Comitetul European pentru Protectia Datelor a adoptat urmatoarea declaratie:
Guvernele, organizatiile publice si private din toata Europa iau masuri pentru a mentine si reduce COVID-19. Aceasta poate implica prelucrarea diferitelor tipuri de date cu caracter personal.
Regulile de protectie a datelor (precum RGPD) nu impiedica masurile luate in lupta impotriva pandemiei coronavirusului. Lupta impotriva bolilor transmisibile reprezinta un obiectiv valoros impartasit de toate natiunile si, prin urmare, ar trebui sustinuta in cel mai bun mod posibil. Este in interesul umanitatii sa se reduca raspandirea bolilor si sa se utilizeze tehnici moderne in lupta
impotriva flagelurilor care afecteaza marile parti ale lumii. Chiar si asa, CEPD ar dori sa sublinieze ca, chiar si in aceste momente exceptionale, operatorul si imputernicitul trebuie sa asigure protectia datelor cu caracter personal ale persoanelor vizate. Prin urmare, trebuie avute in vedere o serie de consideratii pentru a garanta prelucrarea legala a datelor cu caracter personal si, in toate cazurile, trebuie amintit faptul ca orice masura luata in acest context trebuie sa respecte principiile generale ale dreptului si nu trebuie sa fie ireversibila. Situatia de urgenta este o conditie legala care poate legitima restrictiile de libertate, cu conditia ca aceste restrictii sa fie proportionale si limitate la perioada de urgenta.
Consilier - Codul Muncii abonament 12 actualizari
Hartuirea si discriminarea la locul de munca Legislatie explicata si studii de caz
Contributii aferente veniturilor impozabile si neimpozabile in 2024
1. Legalitatea prelucrarii
RGPD reprezinta o legislatie larga si prevede reguli care se aplica si prelucrarii datelor cu caracter personal intr-un context precum cel referitor la COVID-19. RGPD permite autoritatilor competente de sanatate publica si angajatorilor sa prelucreze datele cu caracter personal in contextul unei epidemii, in conformitate cu legislatia nationala si in conditiile prevazute de aceasta. De exemplu, atunci cand prelucrarea este necesara din motive de interes public important in domeniul sanatatii publice. In aceste conditii, nu este necesar sa va bazati pe consimtamantul persoanelor.
1.1 In ceea ce priveste prelucrarea datelor cu caracter personal, inclusiv categorii speciale de date de catre autoritatile publice competente (de exemplu, autoritatile de sanatate publica), CEPD considera ca articolele 6 si 9 din RGPD permit prelucrarea datelor cu caracter personal, in special atunci cand acestea se incadreaza in mandatul legal al autoritatii publice prevazut de legislatia nationala si conditiile consacrate in RGPD.
1.2 In contextul ocuparii fortei de munca, prelucrarea datelor cu caracter personal poate fi necesara pentru respectarea unei obligatii legale la care angajatorul este supus, cum ar fi obligatii referitoare la sanatate si securitate la locul de munca sau la interesul public, precum controlul bolilor si alte amenintari la adresa sanatatii.
RGPD prevede, de asemenea, derogari de la interzicerea prelucrarii anumitor categorii speciale de date cu caracter personal, cum ar fi datele referitoare la starea de sanatate, unde este necesar din motive de interes public important in domeniul sanatatii publice (art. 9 alin. (2) lit.i)), in temeiul dreptului Uniunii sau dreptului national sau acolo unde este necesara protejarea intereselor vitale ale persoanei vizate (art.9 alin (2) lit.c)), asa cum Considerentul (46) se refera in mod explicit la controlul unei epidemii.
In ceea ce priveste prelucrarea datelor de telecomunicatii, cum ar fi datele privind locatia, trebuie respectate si legile nationale care pun in aplicare Directiva privind viata privata si comunicatiile electronice. In principiu, datele privind locatia pot fi utilizate numai de operator atunci cand sunt facute anonime sau cu acordul persoanelor fizice. Cu toate acestea, art. 15 din Directiva privind viata privata si comunicatiile electronice permite statelor membre sa introduca masuri legislative pentru a proteja securitatea publica. O astfel de legislatie exceptionala este posibila numai daca constituie o masura necesara, adecvata si proportionala in cadrul unei societati democratice. Aceste masuri trebuie sa fie in conformitate cu Carta Drepturilor Fundamentale si Conventia Europeana pentru Protectia Drepturilor Omului si a Libertatilor Fundamentale. Mai mult, aceasta este supusa controlului judiciar al Curtii Europene de Justitie si al Curtii Europene a Drepturilor Omului. In cazul unei situatii de urgenta, aceasta ar trebui, de asemenea, sa fie strict limitata la durata de urgenta.
2. Principiile de baza referitoare la prelucrarea datelor cu caracter personal
Datele cu caracter personal necesare pentru atingerea obiectivelor urmarite trebuie prelucrate in scopuri determinate si explicite.
In plus, persoanele vizate ar trebui sa primeasca o informare transparenta cu privire la activitatile de prelucrare care se desfasoara si principalele lor caracteristici, inclusiv perioada de pastrare a datelor colectate si scopurile prelucrarii. Informatiile furnizate ar trebui sa fie usor accesibile si furnizate intr-un limbaj clar si simplu.
Este important sa se adopte masuri adecvate de securitate si confidentialitate care sa asigure ca datele personale nu sunt dezvaluite partilor neautorizate. Masurile puse in aplicare pentru gestionarea situatiilor de urgenta actuale si procesul de luare a deciziilor de baza ar trebui documentate in mod corespunzator.
3. Utilizarea datelor de localizare mobila
Guvernele statelor membre pot sa utilizeze date cu caracter personal legate de telefoanele mobile ale persoanelor fizice in eforturile lor de a monitoriza, pastra sau atenua raspandirea COVID-19?
In unele state membre, guvernele au in vedere utilizarea datelor despre locatia mobila ca o modalitate posibila de monitorizare, pastrare sau atenuare a raspandirii COVID-19. Acest lucru ar presupune, de exemplu, posibilitatea de geolocalizare a persoanelor sau de a trimite mesaje de sanatate publica persoanelor dintr-o anumita zona prin telefon sau mesaj text. Autoritatile publice ar trebui sa inceapa mai intai sa prelucreze datele locatiei intr-un mod anonim (adica prelucrarea datelor agregate intr-un mod in care persoanele nu pot fi reidentificate), ceea ce ar putea permite generarea de rapoarte privind concentrarea dispozitivelor mobile intr-o anumita locatie („cartografie”).
Regulile de protectie a datelor cu caracter personal nu se aplica datelor care au fost anonimizate in mod corespunzator.
Atunci cand nu este posibila doar prelucrarea datelor anonime, Directiva privind viata privata si comunicatiile electronice permite statelor membre sa introduca masuri legislative pentru salvgardarea securitatii publice (art. 15).
Daca sunt introduse masuri care permit prelucrarea datelor privind locatiile neanonimizate, un stat membru este obligat sa puna la dispozitie garantii adecvate, cum ar fi furnizarea persoanelor fizice ale serviciilor de comunicatii electronice dreptul la o cale de atac judiciara.
Se aplica si principiul proportionalitatii. Solutiile cele mai putin intruzive ar trebui sa fie intotdeauna preferate, tinand cont de scopul specific care trebuie atins. Masurile invazive, cum ar fi „urmarirea” persoanelor (adica prelucrarea datelor istorice despre locatiile ne-anonimizate) arputea fi considerate proportionale in circumstante exceptionale si in functie de modalitatile concrete ale prelucrarii. Cu toate acestea, ar trebui sa se supuna unui control si unor garantii imbunatatite pentru a asigura respectarea principiilor de protectie a datelor (proportionalitatea masurii in ceea ce priveste durata si domeniul de aplicare, pastrarea datelor limitate si limitarea scopului).
4. Ocuparea fortei de munca
• Un angajator poate sa solicite vizitatorilor sau angajatilor sa furnizeze informatii specifice de sanatate in contextul COVID-19
Aplicarea principiului proportionalitatii si reducerii la minimum a datelor este deosebit de relevanta aici. Angajatorul trebuie sa solicite informatii despre starea de sanatate numai in masura in care legislatia nationala o permite.
• Este permis unui angajator sa efectueze controale medicale asupra angajatilor?
Raspunsul se bazeaza pe legile nationale referitoare la ocuparea fortei de munca sau la sanatate si siguranta. Angajatorii ar trebui sa acceseze si sa prelucreze datele de sanatate numai daca propriile lor obligatii legale o impun.
• Un angajator poate sa dezvaluie colegilor sau celor externi faptul ca un angajat este infectat cu COVID-19?
Angajatorii ar trebui sa informeze personalul despre cazurile COVID-19 si sa ia masuri de protectie, dar nu ar trebui sa comunice mai multe informatii decat este necesar. In cazurile in careeste necesar sa se dezvaluie numele angajatului (angajatilor) care au contactat virusul (de exemplu, intr-un context preventiv) si legislatia nationala il permite, angajatii in cauza sunt informati in avans, iar demnitatea si integritatea lor sunt protejate.
• Ce informatii prelucrate in contextul COVID-19 pot fi obtinute de catre angajatori?
Angajatorii pot obtine informatii personale pentru a-si indeplini sarcinile si pentru a organiza munca in conformitate cu legislatia nationala.
Pentru Comitetul European pentru Protectia Datelor
Presedinte
(Andrea Jelinek)
