Atât autoritățile cât și companiile private iau măsuri pentru a preveni răspândirea virusului COVID-19 și este firesc ca aceste măsuri să reprezinte principala preocupare în această perioadă. Cu toate acestea, nu trebuie să pierdem din vedere faptul că aceste măsuri pot implica prelucrarea diferitelor tipuri de date cu caracter personal.
Câteva exemple de astfel de măsuri sunt cele care vizează luarea unor declarații pe proprie răspundere cu privire la motivul deplasării, locurile de deplasare sau starea de sănătate, recurgerea la diverse instrumente de măsurare a temperaturii, utilizarea a diverse site-uri, de cele mai multe ori neverificate, în vederea generării adeverințelor pentru salariați și altele asemenea.
Prin declarația emisă în 19 martie, Comitetul European pentru Protecția Datelor subliniază faptul că, deși lupa împotriva virusului COVID-19 reprezintă un obiectiv valoros și necesar, totuși, atât operatorii de date cât și persoanele împuternicite trebuie să asigure protecția datelor cu caracter personal chiar și în acest context de excepție.
Prelucrarea datelor de catre angajatori
În contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unei obligații legale la care angajatorul este supus, cum ar fi obligații referitoare la sănătate și securitate la locul de muncă sau la interesul public, precum controlul bolilor și alte amenințări la adresa sănătății.
Astfel, spre exemplu, prelucrarea datelor salariaților, de către angajator, în scopul emiterii adeverinței prevăzută de prevederile Ordonanței militare 3/2020, se poate fundamenta, în opinia noastră, pe obligația legală.
Cu toate acestea, angajatorii păstrează responsabilitatea cu privire la modul de prelucrare a acestor date. Spre exemplu, angajatorii trebuie să manifeste o atenție deosebită la alegerea sistemelor (aplicațiilor) folosite în vederea generării acestor adeverințe întrucât, furnizorii de astfel de sisteme vor fi considerați, cel mai probabil, persoane împuternicite în relația cu angajatorii, caz în care răspunderea în relația cu salariații vizați de această prelucrare o are angajatorul.
În acest sens, recomandăm o precauție deosebită în utilizarea platformelor online care generează automat adeverințe. Ar trebui utilizate exclusiv sisteme ale unor furnizori de încredere și, în toate cazurile, datele nu ar trebui introduse în aceste sisteme decât după semnarea, între angajator și furnizorul respectiv, a unui acord de prelucrare a datelor cu caracter personal care să cuprindă, dincolo de alte mențiuni, instrucțiunile angajatorului cu privire la modul de prelucrare a datelor astfel transmise.
Cât privește datele referitoare la starea de sănătate, care reprezintă categorii speciale de date cu caracter personal, acestea pot fi prelucrate doar dacă această prelucrare este necesară din motive de interes public important în domeniul sănătății publice (art. 9 alin. (2) lit. (i) din Regulament), în temeiul dreptului Uniunii sau dreptului național sau acolo unde este necesară protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice atunci când persoana vizată se află în incapacitate de a-și da consimțământul (art.9 alin. (2) lit. (c) din Regulament).
La întrebarea dacă un angajator poate să solicite vizitatorilor sau angajaților să furnizeze informații specifice de sănătate în contextul COVID-19 sau să efectueze controale medicale asupra angajaților, Comitetul apreciază că acestea trebuie efectuate numai în măsura în care legislația națională o permite sau, respectiv, o impune.
Prin urmare, prelucrarea, de către angajatori, a datelor cu privire la sănătatea salariaților sau a vizitatorilor, apreciate ca fiind necesare în contextul dat de necesitatea prevenirii răspândirii virusului, s-ar putea efectua doar din motive de interes public în domeniul sănătății publice și doar în temeiul dreptului Uniunii sau al dreptului intern, care trebuie atent analizate. În acest sens, se vor avea în vedere atât reglementările specifice emise sau care urmează a fi emise în contextul necesității prevenirii răspândirii virusului COVID cât și prevederilor legale generale în materia securității și sănătății în muncă.
Cât privește dreptul unui angajator de a dezvălui colegilor sau unor terțe persoane faptul că un angajat este infectat cu COVID-19, Comitetul apreciază că angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui să comunice mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contactat virusul (de exemplu, într-un context preventiv) și legislația națională îl permite, angajații în cauză sunt informați în avans, iar demnitatea și integritatea lor sunt protejate.
Prelucrarea datelor de către autoritățile publice competente
În ceea ce privește prelucrarea datelor (inclusiv a datelor medicale, care sunt considerate sensibile) de către autoritățile publice competente, Comitetul consideră că articolele 6 și 9 din Regulamentul GDPR permit prelucrarea datelor, în special atunci când acestea se încadrează în mandatul legal al autorității publice prevăzut de legislația națională și condițiile consacrate în GDPR.
Apreciem că prelucrarea datelor în contextul pandemiei COVID-19, de către autoritățile publice, s-ar putea fundamenta, după caz, pe prev. art. 6 lit. (c), (d) sau (e) din Regulament, respectiv necesitatea îndeplinirii unei obligații legale, necesitatea protejării intereselor vitale sau necesitatea îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.
În cazul datelor medicale, este necesar ca prelucrarea să se fundamenteze și pe unul dintre temeiurile prevăzute de art. 9 din Regulament. În acest caz, prelucrarea datelor este cel mai probabil să se efectueze în baza prev. art. 9 alin. (2) lit. (i) din Regulament respectiv o necesitate impusă din motive de interes public în domeniul sănătății publice, în baza dreptului Uniunii sau a dreptului intern.
În ceea ce privește utilizarea, de către autoritățile publice, a datelor de localizare mobilă a persoanelor fizice, cu scopul de a monitoriza sau atenua răspândirea COVID-19, Comitetul apreciază că, mai întâi, aceste date ar trebui prelucrate într-un mod anonim (astfel încât persoanele să nu poată fi reidentificate), ceea ce ar putea permite generarea de rapoarte privind concentrarea dispozitivelor mobile într-o anumită locație („cartografie”).
Atunci când nu este posibilă doar prelucrarea datelor anonime, statele membre pot introduce măsuri legislative pentru salvgardarea securității publice, însă numai cu constituirea unor garanții adecvate, cum ar fi acordarea dreptului la o cale de atac judiciară și cu respectarea principiilor de protecție a datelor (proporționalitatea măsurii în ceea ce privește durata și domeniul de aplicare, limitarea scopului etc.). Totodată, se impune a fi menționat faptul că o astfel de legislație excepțională este posibilă numai dacă constituie o măsură necesară, adecvată și proporțională în cadrul unei societăți democratice.
Indiferent însă de temeiul juridic al prelucrării și indiferent dacă prelucrarea este efectuată de autoritățile publice sau de către companiile private, aceasta trebuie să respecte principiile instituite de Regulament, unul dintre aceste principii fiind proporționalitatea și reducerea la minim a datelor.
În plus, persoanele vizate ar trebui să primească o informare transparentă cu privire la activitățile de prelucrare care se desfășoară și principalele lor caracteristici, inclusiv perioada de păstrare a datelor colectate și scopurile prelucrării. Informațiile furnizate ar trebui să fie ușor accesibile și furnizate într-un limbaj clar și simplu. Este important să se adopte măsuri adecvate de securitate și confidențialitate care să asigure că datele personale nu sunt dezvăluite părților neautorizate. Măsurile puse în aplicare pentru gestionarea situațiilor de urgență actuale și procesul de luare a deciziilor de bază ar trebui documentate în mod corespunzător.