Nu e un titlu click-bait, ci este o situație reală. Pe scurt, Ministerul Muncii și Protecției Sociale a decis să rezolve rapid situația în care angajații nu ar fi de acord cu termometrizarea și și-a dat chiar el consimțământul pentru toți angajații din sectorul public și privat.
Potrivit art. 2 din Ordinul 3577/831/2020, pe durata stării de alertă, toți angajații din sectorul public și privat au obligația să accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.
Am discutat în acest articol despre cum verificarea temperaturii este o prelucrare de date cu caracter special, iar organizațiile trebuie să respecte prevederile GDPR , iar în acest articol mă voi opri spre a dezbate consimțământul în noua formă adoptată de către Ministerul Muncii.
Ce prevede GDPR?
GDPR instituie standarde ridicate pentru consimțământ, iar potrivit art.4 pct. 11 din GDPR, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.
Care sunt problemele?
Noua formă de consimțământ introdusă recent de Ministerul Muncii și-a pierdut caracterul liber. Ministerul Muncii și-a dat deja acordul în numele tuturor angajaților. În consecință, vorbim despre un Ordin al Ministerului care încalcă în mod flagrant un Regulament european care continuă să se aplice, inclusiv în stare de alertă.
Aș recomanda companiilor și responsabililor cu protecția datelor să privească cu o doză ridicată de scepticism această nouă formă de consimțământ, având în vedere, printre altele, prioritatea dreptului european față de dreptul intern.
Toate organizațiile vor trebui să ia temperatura angajaților și recomand, pentru a evita încălcarea GDPR, să se meargă și pe alte temeiuri legale de la art. 9 GDPR. Cred că, în situația actuală, temeiul potrivit este interesul vital, iar el ar trebui documentat intern (în registrul activităților de prelucrare), dar și comunicat persoanelor vizate prin actualizarea notelor de informare.
Potrivit GDPR, interesul vital poate fi utilizat ca răspuns la pandemie atunci când nu poate fi utilizat un alt temei legal. Considerentul (46) din GDPR prevede că „Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia (…)”.
Chiar dacă luarea temperaturii este acum o obligație legală, GDPR continuă să se aplice și pentru a evita reclamațiile persoanelor vizate și investigațiile ANSPDCP, recomand companiilor să lectureze și acest articol pentru a ști ce este de făcut pentru alinierea la GDPR în aceasta situație.
Important de menționat ar fi și faptul că deși GDPR impune ca legislația internă să prevadă și măsuri pentru drepturile persoanelor, Ordinul Ministerului Muncii nu conține astfel de prevederi vis-a-vis de viața privată și pasează întreaga răspundere către organizații. În concret și oarecum absurd, organizațiile care iau temperatura angajaților ca să se conformeze obligațiilor legale, dar care nu respectă GDPR, pot fi amendate tot de către statul român (prin ANSPDCP) pentru neconformarea la GDPR.
Sperăm totuși că în viitor legislația va fi modificată și vor fi introduse și prevederi pentru protecția vieții private și a datelor cu caracter personal.