1. A modificat pandemia de COVID-19 regulile in materia protectiei datelor cu caracter personal?
Nu as spune ca pandemia a modificat regulile in materia protectiei datelor cu caracter personal, insa cu siguranta contextul actual a adus o serie de provocari in zona stabilirii granitelor dintre dreptul persoanei la protectia vietii sale private si interesul general de a procesa date personale, de exemplu, in scopul limitarii sau controlarii raspandirii virsului SARS-Cov-2 sau in scopul efectuarii de cercetari stiintifice cu privire la acest virus.
Probabil ca inainte de februarie/martie 2020 nu ne-am fi pus problema unor certificate digitale de sanatate - cum este cel introdus recent de Danemarca si care atesta ca posesorul are un rezultat negativ la testul PCR pentru depistarea infectarii cu COVID-19 sau am fi vorbit in cu totul alti termeni despre aplicatiile de detectare a contactelor (contact tracing tools), introduse deja in tari precum Germania si Franta in scopul de a notifica utilizatorul despre faptul ca a fost in proximitatea unei persoane confirmate ca fiind purtatoare a virsului.
Astfel de procesari de date ar fi parut poate nejustificate, invazive sau excesive in raport de principiile statuate in Regulamentul nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal, insa actualul context le legitimeza fara sa fi intervenit vreo modificare a cadrului legislativ la nivel european, in baza interpretarii prevederilor existente intr-un mod adaptat momentului prezent (cel mai relevant temei legal pentru astfel de procesari fiind indeplinirea unei sarcini care serveste unui interes public).
Optica generala la nivel european este aceea ca nu trebuie sa alegem intre a raspunde eficient in actualul context pandemic si a proteja drepturile fundamentale ale persoanei, iar principiile privind protectia datelor cu caracter personal ar trebui sa joace un rol important in managementul crizei provocate de raspandirea COVID-19.
2. Cat de invazive sunt aceste aplicatii si ce garantii exista cu privire la respectarea principiilor privind prelucrarea datelor cu caracter personal in contextul utilizarii unor astfel de instrumente?
Centrul European pentru Protectia Datelor (EDPB) a emis instructiuni speciale in materia utilizarii datelor de localizare si a aplicatiilor de detectare a contactelor in contextul pandemiei de COVID – 19, aceste instructiuni precizand in mod clar faptul ca monitorizarea sistematica si pe scara larga a locatiei si a contactelor intre persoane fizice reprezinta o intruziune serioasa in viata privata a acestora, care nu poate fi legitimata decat de adoptarea voluntara de catre utilizatori a unor astfel de instrumente, fara ca cei care decid sa nu foloseasca astfel de aplicatii sa sufere de vreo forma de discriminare sau sa fie in vreun fel dezavantajati.
Printre recomandarile EDPB in legatura cu aceste aplicatii se numara aceea ca operatorii de date sa fie autoritatile nationale de sanatate, scopurile prelucrarii sa fie suficient de bine limitate incat sa excluda orice prelucrari viitoare externe managementului pandemiei de COVID – 19, iar implementarea unor astfel de instrumente de monitorizare sa se faca doar dupa evaluarea impactului asupra protectiei datelor personale. De asemenea, EDPB arata ca astfel de instrumente nu pot inlocui, ci doar pot sustine factorul uman in identificarea situatiilor care pot genera transmiterea virusului si ca trebuie create contextul si mijloacele pentru analiza subsecventa a datelor colectate si pentru corectii, de exemplu, in cazul rezultatelor fals pozitive. Asadar da, exista preocupari clare in zona identificarii unor garantii adecvate care sa asigure ca utilizarea unor astfel de aplicatii nu va genera incalcarea principiilor generale in materia protectiei datelor cu caracter personal.
3. Pandemia de COVID-19 a adus o perspectiva noua si in ceea ce priveste procesarea datelor cu caracter personal in relatia dintre angajati si angajatori?
Intr-adevar, si in aceasta zona au intervenit adaptari si evolutii ale punctelor de vedere de la inceputul pandemiei si pana in prezent. La inceputul actualei crize, autoritatile responsabile cu protectia datelor cu caracter personal din Europa, inclusiv autoritati din state puternic afectate de pandemie (Italia, spre exemplu) au fost prudente sau chiar reticente in a accepta ca fiind permisa colectarea si procesarea, de catre angajatori, a datelor cu caracter personal privind starea de sanatate a angajatilor intr-o maniera sistematica si generalizata, inclusiv prin adresarea de intrebari/efectuarea de verificari privind semnele unor infectii respiratorii. Optica generala era aceea ca astfel de date trebuie colectate si procesate doar de catre profesionisti in domeniul medical sau de catre autoritatile insarcintate cu asigurarea conformarii cu regulile de sanatate publica.
