Acest articol își propune să răspundă la cele mai frecvente întrebări despre testarea COVID-19 a angajaților astfel încât să nu se încalce Regulamentul General privind Protecția Datelor, cunoscut drept GDPR.
1. Doresc să îmi testez angajații de COVID-19. Trebuie să iau în considerare legislația privind protecția datelor?
Da. Întrucât vei prelucra informații cu privire la persoane fizice, trebuie să respecți GDPR. Acest lucru înseamnă că trebuie să prelucrezi datele într-o manieră legală, echitabilă și transparentă. Datele cu caracter personal care se referă la sănătate sunt mai sensibile și sunt incluse în categoria datelor cu caracter special și au un regim mai strict de prelucrare.
GDPR nu îți interzice să iei măsurile necsare pentru siguranța și sănătatea personalului și a celorlalți, inclusiv testarea COVID-19, însă trebuie să iei aceste măsuri cu responsabilitate față de protecția datelor și să le prelucrezi cu grijă.
2. Cum pot să demonstrez că abordarea companiei mele vis-a-vis de testarea COVID-19 este conformă cu GDPR?
Pentru a demonstra că testarea COVID-19 este conformă cu GDPR, trebuie să respecți principiul responsabilității. Acest principiu al GDPR te face responsabil să te conformezi la GDPR și să demonstrezi, în eventualitatea unei investigații, faptul că ai depus suficiente diligențe pentru a respecta GDPR, mai ales în situația în care prelucrezi categorii speciale de date. Prin urmare, ar trebui să efectuezi, înainte de testarea COVID-19 o evaluare de impact.
Te-ar putea interesa și:
3. Cum pot să apreciez că testarea COVID-19 a angajaților este necesară?
Pe măsură ce oamenii se întorc la locul de muncă, angajatorii și organizațiile vor trebui să implementeze măsuri adecvate pentru a proteja sănătatea oamenilor.
Pentru a aprecia dacă testarea COVID-19 este necesară, va trebui să iei în calcul circumstanțele specifice ale locului de muncă, printre care:
- tipul de muncă;
- locațiile;
- dacă munca de acasă este sau nu posibilă.
Pentru a stabili dacă testarea COVID-19 este necesară, ar trebui să îți răspunzi la următoarele întrebări:
- Am nevoie de aceste informații?
- Mă va ajuta testarea COVID-19 să am un mediu de lucru sigur?
- Pot atinge același scop și fără testarea COVID-19?
Dacă poți demonstra că abordarea este rezonabilă, corectă și proporțională cu circumstanțele, atunci este foarte puțin probabil ca protecția datelor să fie o barieră. Dacă personalul îți solicită în mod proactiv să efectuezi testarea COVID-19, acest lucru ar putea fi utilizat pentru a demonstra că măsurile sunt proporționale, echitabile și corecte pentru acești angajați.
4. Ce temei de prelucrare pot utiliza pentru testarea COVID-19?
Deoarece datele privind sănătatea sunt categorii speciale de date, pot fi utilizate unul sau mai multe temeiuri de la art. 9 RGPD.
Cel mai bun temei pentru testarea COVID-19 este art. 9 alin. 2 lit h):
„prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a
angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului
Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării
condițiilor și garanțiilor prevăzute la alineatul (3);”
După ce ai identificat temeiul trebuie să:
5. Ce ar trebui să comunic angajaților?
Principiul transparenței este foarte important. Ca angajator, este important să fii clar, deschis și onest cu angajații cu privire la modalitatea în care le prelucrezi datele, mai ales când vorbim de date privind sănătatea. Dacă testezi angajații de COVID-19, trebuie să explici angajaților ce vei face cu acele informații și ce decizii vei lua.
Dacă optezi pentru testarea COVID-19, ar trebui să comunici angajaților o notă de informare cu privire la datele pe care le prelucrezi, ce faci cu ele, cui le transmiți, cât le stochezi, ce decizii iei în baza lor și celelalte elemente de la art. 13 GDPR.
6. Pot să fac testarea COVID-19 obligatorie?
Aceasta nu este o întrebare ce ține doar de protecția datelor. Poți încuraja angajații să participe la testarea COVID-19, dar nu îi poți obliga, cu excepția situației puțin probabile în care vor apărea noi norme care vor permite testarea obligatorie.
Nu uită însă: Înainte de testarea COVID-19, trebuie să efectuezi o evaluare de impact.
7. Ce trebuie să comunic mai exact angajaților înainte de testarea COVID-19?
Angajatul are, ca orice persoană fizică, dreptul la informare prevăzut de GDPR.
Înainte de a introduce testarea COVID-19, trebuie să comunici angajaților prin intermediul unei note de informare următoarele:
- ce date personale colectezi cu ocazia testării;
- pentru ce vor fi folosite rezultatele testării;
- cui vei transmite rezultatele testării;
- pe ce perioadă vei păstra datele;
- ce drepturi au angajații cu privire la datele lor.
Nu uita să păstrezi dovada că ai informat angajații pentru a te putea apăra în eventualitatea unei investigații sau a unui litigiu.
8. Dacă un angajat îmi comunică rezultatul unui test efectuat pe cont propriu sau în afara locului de muncă ce am de făcut?
Pentru orice rezultate ale unei testări care îți sunt dezvăluite, ai o obligație de a asigurara securitatea, confidențialitatea și anonimatul persoanei. Prin urmare, nu poți dezvălui numele persoanei sau alte elemente care o pot identifica direct sau indirect.
9. Pot păstra o listă a persoanelor care au fost testate pozitiv?
Da, însă trebuie să te asiguri că lista este păstrată în condiții maxime de securitate și confidențialitate și că orice angajați care au acces la ea sunt obligați să respecte clauze de confidențialitate.
Ca angajator, trebuie să te asiguri că acea listă nu va conduce către un tratament nedrept față de angajați. Totodată, nu ar trebui să păstrezi lista mai mult decât este necesar și să o ștergi definitiv după ce scopurile au fost atinse, de exemplu persoana a fost vindecată.
10. Pot să comunic celorlalți angajați dacă am avut un caz COVID-19?
Ar trebui să ții la curent persoanele interesate cu privire la existența (sperăm să nu) a oricăror cazuri, însă nu trebuie să numele persoanei sau alte elemente care pot identifica persoana.
Sursa: ICO