Ultima actualizare: 10 februarie 2022
Prelucrarea datelor personale ale salariaților de către angajatori rămâne în continuare un subiect delicat supus interpretărilor, la mai bine de trei ani de la intrarea în vigoare a Regulamentului UE 679/2016 privind protecția datelor cu caracter personal (GDPR). Declanșarea pandemiei de Covid-19 a amplificat dezbaterea pe acest subiect, ca urmare a tendinței companiilor de a prelucra mai multe date personale de sănătate ale salariaților, sub pretextul interesului de a proteja sănătatea acestora și a putea continua activitatea în condiții de siguranță.
Înainte de a prezenta ce presupune prelucrarea datelor de sănătate în contextul pandemiei de Covid-19, este necesar să reamintim câteva principii deja cunoscute, care trebuie să stea la baza prelucrării, inclusiv a datelor de sănătate.
În general, temeiurile juridice de prelucrare a datelor personale ale salariaților de către angajator sunt diverse, în funcție de situație, acestea putând fi: obligația legală, încheierea, executarea contractului de muncă, interesul legitim al angajatorului etc.
Pentru a răspunde cerințelor de prelucrare a datelor personale, companiile trebuie să aibă în vedere o serie de demersuri cum ar fi:
1) Informarea prealabilă
Expresie a principiului legalității, echității și transparenței, informarea salariaților cu privire la prelucrarea datelor trebuie să conțină cel puțin:
• categoriile de date ce vor face obiectul prelucrării (de exemplu datele de identificare, experiența profesională, situația familială etc.);
• temeiurile și scopurile prelucrării;
• durata prelucrării;
• categoriile de destinatari, în cazul dezvăluirii datelor, precum și dacă datele sunt transferate în afara spațiului UE.
În ce privește modalitatea în care se realizează informarea, aceasta poate fi facută, fie sub forma unei note de informare transmisă fiecărui anagajat în parte, fie inclusă ca prevedere de sine stătătoare în Regulamentul Intern al companiei.
2) Prelucrarea cu exactitate a datelor
Datele trebuie prelucrate cu exactitate și actualizate ori de câte ori se impune, ca o expresie a principiului exactității datelor. Angajatorul are astfel obligația să se asigure că datele prelucrate inexact sunt șterse sau rectificate fără întârziere.
3) Prelucrarea datelor strict în acord cu scopul urmărit
Conform principiului reducerii le minimum a datelor prelucrate, angajatorul trebuie să se limiteze la a prelucra doar acele date care sunt adecvate și relevante pentru atingerea scopului urmărit.
4) Consultarea salariaților
Consultarea prealabilă a reprezentanților salariaților și sindicatului (unde este cazul), în cazul utilizării unor sisteme de monitorizare prin mijloace de comunicare electronice și/sau de supraveghere video, devine obligatorie, din perspectiva Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE.
5) Respectarea vieții private
Chiar dacă vorbim de un mediu profesional, viața privată a salariaților trebuie respectată, iar aceasta se poate realiza printr-o serie de măsuri ce pot să vizeze, între altele:
• limitarea monitorizarii comunicațiilor electronice, a accesului și conținutului site-urilor, istoricul navigării pe Internet;
• limitarea monitorizării prin intermediul sistemelor GPS în afara programului de lucru, respectiv profilarea salariatului prin intermediul GPS;
• limitarea monitorizării prin instrumentele de lucru mobile (laptop, telefon mobil etc.).
6) Divulgarea datelor în condiții stricte
Legea impune limite cu privire la (i) dezvăluirea datelor salariaților către terți, aspect ce constituie în sine o prelucrare a datelor personale distinctă și (ii) solicitarea de date privind salariații / viitorii salariați. În ceea ce privește solicitarea de date privind viitorul angajat se pot solicita doar date:
• în legătură cu persoana care solicită angajarea, de la foștii angajatori;
• numai cu privire la activitățile îndeplinite de viitorul angajat și la durata angajării;
• numai cu înștiințarea prealabilă a celui în cauză.
7) Asigurarea securității datelor
Angajatorul trebuie să ia măsuri pentru a reduce riscurile ca datele prelucrate să fie distruse / alterate / pierdute sau să fie divulgate / transmise nelegal către terți.
Această obligație derivă din principiul general GDPR al securității datelor, precum și din obligația prevăzută chiar de Codul Muncii cu privire la păstrarea confidențialității datelor angajaților.
În practică, minimum ce se poate face este includerea unei clauze de confidențialitate în contractul individual de muncă sau în Fișa Postului pentru salariații care prelucrează efectiv datele personale, precum și prevederea de sancțiuni, în caz de nerespectare a obligației de confidențialitate/proceduri aplicabile.
Prelucrarea datelor in contextul pandemiei de Covid-19
Încă de la declanșarea pandemiei de Covid-19, European Data Protection Board (EDPB) a avertizat că, indiferent de contextul epidemiologic sau, mai ales, în aceste condiții, Regulamentul trebuie aplicat cu strictețe. În «Declarația cu privire la prelucrarea datelor cu caracter personal în contextul Covid-19» se subliniază că, în contextul raporturilor de muncă, prelucrarea datelor cu caracter personal este permisă numai în anumite condiții, în special atunci când este necesară pentru respectarea obligațiilor legale ce revin angajatorului (de exemplu, protejarea sănătății și securității lucrătorilor) sau atunci când este justificată de un interes public în domeniul sănătăţii publice.
