În contextul răspândirii coronavirusului, Andreea Bîră, senior associate, Cristina Iacobescu, senior associate, şi Silvia Axinescu, senior managing associate la Reff & Asociaţii vorbesc despre ce implicaţii au normele de protecţie a datelor cu caracter personal ale angajaţilor:

Păstrarea cursului obişnuit de activităţi în cadrul unei companii în vreme de COVID-19 este o provocare, dar şi un deziderat pentru mediul de business din România. Măsurile luate în această perioadă de companii trebuie să respecte prevederile în materia protecţiei datelor cu caracter personal ale angajaţilor.

Cea mai întâlnită măsură de limitare a transmiterii COVID-19 este reprezentată de utilizarea de chestionare prin care este evaluat riscul de contaminarea a angajaţilor, măsură care presupune prelucrarea de date cu caracter personal. Legalitatea prelucrării acestor date trebuie analizată din perspectiva justificării unui temei legal, dar şi a folosirii minimului de informaţii necesare pentru scopul prelucrării (acela de a împiedica transmiterea virusului), pe o perioadă cât mai scurtă de timp şi numai ca urmare a implementării unor măsuri de securitate adecvate.

La fel ca orice analiză în materia protecţiei datelor cu caracter personal, nici în acest caz nu există o reţetă general valabilă pentru asigurarea legalităţii prelucrării acestor date. Desigur, regulile aplicabile în materia protecţiei datelor cu caracter personal ale angajaţilor privind starea de sănătate trebuie coroborate cu prevederile relevante cuprinse în legislaţiei muncii - reglementările privind sănătatea şi securitatea în muncă, actele legislative emise de autorităţile competente în contextul stării de urgenţă -, toate putând varia în funcţie de obiectul de activitate al companiei. Astfel, de la caz la caz va trebui să ne raportăm la prevederile Regulamentului 2016/679 (GDPR), în special din perspectiva principiilor şi a temeiului legal - şi luând în considerare aspecte precum scopul măsurii, durata aplicării acesteia şi durata prelucrării după ce nu se mai justifică măsura.

Chestionarele pentru angajaţi, o soluţie?

Chestionarele, în format fizic sau derulate prin intermediul unui serviciu de tip call center, reprezintă probabil cel mai puţin intruzivă metodă care poate fi utilizată de angajator în evaluarea riscului de contaminare a angajaţilor. Desigur, aceasta depinde exclusiv de conţinutul întrebărilor adresate în cadrul chestionarului, mai precis dacă întrebările presupun sau nu aflarea de informaţii ce ţin de starea de sănătate a angajatului. Este recomandabilă evitarea întrebărilor prin care angajatul menţionează dacă are probleme de sănătate (de exemplu, tuşeşte, are temperatură sau afecţiuni pre-existente etc.) şi includerea de întrebări referitoare la activitatea sa (de exemplu, dacă a călătorit în străinătate în/prin zonele afectate, a avut contact cu persoane care aveau anumite simptome sau care au fost testate pozitiv, perioada de timp aferentă călătoriei sau expunerii, vârsta).

Includerea întrebărilor prin care se identifică problemele de sănătate ale angajaţilor presupune prelucrarea de date cu caracter special şi poate fi realizată numai pe cale de excepţie, în anumite situaţii; mai precis, atunci când prelucrarea datelor:

• este realizată de medicul de medicina muncii în scopuri specifice, precum medicina preventivă sau a muncii, evaluarea capacităţii de muncă a angajatului etc.;

• asigură conformarea cu obligaţiile angajatorului pentru ocuparea forţei de muncă, securitatea şi protecţia socială;

• este necesară din motive de interes public major, prevăzute de legislaţia din România sau de la nivel european;

• facilitează un interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii, atât timp cât aceasta este prevăzută de legislaţia din România sau de la nivel european.

Având în vedere că recomandările şi practicile la nivel european consideră că acordul dat în relaţiile de muncă nu este valabil, posibilitatea de a-l utiliza pentru astfel de activităţi de prelucrare a datelor angajaţilor este discutabilă. În egală măsura, ipotezele de mai sus trebuie analizate cu atenţie, pentru a verifica îndeplinirea tuturor condiţiilor prevăzute de GDPR, inclusiv din perspectiva măsurilor recent adoptate de Guvern.

Cine poate afla identitatea persoanei testate pozitiv pentru COVID-19?

Dezvăluirea identităţii persoanei testate pozitiv pentru COVID-19 trebuie realizată doar faţă de un număr limitat de persoane, precum echipa din cadrul companiei care gestionează situaţia de urgenţă, echipa restrânsă cu care persoana lucra în mod uzual. Aşadar, această informaţie nu trebuie transmisă către întregul personal al companiei sau în afara companiei.

Care este strategia de la nivel european?

Strategia la nivel european nu este unitară şi depinde de la un stat membru la altul. Pe de o parte, Franţa, Olanda şi Belgia au reguli stricte prin care interzic testarea sistematică a angajaţilor atât pentru verificarea temperaturii, cât şi pentru testarea pentru COVID-19. Pe cealaltă parte, Germania şi Spania au o abordare mai relaxată, oferind angajatorilor posibilitatea de a testa angajaţii, atât timp cât aceste date sunt şterse la finalul perioadei pandemice.

În concluzie, prelucrarea datelor cu caracter personal ale angajaţilor privind starea de sănătate poate fi considerată justificată şi legitimă în această perioadă, însă numai în anumite situaţii limitate, ce ţin de industria în care activează compania, destinatarii informaţiilor, precum şi de conţinutul respectivelor date cu caracter personal.