Păstrarea cursului obișnuit de activități în cadrul unei companii în vreme de COVID-19 este o provocare, dar și un deziderat pentru mediul de business din România. Măsurile luate în această perioadă de companii trebuie să respecte prevederile în materia protecției datelor cu caracter personal ale angajaților.
Cea mai întâlnită măsură de limitare a transmiterii COVID-19 este reprezentată de utilizarea de chestionare prin care este evaluat riscul de contaminarea a angajaților, măsură care presupune prelucrarea de date cu caracter personal. Legalitatea prelucrării acestor date trebuie analizată din perspectiva justificării unui temei legal, dar și a folosirii minimului de informații necesare pentru scopul prelucrării (acela de a împiedica transmiterea virusului), pe o perioadă cât mai scurtă de timp și numai ca urmare a implementării unor măsuri de securitate adecvate.
La fel ca orice analiză în materia protecției datelor cu caracter personal, nici în acest caz nu există o rețetă general valabilă pentru asigurarea legalității prelucrării acestor date. Desigur, regulile aplicabile în materia protecției datelor cu caracter personal ale angajaților privind starea de sănătate trebuie coroborate cu prevederile relevante cuprinse în legislației muncii – reglementările privind sănătatea și securitatea în muncă, actele legislative emise de autoritățile competente în contextul stării de urgență -, toate putând varia în funcție de obiectul de activitate al companiei. Astfel, de la caz la caz va trebui să ne raportăm la prevederile Regulamentului 2016/679 (GDPR), în special din perspectiva principiilor și a temeiului legal – și luând în considerare aspecte precum scopul măsurii, durata aplicării acesteia și durata prelucrării după ce nu se mai justifică măsura.
Chestionarele pentru angajați, o soluție?
Chestionarele, în format fizic sau derulate prin intermediul unui serviciu de tip call center, reprezintă probabil cel mai puțin intruzivă metodă care poate fi utilizată de angajator în evaluarea riscului de contaminare a angajaților. Desigur, aceasta depinde exclusiv de conținutul întrebărilor adresate în cadrul chestionarului, mai precis dacă întrebările presupun sau nu aflarea de informații ce țin de starea de sănătate a angajatului. Este recomandabilă evitarea întrebărilor prin care angajatul menționează dacă are probleme de sănătate (de exemplu, tușește, are temperatură sau afecțiuni pre-existente etc.) și includerea de întrebări referitoare la activitatea sa (de exemplu, dacă a călătorit în străinătate în/prin zonele afectate, a avut contact cu persoane care aveau anumite simptome sau care au fost testate pozitiv, perioada de timp aferentă călătoriei sau expunerii, vârsta).
Includerea întrebărilor prin care se identifică problemele de sănătate ale angajaților presupune prelucrarea de date cu caracter special și poate fi realizată numai pe cale de excepție, în anumite situații; mai precis, atunci când prelucrarea datelor:
- este realizată de medicul de medicina muncii în scopuri specifice, precum medicina preventivă sau a muncii, evaluarea capacității de muncă a angajatului etc.;
- asigură conformarea cu obligațiile angajatorului pentru ocuparea forței de muncă, securitatea și protecția socială;
- este necesară din motive de interes public major, prevăzute de legislația din România sau de la nivel european;
- facilitează un interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății, atât timp cât aceasta este prevăzută de legislația din România sau de la nivel european.
Având în vedere că recomandările și practicile la nivel european consideră că acordul dat în relațiile de muncă nu este valabil, posibilitatea de a-l utiliza pentru astfel de activități de prelucrare a datelor angajaților este discutabilă. În egală măsura, ipotezele de mai sus trebuie analizate cu atenție, pentru a verifica îndeplinirea tuturor condițiilor prevăzute de GDPR, inclusiv din perspectiva măsurilor recent adoptate de Guvern.
Cine poate afla identitatea persoanei testate pozitiv pentru COVID-19?
Dezvăluirea identității persoanei testate pozitiv pentru COVID-19 trebuie realizată doar față de un număr limitat de persoane, precum echipa din cadrul companiei care gestionează situația de urgență, echipa restrânsă cu care persoana lucra în mod uzual. Așadar, această informație nu trebuie transmisă către întregul personal al companiei sau în afara companiei.
Care este strategia de la nivel european?
Strategia la nivel european nu este unitară și depinde de la un stat membru la altul. Pe de o parte, Franța, Olanda și Belgia au reguli stricte prin care interzic testarea sistematică a angajaților atât pentru verificarea temperaturii, cât și pentru testarea pentru COVID-19. Pe cealaltă parte, Germania și Spania au o abordare mai relaxată, oferind angajatorilor posibilitatea de a testa angajații, atât timp cât aceste date sunt șterse la finalul perioadei pandemice.
În concluzie, prelucrarea datelor cu caracter personal ale angajaților privind starea de sănătate poate fi considerată justificată și legitimă în această perioadă, însă numai în anumite situații limitate, ce țin de industria în care activează compania, destinatarii informațiilor, precum și de conținutul respectivelor date cu caracter personal.
*
Andreea Bîră, Senior Associate, Cristina Iacobescu, Senior Associate, și Silvia Axinescu, Senior Managing Associate la Reff & Asociații