Guvernele, precum și organizațiile publice, private și ONG-urile iau măsurile necesare pentru a opri răspândirea și pentru a atenua efectele COVID-19. O parte din aceste măsuri implică prelucrarea datelor cu caracter personal (cum ar fi numele, adresa, locul de muncă, detaliile călătoriei) ale persoanelor, inclusiv în multe cazuri datele personale speciale – „sensibile” (cum ar fi datele referitoare la sănătate).
GDPR nu oprește măsurile necesare prevenirii răspândirii virusului și furnizării asistenței medicale, cu toate acestea, există considerente importante care ar trebui luate în considerare la prelucrarea datelor cu caracter personal în aceste contexte, în special datelor cu privire cu sănătate, considerate de GDPR date cu caracter special care pot fi prelucrate doar într-un regim foarte strict.
Măsurile luate ca răspuns la Coronavirus care implică utilizarea datelor cu caracter personal, inclusiv datele privind sănătatea, ar trebui să fie necesare și proporționale.
Organizațiile ar trebui să respecte și următoarele obligații:
1. Legalitatea prelucării
Există suficiente temeiuri legale prevăzute de GDPR care pot fi utilizate pentru prelucrarea legală a datelor cu caracter personal, inclusiv a datelor cu privire la starea de sănătate. Pentru categoria datelor medicale, aplicabil este art. 9 din GDPR.
În acest sens art. 9 alin. 2 lit. b din GDPR prevede că „prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sauale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;”
Te-ar putea interesa și:
- Ce este GDPR? Regulament GDPR explicat în 5 minute.
- Hackerii sustrag date personale cu subiectul #coronavirus
Acest articol împreună cu legislația privind securitatea și sănătatea în muncă oferă angajatorului o bază legală pentru prelucrarea datelor cu caracter personal, inclusiv datele referitoare la sănătate, în cazul în care se consideră necesar și proporțional în acest sens. Orice date care sunt prelucrate trebuie să fie tratate într-o manieră confidențială, adică orice comunicare către personal despre posibila prezență a coronavirusului la locul de muncă nu ar trebui să identifice angajatul care este afectat.
De asemenea, este permisă prelucrarea datelor cu caracter personal pentru a proteja interesele vitale ale unei persoane fizice sau a altor persoane, dacă este necesar. Datele de sănătate ale unei persoane pot fi prelucrate în acest sens atunci când sunt incapabile fizic sau legal de a-și da consimțământul. Acest temei se aplica de obicei numai în situații de urgență, unde nu poate fi identificată nicio altă bază legală.
2. Transparența
Organizațiile care prelucrează datele cu caracter personal trebuie să fie transparente în ceea ce privește măsurile pe care le pun în aplicare în acest context, inclusiv scopul colectării datelor cu caracter personal și cât timp acestea vor fi păstrate. Aceștia trebuie să ofere persoanelor informații cu privire la prelucrarea datelor lor personale într-un format concis, ușor accesibil, ușor de înțeles și într-un limbaj clar și simplu. Mai multe despre informarea persoanelor puteți afla din acest articol.
3. Confidențialitatea
Orice prelucrare a datelor în contextul prevenirii răspândirii COVID-19 trebuie efectuată într-o manieră care să asigure securitatea și confidențialitatea datelor, în special în cazul datelor privind sănătatea. Identitatea persoanelor afectate nu trebuie divulgată niciunui terț sau colegilor lor fără o justificare clară.
4. Reducerea la minimum a datelor
Ca în cazul oricărei prelucrări de date, trebuie colectate doar informațiile absolut necesare pentru prevenirea răspândirii COVID-19. De exemplu, angajatorii nu ar putea colecta informații despre deplasările în străinătate ale rudelor angajaților.
5. Responsabilitatea
Organizațiile ar trebui, de asemenea, să se asigure că documentează orice proces de luare a deciziilor cu privire la măsurile implementate pentru gestionarea situației COVID-19, care implică prelucrarea datelor cu caracter personal. Informațiile colectate ar trebui incluse în registrul activităților de prelucrare.
