Programarea la vaccinarea anti-covid pe platforma a www.vaccinare-covid.gov.ro se realizează de către angajator pentru angajat. Având în vedere că angajatorul transmite datele personale angajatului pe o platformă terță, această activitate de prelucrare trebuie să fie legală în conformitate cu GDPR. Punctul nostru de vedere a fost de la început acela că este nevoie de consimțământul angajatului. Cu toate acestea, în spațiul public, mai mulți specialiști au afirmat că nu este nevoie de consimțământ.
Având în vedere informațiile contradictorii lansate în spațiul public și amploarea fenomenului vaccinării, la data de 22.02.2021, am consultat ANSPDCP cu privire la acest aspect. Cererea a fost întemeiată pe dispozițiile art. 6 din Legea nr. 544/2001 privind liberul acces la informațiile de interes public.
În concret, am adresat ANSPDCP trei întrebări, respectiv:
1) Având în vedere definiția extremă de vastă a datelor privind sănătatea oferită de considerentul (35) din RGPD, respectiv „datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală […]”, informațiile privind înscrierea unei persoane fizice pe platforma www.vaccinarecovid.gov.ro în vederea programării la vaccinare se încadrează în noțiunea de date privind sănătatea?
(2) Dacă răspunsul la întrebarea anterioară este afirmativ, considerați că este necesar, în temeiul art. 9 alin. (2)lit. a) RGPD, obținerea consimțământului explicit al angajatului privind prelucrarea datelor privind sănătatea ale angajaților de către angajatori cu ocazia înregistrării pe platforma www.vaccinare-covid.gov.ro în vederea programării la vaccinare?
(3) Dacă răspunsul la întrebarea anterioară nu este afirmativ, care este, potrivit art. 9 RGPD, temeiul juridic pe care îl pot utiliza angajatorii prelucrarea datelor privind sănătatea ale angajaților cu ocazia înregistrării pe platforma www.vaccinare-covid.gov.ro în vederea programării la vaccinare?
Am primit răspunsul ANSPDCP în termenul legal de 10 zile. Potrivit ANSPDCP, este nevoie de consimțământul explicit al angajaților dacă suntem în prezența unor date privind sănătatea (art. alin. (2) lit. a) RGPD). Mai departe, ANSPDCP arată că dacă nu suntem în prezența unor date privind sănătatea, este totuși nevoie de consimțământ în temeiul art. 6 alin. (1) lit. a) RGPD. Redăm în cele ce urmează cuvintele ANSPDCP:
„ […] Ca atare, dispozițiile art. 9 alin. (2) lit. a) din RGPD devin aplicabile în măsura în care ”informațiile privind înscrierea unei persoane fizice pe platforma www.vaccinare-covid.gov.ro în vederea programării” vizează categorii de date speciale (respectiv privind sănătatea), astfel cum sunt definite de art. 4 pct. 15 din RGPD. În măsura în care nu sunt incidente prevederile art. 9 alin. (2) lit. a) din RGPD, devin aplicabile dispozițiile art. 6 alin (1) lit. a) din RGPD. […]”
Mai departe, ANSPDCP atrage atenția asupra faptului că acest consimțământ trebuie să îndeplinească condițiile art. 7 coroborate cu art. 4 pct. 11 și considerentul (32) din RGPD. Pe scurt, consimțământul trebuie să fie liber, specific, informat și lipsit de ambiguitate.
În contextul vaccinării, apreciem că angajații trebuie să obțină de la angajați un consimțământ separat și specific înainte de programarea angajatului la vaccinare. Mai mult, consimțământul trebuie să fie și informat, adică să fie urmat de o notă de informare prin care angajatorul explică angajatului ce se întâmplă cu datele sale personale (scop, temei juridic, destinatari etc). Această obligație este subliniată și de către ANSPDCP, respectiv:
„Astfel, sub aspectul informării, art. 12 din RGPD prevede că operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta ( în speță, angajatul), art. 13 din RGPD prevede că operatorul (în speță, angajatorul), în momentul obţinerii datelor cu caracter personal, furnizează persoanei vizate o serie de informaţii inclusiv cu privire la scopul și temeiul juridic al prelucrării, precum și la destinatarii datelor.”
Cererea poate fi consultată aici, iar răspunsul ANSPDCP poate fi consultat aici.
