Declarație privind prelucrarea datelor cu caracter personal
în contextul pandemiei COVID-19.
Adoptată la 19 martie 2020
Comitetul European pentru Protecția Datelor a adoptat următoarea declarație:
Guvernele, organizațiile publice și private din toată Europa iau măsuri pentru a menține și reduce COVID-19. Aceasta poate implica prelucrarea diferitelor tipuri de date cu caracter personal. Regulile de protecție a datelor (precum RGPD) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Lupta împotriva bolilor transmisibile reprezintă un obiectiv valoros împărtășit de toate națiunile și, prin urmare, ar trebui susținută în cel mai bun mod posibil. Este în interesul umanității să se reducă răspândirea bolilor și să se utilizeze tehnici moderne în lupta împotriva flagelurilor care afectează marile părți ale lumii. Chiar și așa, CEPD ar dori să sublinieze că, chiar și în aceste momente excepționale, operatorul și împuternicitul trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate. Prin urmare, trebuie avute în vedere o serie deconsiderații pentru a garanta prelucrarea legală a datelor cu caracter personal și, în toate cazurile, trebuie amintit faptul că orice măsură luată în acest context trebuie să respecte principiile generale ale dreptului și nu trebuie să fie ireversibilă. Situația de urgență este o condiție legală care poate legitima restricțiile de libertate, cu condiția ca aceste restricții să fie proporționale și limitate la perioada de urgență.
1. Legalitatea prelucrării
RGPD reprezintă o legislație largă și prevede reguli care se aplică și prelucrării datelor cu caracter personal într-un context precum cel referitor la COVID-19. RGPD permite autorităților competente de sănătate publică și angajatorilor să prelucreze datele cu caracter personal în contextul unei epidemii, în conformitate cu legislația națională și în condițiile prevăzute de aceasta. De exemplu, atunci când prelucrarea este necesară din motive de interespublic important în domeniul sănătății publice. În aceste condiții, nu este necesar să vă bazați pe consimțământul persoanelor.
1.1 În ceea ce privește prelucrarea datelor cu caracter personal, inclusiv categorii speciale de date de către autoritățile publice competente (de exemplu, autoritățile de sănătate publică), CEPD consideră că articolele 6 și 9 din RGPD permit prelucrarea datelor cu caracter personal, în special atunci când acestea se încadrează în mandatul legal al autorității publice prevăzut de legislația națională și condițiile consacrate în RGPD.
1.2 În contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unei obligații legale la care angajatorul este supus, cum ar fi obligații referitoare la sănătate și securitate la locul de muncă sau la interesul public, precum controlul bolilor și alte amenințări la adresa sănătății.
RGPD prevede, de asemenea, derogări de la interzicerea prelucrării anumitor categorii speciale dedate cu caracter personal, cum ar fi datele referitoare la starea de sănătate, unde este necesar din motive de interes public important în domeniul sănătății publice (art. 9 alin. (2) lit.i)), în temeiul dreptului Uniunii sau dreptului național sau acolo unde este necesară protejarea intereselor vitaleale persoanei vizate (art.9 alin (2) lit.c)), așa cum Considerentul (46) se referă în mod explicit la controlul unei epidemii.
În ceea ce privește prelucrarea datelor de telecomunicații, cum ar fi datele privind locația, trebuie respectate și legile naționale care pun în aplicare Directiva privind viața privată și comunicațiile electronice. În principiu, datele privind locația pot fi utilizate numai de operator atunci când sunt făcute anonime sau cu acordul persoanelor fizice. Cu toate acestea, art. 15 din Directiva privind viața privată și comunicațiile electronice permite statelor membre să introducă măsuri legislative pentru a proteja securitatea publică. O astfel de legislație excepțională este posibilă numai dacă constituie o măsură necesară, adecvată și proporțională în cadrul unei societăți democratice. Aceste măsuri trebuie să fie în conformitate cu Carta Drepturilor Fundamentale și Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale. Mai mult, aceasta este supusă controlului judiciar al Curții Europene de Justiție și al Curții Europene a Drepturilor Omului. În cazul unei situații deurgență, aceasta ar trebui, de asemenea, să fie strict limitată la durata de urgență.
KIT GDPR Premium
2. Principiile de bază referitoare la prelucrarea datelor cu caracter personal
Datele cu caracter personal necesare pentru atingerea obiectivelor urmărite trebuie prelucrate în scopuri determinate și explicite.
În plus, persoanele vizate ar trebui să primească o informare transparentă cu privire la activitățile de prelucrare care se desfășoară și principalele lor caracteristici, inclusiv perioada de păstrare a datelor colectate și scopurile prelucrării. Informațiile furnizate ar trebui să fie ușor accesibile și furnizate într-un limbaj clar și simplu. Este important să se adopte măsuri adecvate de securitate și confidențialitate care să asigure cădatele personale nu sunt dezvăluite părților neautorizate. Măsurile puse în aplicare pentrugestionarea situațiilor de urgență actuale și procesul de luare a deciziilor de bază ar trebui documentate în mod corespunzător.
3. Utilizarea datelor de localizare mobilă
- Guvernele statelor membre pot să utilizeze date cu caracter personal legate de telefoanele mobile ale persoanelor fizice în eforturile lor de a monitoriza, păstra sau atenua răspândirea COVID-19?
În unele state membre, guvernele au în vedere utilizarea datelor despre locația mobilă ca o modalitate posibilă de monitorizare, păstrare sau atenuare a răspândirii COVID-19. Acest lucru ar presupune, de exemplu, posibilitatea de geolocalizare a persoanelor sau de a trimite mesaje de sănătate publică persoanelor dintr-o anumită zonă prin telefon sau mesaj text. Autoritățile publice ar trebui să înceapă mai întâi să prelucreze datele locației într-un mod anonim (adică prelucrarea datelor agregate într-un mod în care persoanele nu pot fi reidentificate), ceea ce ar putea permite generarea de rapoarte privind concentrarea dispozitivelor mobile într-o anumită locație („cartografie”)).
Regulile de protecție a datelor cu caracter personal nu se aplică datelor care au fost anonimizate în mod corespunzător.
Atunci când nu este posibilă doar prelucrarea datelor anonime, Directiva privind viața privată și comunicațiile electronice permite statelor membre să introducă măsuri legislative pentru salvgardarea securității publice (art. 15).
Dacă sunt introduse măsuri care permit prelucrarea datelor privind locațiile neanonimizate, un stat membru este obligat să pună la dispoziție garanții adecvate, cum ar fi furnizarea persoanelor fizice ale serviciilor de comunicații electronice dreptul la o cale de atac judiciară. Se aplică și principiul proporționalității. Soluțiile cele mai puțin intruzive ar trebui să fie întotdeauna preferate, ținând cont de scopul specific care trebuie atins. Măsurile invazive, cum ar fi „urmărirea” persoanelor (adică prelucrarea datelor istorice despre locațiile ne-anonimizate) ar putea fi considerate proporționale în circumstanțe excepționale și în funcție de modalitățile concrete ale prelucrării. Cu toate acestea, ar trebui să se supună unui control și unor garanții îmbunătățite pentru a asigura respectarea principiilor de protecție a datelor (proporționalitatea măsurii în ceea ce privește durata și domeniul de aplicare, păstrarea datelor limitate și limitarea scopului).
4. Ocuparea forței de muncă
- Un angajator poate să solicite vizitatorilor sau angajaților să furnizeze informații specifice de sănătate în contextul COVID-19
Aplicarea principiului proporționalității și reducerii la minimum a datelor este deosebit de relevantă aici. Angajatorul trebuie să solicite informații despre starea de sănătate numai în măsura în care legislația națională o permite.
- Este permis unui angajator să efectueze controale medicale asupra angajaților?
Răspunsul se bazează pe legile naționale referitoare la ocuparea forței de muncă sau la sănătate și siguranță. Angajatorii ar trebui să acceseze și să prelucreze datele de sănătate numai dacă propriile lor obligații legale o impun.
- Un angajator poate să dezvăluie colegilor sau celor externi faptul că un angajat este infectat cu COVID-19?
Angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui să comunice mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contactat virusul (de exemplu, într-un context preventiv) și legislația națională îl permite, angajații în cauză sunt informați în avans, iar demnitatea și integritatea lor sunt protejate.
- Ce informații prelucrate în contextul COVID-19 pot fi obținute de către angajatori?
Angajatorii pot obține informații personale pentru a-și îndeplini sarcinile și pentru a organiza munca în conformitate cu legislația națională.
Pentru Comitetul European pentru Protectia Datelor
Presedinte
(Andrea Jelinek)
sursa: dataprotection.ro
Vrei să te aliniezi la GPPR? Cum te putem ajuta: