe angajator și să asculte de sfaturile pe care le poate primi ulterior de la medic sau de la autoritățile naționale de sănătate publică (DSP).
- Pentru angajator – Legea nr. 319/2006 privind securitatea și sănătatea în muncă instituie obligația angajatorului (art. 6 din lege) de a asigura sănătatea și securitatea lucrătorilor la locul de muncă. Angajatorii trebuie să urmeze sfaturile medicilor și ale autorităților naționale de sănătate publică și să creeze condiții optime pentru o desfășurare a activităților profesionale într-un mod sigur, ferit de riscuri. Și desigur, acesta poate face anumite dezvăluiri de informații cu caracter personal, dacă au ca scop protejarea împotriva amenințărilor grave la adresa sănătății publice.
Aici contează foarte mult transparența! Spune-le oamenilor de ce ai nevoie de acele date de pe certificatele lor medicale.
Le putem solicita tuturor celor care vizitează clădirea firmei (din orice motiv) să completeze un chestionar cu datele lor personale?
Asta pe lângă triajul epidemiologic, despre care am scris aici. Și care implică prelucrarea datelor personale în anumite contexte.
Depinde. Nu este ilegal să îi întrebi pe vizitatori dacă au călătorit recent în zonele cu risc mare de transmitere a virusului sau chiar dacă au avut contact cu o persoană infectată, ori să le ceri să menționeze dacă au avut anumite simptome tipice celor de COVID-19, atâta timp cât aceste informații sunt colectate doar pentru binele angajaților și pentru protejarea firmei sau organizației de o posibilă infectare în masă.
Însă, atunci când vorbim despre completarea unui chestionar, situația este puțin mai complicată. Ar trebui ca înainte de a fi implementată o regulă atât de strictă, să se facă un studiu raportat la cât de gravă este situația și care este riscul de îmbolnăvire. Ar fi nevoie chiar de o bază legală, de un ordin dat la nivel național, poate de o ordonanță de urgență.
Apropo de ordine, spre exemplu cabinetele stomatologice și unitățile sanitare non-COVID pot cere asemenea informații prin intermediul unor chestionare.
Ce se întâmplă cu cererile depuse în mod individual pentru accesarea informațiilor prelucrate de către persoanele vizate?
Termenul de onorare a acestor cereri rămâne cel inițial, adică de o lună de la data primirii.
Desigur, dacă există organizații mult mai afectate de criza creată de acest virus, s-ar putea ca aceste organizații sau firme (de exemplu, cele care activează în sectorul sănătății) să prelungească termenul chiar și cu două luni, dacă există un temei de drept și de fapt care să arate că întârzierea a fost provocată neintenționat, din cauza virusului.
Dacă există o întârziere, persoana în cauză trebuie să fie informată cu privire la aceasta.
Pași practici de urmat în prelucrarea datelor personale
- Documentează fiecare decizie luată din cauza acestei crize. Fă-ți dosare în care să ai documente care să dovedească de ce ai prelucrat anumite date în acest fel sau de ce ai divulgat anumite date personale. Astfel, dacă cineva se trezește mai târziu să te dea în judecată, vei fi pregătit cu dovezile necesare pentru a te putea apăra. Nu uita că tu acționezi sub principiul răspunderii, ceea ce înseamnă că poți fi ținut răspunzător pentru orice prejudiciu provocat. De exemplu, păstrează mereu comunicările sau avizele emise.
- Comunicările să fie clare și precise. Atunci când vrei să comunici ceva important, asigură-te că îndeplinește regulile de transparență. Adică, folosește un limbaj clar, lipsit de expresii ambigue pe care persoana respectivă ar putea să le înțeleagă în mod diferit și absolut mereu comunică și o schiță sau un plan cu elementele cheie care privesc activitatea de prelucrare a datelor personale. De exemplu, dacă le ceri angajaților să îți trimită certificatul medical, cu toate informațiile sensibile cuprinse în acesta, trebuie să specifici pe ce baza legală invoci asta, care-i scopul prelucrării acestor informații și alte detalii relevante pentru situația respectivă.
- Realizarea unei analize de impact (DPIA) asupra protecției datelor cu caracter personal. Dacă există riscul ca drepturile fundamentale ale angajaților sau colaboratorilor să fie puse în pericol prin aceste prelucrări de date, mai bine faci înainte o analiză de impact. Dacă realizezi că e necesară o astfel de analiză, e important să te concentrezi pe: riscuri; măsuri de atenuare; categorii de date cu caracter personal colectate; scopul colectării; bazele legale care au stat la baza colectării și perioada de timp pentru care vor fi păstrate datele.
În fine, perioada următoare va fi interesantă din punctul ăsta de vedere. Oamenii se întorc la muncă și cu siguranță vor mai exista cazuri de COVID-19.
Din acest motiv este bine să știi în ce te bagi atunci când prelucrezi anumite date personale. În plus, cum am arătat și mai sus, prelucrarea datelor personale se face simplu, în situații de zi cu zi: Colegul e bolnav și trebuie făcută o comunicare la nivel de firmă. N-ai zice că ai prelucrat date, nu? Dar fix asta ai făcut.