GDPR și COVID-19: sfaturi practice pentru companii

Autori: Alexandra Dunăreanu (associate) și Georgiana Ghinescu (associate)

Întrucât evenimentele din ultima perioadă privind răspândirea și eforturile de diminuare a efectelor virusului COVID-19 au impact direct în activitatea companiilor din toate industriile, implementarea unor măsuri de urgență privind asigurarea securității și sănătății angajaților și colaboratorilor poate conduce la începerea unui proces de colectare și prelucrare a categoriilor speciale de date (cum sunt datele privind sănătatea), moment în care prevederile legislației privind prelucrarea datelor cu caracter personal trebuie aplicate și respectate.

Deși scenariul sus-menționat prezintă aspecte de noutate din punct de vedere faptic, obligațiile companiilor, în calitate de operatori de date rămân aceleași în ceea ce privește prelucrarea datelor cu caracter personal, respectiv conformarea cu principiile prevăzute de GDPR.

În acest context următoarele aspecte cu privire la modalitățile de prelucrare a datelor și de asigurare a conformității cu cerințele legislației aplicabile în materie trebuie avute în vedere cu prioritate de către operatori:

  1. Pe ce temei juridic se poate baza prelucrarea datelor?

Având în vedere că în contextul virusului COVID-19 companiile urmăresc prelucrarea unor categorii speciale de date, precum datele privind sănătatea, acestea trebuie să se asigure că activitatea de prelucrare este conformă cu principiul legalității și respectă atât prevederile art. 6, precum si prevederile art. 9 din GDPR.

La o primă vedere, activitatea de prelucrare a datelor ar putea fi întemeiată pe îndeplinirea unei obligații legale, însă acest raționament presupune o interpretare extensivă a prevederilor legislației sănătății și securității în muncă, potrivit cărora, angajatorul are obligația de a asigura securitatea și sănătatea angajaților în toate aspectele legate de muncă.

Totuși, având în vedere faptul că legislația menționată mai sus nu prevede în mod expres obligația angajatorilor de a face demersuri în a analiza și constata existența sau inexistența unei suspiciuni de boală, operatorii ar putea justifica un interes legitim pentru prelucrarea datelor angajaților. În acest caz, operatorii trebuie să procedeze la documentarea unei asemenea prelucrări prin realizarea unui test de echilibru (balancing test).

În ceea ce privește cerințele instituite de art. 9 din GDPR, se poate argumenta în mod rezonabil faptul că nu este necesară obținerea consimțământului persoanelor vizate, ci operatorii pot avea în vedere excepția prevăzută de alin. (2) lit. g) a acestui articol, potrivit căruia pot fi prelucrate date privind starea de sănătate atunci când prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.

  1. Ce categorii de date pot fi prelucrate?

În activitatea de prelucrare operatorii trebuie să respecte și principiul reducerii la minimum a datelor. Astfel, se recomandă companiilor să nu prelucreze date concrete precum nivelul temperaturii persoanelor vizate sau locurile în care acestea au călătorit ori sa colecteze in mod sistematic si generalizat date privind starea de sănătate a persoanelor, ci sa limiteze prelucrarea datelor in acest context la cele strict necesare pentru scopul de a asigura sănătatea si securitatea angajaților in aspectele legate de munca. . În acest context, apreciem că ar fi oportun ca persoanei vizate să nu îi fie adresată o întrebare deschisă (i.e., să completeze destinațiile unde a călătorit), ci doar sa bifeze da/nu dacă a călătorit in zonele cu risc sau să exprime existența ori inexistența simptomelor specifice COVID-19, anume: temperatură, tuse, dificultăți respiratorii, stare de oboseală. In funcție de răspuns, persoana poate fi îndrumată sa consulte un medic si sa aplice masurile comunicate de autorități pentru aceasta situație.

Mai mult, la nivel internațional s-a propus ca recomandare înființarea unei linii telefonice special destinate notificării cazurilor COVID-19 care are drept scop asigurarea confidențialității, precum și a evitării unor posibile discriminări în rândul angajaților.

