Prelucrare date personale in context pandemie Covid 19- GDPR
Comitetul european pentru protecția datelor a adoptat următoarea declarație in legatura cu pandemia de Covid 19 :
Guvernele, organizațiile publice și private din întreaga Europă iau măsuri de limitare și atenuare a COVID-19. Aceasta poate implica prelucrarea diferitelor tipuri de date cu caracter personal.
Normele de protecție a datelor (cum ar fi GDPR) nu împiedică măsurile luate în lupta împotriva Pandemiei de coronavirus. Lupta împotriva bolilor transmisibile este un obiectiv valoros împărtășit de toate națiunile , prin urmare, ar trebui susținut în cel mai bun mod posibil. Este în interesul umanității să limiteze răspândirea bolilor și utilizarea tehnicilor moderne în lupta împotriva flagelelor care afectează părți mari a lumii. Chiar și așa, EDPB ar dori să sublinieze că, chiar și în aceste perioade excepționale, datele operatorul și procesatorul trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate.
Prin urmare, ar trebui luate în considerare o serie de considerații pentru a garanta legalitatea prelucrarea datelor cu caracter personal și, în toate cazurile, trebuie amintit că orice măsură luată în acest context trebuie să respecte principiile generale ale dreptului și nu trebuie să fie ireversibile. Urgența este o condiție legală care pot legitima restricțiile de libertăți cu condiția ca aceste restricții să fie proporționale și limitat la perioada de urgență.
-
Legalitatea prelucrării
GDPR este o legislație largă și prevede reguli care se aplică și prelucrării datelor cu caracter personal într-un context precum cel referitor la COVID-19. GDPR permite publicului competent autoritățile sanitare și angajatorilor să proceseze date cu caracter personal în contextul unei epidemii, în conformitate cu legislația națională și în condițiile stabilite în aceasta. De exemplu, la procesare este necesar din motive de interes public substanțial în domeniul sănătății publice. Sub aceia circumstanțe, nu este nevoie să se bazeze pe consimțământul indivizilor.
1.1 În ceea ce privește prelucrarea datelor cu caracter personal, inclusiv categoriile speciale de date de către competente autoritățile publice (de exemplu, autoritățile de sănătate publică), EDPB consideră că articolele 6 și 9 GDPR să permită prelucrarea datelor cu caracter personal, în special atunci când acestea intră sub mandatul legal al publicului autoritatea prevăzută de legislația națională și condițiile consacrate în GDPR.
1.2 În contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru conformitate cu o obligație legală la care este supus angajatorul, cum ar fi obligațiile legate de sănătate și siguranță la locul de muncă sau pentru interesul public, cum ar fi combaterea bolilor și a altor amenințări la adresa sanatatii GDPR prevede, de asemenea, derogări de la interzicerea prelucrării anumitor categorii speciale de date cu caracter personal, cum ar fi datele de sănătate, atunci când sunt necesare din motive de interes public substanțial în domeniul sănătății publice (art. 9.2.i), pe baza legislației Uniunii sau a dreptului național sau acolo unde este nevoie pentru a proteja interesele vitale ale persoanei vizate (articolul 9.2.c), deoarece considerentul 46 se referă în mod explicit la control a unei epidemii.
1.3 În ceea ce privește prelucrarea datelor de telecomunicații, cum ar fi datele de localizare, aplicarea legilor naționale Directiva privind confidențialitatea electronică trebuie, de asemenea, respectată. În principiu, datele de localizare pot fi utilizate numai de operator când este făcut anonim sau cu consimțământul unor persoane. Cu toate acestea, art. 15 din ePrivacy , Directiva permite statelor membre să introducă măsuri legislative pentru a proteja securitatea publică.
O astfel de legislație excepțională este posibilă numai dacă aceasta constituie o necesitate, adecvare și măsură proporțională în cadrul unei societăți democratice. Aceste măsuri trebuie să fie în conformitate cu Carta drepturilor fundamentale și Convenția europeană pentru protecția drepturilor omului și Libertăți fundamentale. Mai mult, este supus controlului judiciar al Curții Europene din Justiție și Curtea Europeană a Drepturilor Omului. În cazul unei situații de urgență, ar trebui să fie și ea strict limitată la durata urgenței la îndemâna sănătății.
- Principiile de bază legate de prelucrarea datelor cu caracter personal
Datele cu caracter personal care sunt necesare pentru a atinge obiectivele urmărite ar trebui prelucrate pentru specificații și scopuri explicite.
În plus, persoanele vizate ar trebui să primească informații transparente cu privire la activitățile de prelucrare care sunt care sunt efectuate și principalele caracteristici ale acestora, inclusiv perioada de păstrare a datelor colectate și scopurile procesării. Informațiile furnizate ar trebui să fie ușor accesibile și furnizate în mod clar și limbaj simplu.
Este important să se adopte măsuri de securitate adecvate și politici de confidențialitate care să asigure că acestea sunt personale datele nu sunt dezvăluite părților neautorizate. Măsuri implementate pentru gestionarea situație de urgență și procesul de luare a deciziilor care stau la baza acestora trebuie documentate corespunzător.
-
Utilizarea datelor de localizare mobile
- Pot guvernele statelor membre să utilizeze date cu caracter personal legate de telefoanele mobile ale persoanelor fizice in eforturile lor de monitorizare, limitare sau atenuare a răspândirii COVID-19?
În unele state membre, guvernele intenționează să utilizeze datele de localizare mobilă ca modalitate posibilă de a face acest lucru : monitorizează, conține sau atenuează răspândirea COVID-19. Acest lucru ar implica, de exemplu, posibilitatea de a geoloca persoane sau să trimiteți mesaje de sănătate publică persoanelor dintr-o anumită zonă prin telefon sau mesaj text. Autoritățile publice ar trebui mai întâi să caute să proceseze datele de localizare într-un mod anonim (adică , prelucrarea datelor agregate într-un mod în care indivizii nu pot fi re-identificați), ceea ce ar putea permite generarea de rapoarte privind concentrația dispozitivelor mobile într-o anumită locație („cartografie”).
Normele de protecție a datelor cu caracter personal nu se aplică datelor care au fost anonimizate în mod corespunzător.
Atunci când nu este posibilă prelucrarea numai a datelor anonime, Directiva privind confidențialitatea electronică permite Statelor membre să introducă măsuri legislative pentru a proteja securitatea publică (art. 15).
Dacă sunt introduse măsuri care permit prelucrarea datelor de localizare non-anonimizate, un stat membru este obligat să instituie garanții adecvate, cum ar fi furnizarea de persoane electronice serviciilor de comunicare dreptul la o cale de atac judiciară.
Se aplică și principiul proporționalității. Soluțiile cel mai puțin intruzive ar trebui să fie întotdeauna preferate luând în considerare scopul specific care trebuie atins. Măsuri invazive, cum ar fi „urmărirea” ar putea fi luate în considerare persoane fizice (adică prelucrarea datelor istorice de locație non-anonimizate) proporțional în circumstanțe excepționale și în funcție de modalitățile concrete ale prelucrare. Cu toate acestea, ar trebui să facă obiectul unui control sporit și al unor garanții pentru a asigura respectarea a principiilor protecției datelor (proporționalitatea măsurii în termeni de durată și domeniu de aplicare, limitată)
-
Ocuparea forței de muncă
- Poate un angajator să solicite vizitatorilor sau angajaților să furnizeze informații specifice de sănătate în contextul COVID-19?
Aplicarea principiului proporționalității și a minimizării datelor este deosebit de relevantă aici.
Angajatorul ar trebui să solicite informații despre sănătate numai în măsura în care legislația națională le permite.
- Este permis unui angajator să efectueze controale medicale angajaților?
Răspunsul se bazează pe legile naționale referitoare la ocuparea forței de muncă sau la sănătate și securitate. Angajatorii ar trebui sa acceseze și prelucreze datele de sănătate numai dacă propriile obligații legale o impun.
- Poate un angajator să dezvăluie că un angajat este infectat cu COVID-19 colegilor săi sau
externe?
Angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui comunicați mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajații care au contractat virusul (de exemplu, într-un context preventiv) și legislația națională o permite, angajații în cauză trebuie informați în prealabil, iar demnitatea și integritatea acestora trebuie să fie protejata .
- Ce informații prelucrate în contextul COVID-19 pot fi obținute de angajatori?
Angajatorii pot obține informații personale pentru a-și îndeplini atribuțiile și pentru a organiza munca în conformitate cu legislația națională. datelor și limitarea scopului).
Sursa : EDBP ( European Data Protection Board)
Poziționarea României in raport cu pandemia
Există un temei legal al prelucrărilor de date care privesc medicina preventivă, stabilirea unui diagnostic medical, interesul vital al persoanei (fiind enunțate art. 6 și 9 lit. a), b), h), i) ).
Cu toate acestea, prelucrarea se va face sub REZERVA respectării unor condiții și garanții:
1. Datele cu caracter medical să fie prelucrate de către un profesionist, supus obligației de păstrare a secretului profesional (ex. medic) SAU de o altă persoană supusă unei obligații de confidențialitate;
2. Operatorul trebuie să facă informarea persoanei vizate cu privire la prelucrare.
3. Operatorul trebuie să asigure măsuri de securitate;
4. Operatorul trebuie să ia măsuri tehnice și organizatorice prin care să poată demonstra că prelucrarea se efectuează conform GDPR!
Totodată, dezvăluirea în spațiul public, efectuată de operator, a numelui, a prenumelui, a stării de sănătate a unei persoane, angajat sau vizitator, ori altă persoană vizată, se poate face doar cu CONSIMȚĂMÂNTUL persoanei în cauză.
Daca doriti consultanta personalizata , nu ezitati sa ne contactati https://businessway.ro/contact/
Puteti consulta si o prezentare generala Aici
Va doresc toate cele bune !
Amalia Salcie