În România, dispozițiile legale prevăd obligația angajatorului de a asigura securitatea și sănătatea salariaților în toate aspectele legate de muncă. În îndeplinirea acestei obligații, angajatorii trebuie să ia anumite măsuri ce implică prelucrarea datelor de sănătate, precum prelevarea temperaturii corporale sau alte date cu privire la starea generală de sănătate a angajatului.
Ei pot, de asemenea, informa persoanele cu care persoana suspectă/ confirmată s-a aflat în contact prelungit asupra stării de sănătate a acesteia. Dacă angajatorii au această posibilitate de a informa angajații cu privire la cazurile de Covid-19, ei nu trebuie să furnizeze mai multe informații decât le impune legislația (de exemplu, nu ar trebui să comunice numele angajatului / angajaților care a/au contractat virusul), conform principiului proporționalității și minimizării datelor. Totodată, trebuie avut în vedere că obligația de a asigura securitatea și sănătatea salariaților nu justifică cererea adresată angajaților de a furniza informații cu privire la starea lor de sănătate, întrucât doar medicina muncii este împuternicită să cunoască aceste aspecte.
Preocupare legată de cantitatea și tipologia datelor de sănătate ce trebuie prelucrate în contextul actual este generală la nivelul statelor din UE.
În acest sens, un model de bună practică în materie de reglementare poate fi acela oferit de autoritatea franceză - CNIL (Comitetul național pentru securitate informatică și liberalități) - care arată că angajatorul nu ar trebui să înregistreze următoarele date de sănătate, decât în măsura în care acest lucru este permis de lege : (I) Starea de sănătate a angajaților (contaminare, spitalizare, prezența unui risc etc.), (II) Situaţia familială, (III) Condiții de viață, (IV) Posibile deplasări. Astfel, dacă a prelucra date despre angajat care au legătură cu situația familială este în mod normal în dezacord cu prevederile Regulamentului GDPR, în contextul actual prevederile OUG 110/2021 care permite acordarea de zile libere - pe perioada stării de alertă şi după încetarea acesteia, dar nu mai târziu de finalizarea cursurilor anului şcolar 2021-2022 – pentru părinții copiilor cu vârsta de până la 12 ani inclusiv sunt acoperitoare pentru o astfel de prelucrare. CNIL a oferit, de asemenea, o serie de clarificări cu privire la situațiile ce pot apărea în contextul Covid-19, care sunt utile inclusiv din perspectiva situației din România și pe care le putem sintetiza conform tabelului alăturat.
Angajatorul poate solicita rezultatul unui test de depistare a COVID-19? | NU |
Angajatorul poate colecta chestionare medicale de la salariați / agenți? | NU. Doar personalul de sănătate competent poate face acest lucru. |
Angajatorul poate controla temperatura salariaților / agenților | NU, doar pentru perioada în care legislația ar permite acest lucru și în condiții foarte restrictive: prelucrare automatizată și care să nu permită constituirea de fișiere / salvarea acestora. |
Angajatorul poate să organizeze campanii de testare? | DA, dar acestea trebuie să fie realizate în conformitate cu regulile serviciilor de sănătate publică și doar în cadrul unui demers voluntar al salariatului/ agentului. |
Angajatorul poate să organizeze campanii de vaccinare? | DA, dar doar prin intermediul serviciilor de sănătate competente și doar în cadrul unui demers voluntar al salariatului / agentului. |
În concluzie, prelucrarea datelor de sănătate în contextul Covid-19 trebuie să respecte regulile generale de prelucrare a datelor, pretextul interesului de a proteja sănătatea personalului și de a permite continuarea activității companiei neputând să justifice nicidecum o prelucrare mai extinsă a datelor decât este necesar.
În fine, un subiect ce nu poate fi trecut cu vederea atunci când vorbim de prelucrarea datelor de sănătate și care stârnește mari polemici la nivelul societății este certificatul de vaccinare. Dacă impunerea obligativității acestuia pentru accesul în spații publice, în anumite condiții, s-a făcut invocând o bază legală cu aplicabilitate temporară, impunerea lui în contextul relațiilor de muncă este mai problematică.
În România, adoptarea unei legi care să impună obligația salariatului de a prezenta un certificat de vaccinare la locul de muncă este în curs, fără a constitui o prioritate, după cum rezultă din declarațiile publice.
Aceasta, spre deosebire de alte state care au impus obligativitatea prezentării certificatului de vaccinare la locul de muncă (a se vedea Franța, al cărui Parlament a votat o lege în acest sens chiar duminică 16 ianuarie 2022) și care au încadrat juridic această măsură ca fiind în interesul sănătății publice.
Oricum, impunerea certificatului verde în relațiile de muncă este o temă sensibilă. Orice astfel de obligație ar trebui să țină cont de dispozițiile constituționale, de cele europene, să fie o măsură temporară (referirea generică la starea de alertă fiind discutabilă din acest punct de vedere), proporțională cu pericolul reprezentat de pandemie și nediscriminatorie.
Chiar și adoptată cu titlu de masură temporară, o astfel de obligație, prin efectul imediat și irevocabil pe care îl produce, naște numeroase întrebări din perspectiva drepturilor fundamentale ale omului și a modului în care acestea trebuie corelate și prioritizate.