  1. Cum se asigură transparența referitor la activitatea de prelucrare în raport cu persoanele vizate?

În cazul în care companiile decid implementarea unor măsuri care presupun prelucrarea datelor privind starea de sănătate a angajaților, acestea au obligația de a proceda la informarea prealabilă a persoanelor vizate cu privire la scopul prelucrării, categoriile de date prelucrate, precum și perioada de stocare a acestora. În acest sens, operatorii pot avea în vedere întocmirea unei note de informare speciale care să prevadă totalitatea detaliilor legate de prelucrarea datelor în contextul apariției virusului COVID-19.

  1. Pe ce perioadă pot fi stocate datele?

În ceea ce privește stocarea datelor de sănătate prelucrate pentru împiedicarea răspândirii și a diminuării efectelor virusului COVID-19, operatorii vor avea în vedere stocarea acestora distinct de alte date ale angajaților colectate pentru alte scopuri (i.e., se va evita stocarea acestor date în dosarul de personal). De asemenea, operatorii trebuie să aibă în vedere asigurarea ștergerii datelor cu caracter personal colectate în perioada de criză după un anumit timp determinat, stabilit de operator cu respectarea principiului limitării legate de stocare prevăzut de GDPR. De exemplu, operatorul ar putea stabili păstrarea datelor pe o perioada rezonabila (cum ar fi 4-6 săptămâni) ulterior declarării de către autoritățile publice a faptului că România nu se mai află în situație de criza, urmând ca apoi datele sa fie șterse).

  1. Este necesară efectuarea unei evaluări a impactului asupra protecției datelor?

Având în vedere natura, contextul și scopurile de prelucrare a datelor cu caracter personal, posibilitatea necesitații efectuării unei evaluări a impactului asupra protecției datelor, astfel cum este prevăzut la art. 35 GDPR, nu poate fi exclusă.

În cazul în care prelucrările pe care operatorii intenționează să le desfășoare în contextul COVID-19 pot duce la declanșarea unui risc ridicat pentru drepturile și libertățile persoanelor vizate, atunci operatorii vor avea în vedere efectuarea unei astfel de evaluări, anterior începerii desfășurării activității de prelucrare urmărite.

Având în vedere cele de mai sus, operatorii trebuie să înțeleagă faptul că în efortul de diminuare a efectelor COVID-19 și a stării de urgență care a condus la desfășurarea unor activități noi de prelucrare, prevederile referitor la prelucrarea datelor cu caracter personal trebuie respectate în continuare pentru a maximiza rezultatele urmărite și a evita potențiale riscuri în această perioadă.

Share this

Continuous recruitment


    doc,docx,pdf,odc file types with 4mb maximum size

    Think ahead!


      doc,docx,pdf,odc file types with 6mb maximum size


      doc,docx,pdf,odc file types with 6mb maximum size


      doc,docx,pdf,odc file types with 6mb maximum size

      Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

      Think ahead! Practice at Filip & Company!


        doc,docx,pdf,odc file types with 6mb maximum size


        doc,docx,pdf,odc file types with 6mb maximum size


        doc,docx,pdf,odc file types with 6mb maximum size

        Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

        Legal Assistant


          doc,docx,pdf,odc file types with 4mb maximum size

          Webinars


            doc,docx,pdf,odc file types with 4mb maximum size

            Energy Lawyer


              doc,docx,pdf,odc file types with 4mb maximum size

              Corporate, M&A and Capital markets


                doc,docx,pdf,odc file types with 4mb maximum size

                Competition lawyer


                  doc,docx,pdf,odc file types with 4mb maximum size

                  Commercial lawyer


                    doc,docx,pdf,odc file types with 4mb maximum size

                    Continuous recruitment


                      doc,docx,pdf,odc file types with 4mb maximum size

                      Think ahead! Practice at Filip & Company!


                        doc,docx,pdf,odc file types with 6mb maximum size


                        doc,docx,pdf,odc file types with 6mb maximum size


                        doc,docx,pdf,odc file types with 6mb maximum size

                        Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

                        Webinars