Acum masurarea temperaturii la locul de munca a devenit obligatorie inclusiv in Romania, angajatorii avand obligatia, cel putin pe perioada starii de alerta, sa izoleze de restul colegilor si sa trimita la domiciliu/la unitati sanitare angajatii cu simptome respiratorii si/sau febra mai mare de 37,3° C.
Exista acum o serie de alte intrebari la care raspunsul nu este cristalizat deocamdata: pot angajatorii sa colecteze si sa prelucreze informatii in legatura cu zonele in care si-a petrecut vacanta un angajat, pentru a identifica daca acesta a fost in zone cu risc de infectare? Pot angajatorii intreba in mod regulat angajatii daca au avut contact direct cu o persoana bolnava care a avut simptome de infectare cu SARS-Cov-2? Au dreptul angajatorii sa informeze angajatii ca un anumit angajat sufera de COVID-19, mentionand numele acestuia?
Pozitionarea la nivel european cu privire la raspunsul la astfel de intrebari este in continuare prudenta: un raspuns afirmativ se bazeaza in principal pe obligatiile generale ale angajatorilor de a asigura sanatatea si securitatatea la locul de munca si mai putin pe indrumari sau calificari ferme in acest sens din partea autoritatilor nationale insarcinate cu protectia datelor cu caracter personal. Pozitionarea EDPB este in aceeasi zona: astfel de date pot fi prelucrate de catre angajatori doar daca legea nationala permite acest lucru si daca prelucrarea serveste conformarii cu obligatiile legale stabilite in sarcina angajatorilor.
O pozitie ceva mai conturata a EDPB am identificat in legatura cu dezvaluirea numelui angajatilor infectati cu COVID-19: o astfel de dezvaluire poate fi facuta doar daca este absolut necesara in contextul asigurarii preventiei, doar cu informarea prealabila a respectivului angajat si doar cu protejarea integritatii si demnitatii sale. In Romania ANSPCDP a precizat ca dezvaluirea in spatiul public a numelui si starii de sanatate a unei persoane fizice se poate realiza doar cu consimtamantul persoanei in cauza.
Au devenit de asemenea actuale si discutiile despre dreptul angajatilor de a refuza o calatorie de afaceri intr-o tara cu o rata mare de raspandire a COVID-19 sau chiar de a refuza sa lucreze in spatii deschise sau birouri comune. Exista la nivel european o linie fina de demarcare intre prerogativa angajatorului de a dispune cu privire la organizarea muncii si/sau de a decide executarea temporara a sarcinilor de serviciu in afara locului sau de munca si dreptul angajatilor de a se proteja in fata eventualelor riscuri la care sunt supusi urmare a acestor decizii: in general legislatiile nationale recunosc doar cu titlu de exceptie posibilitatea angajatului de a refuza deciziile angajatorilor privind modul de organizare a muncii si impun pentru angajatori obligatia de a asigura masurile de siguranta necesare pentru protectia angajatilor. Optica la nivel european este aceea de a analiza de fiecare data echilibrul dintre interesul de afaceri al angajatorului si gravitatea riscului la care este expus angajatul.
Si in Romania legislatia secundara adoptata in contextul starii de alerta stabileste masuri obligatorii pentru organizarea muncii in spatii deschise, neexistand un context legislativ care sa sustina un refuz de plano al angajatului de a presta munca in spatii deschise sau de a refuza o calatorie de afaceri.
4. Mai este loc si pentru alte evolutii in ceea ce priveste protectia datelor cu caracter personal in contextul actual?
Daca e sa ne raportam la evolutiile din ultimele luni, cu siguranta da. In contextul pandemic actual a fost accentuat caracterul relativ al dreptului individual la protectia datelor cu caracter personal, drept care este limitat de dreptul colectiv la siguranta sanitara, de dreptul celorlalti de a nu fi expusi riscului unor imobolnaviri. Probabil ca preocuparea cu privire la evitarea acestui tip de riscuri va deveni parte din ceea ce numim acum „noul normal”, context in care este posibil ca, de exemplu, sa fie utilizate pe scara larga intrumente precum certificatele digitale de sanatate sau sa se creeze circumstante clare in care sa poata fi folosite datele de localizare pentru a mapa raspandirea anumitor infectii sau pentru a verifica modul in care sunt implementate si respectate anumite restrictii.
Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels
