GDPR
Uncategorized

Luăm sau nu datele de sănătate ale angajaților? Ce spun normele GDPR

Cum ne menținem în legalitate

Odată cu revenirea la birou, grija pentru starea de sănătate a angajaților se poate amplifica și, fără să ne dăm seama, ne putem abate de la normele GDPR europene privind protecția datelor de sănătate. Astfel putem avea tendința de a solicita o cantitate mai mare de date despre sănătatea colegilor decât avem nevoie, prin acele chestionare care le cer să spună unde au călătorit, dacă au intrat în contact cu diverse persoane care au prezentat simptome de Covid-19 sau care au fost diagnosticate cu acest virus. În plus, articolul 13 din Legea 55/2020 care reglementează starea de alertă, cere operatorilor economici și profesioniștilor să asigure, în mod obligatoriu, triajul epidemiologic pentru personalul propriu, prin măsurarea temperaturii prin termometru noncontact.

Ce facem însă cu aceste date? Care este regulamentul GDPR pentru ele? Avocații atrag atenția că este nevoie să avem grijă mare atunci când cerem și prelucrăm datele despre sănătatea angajaților pentru că acestea pot fi subiectul unor controale, contestări și chiar procese.


Avocata Cristina Bojică, Head of Litigation la Cabinet Gruia Dufaut, oferă toate detaliile GDPR, despre cum putem fi în legalitate în această perioadă, prelucrând doar acele date prin care putem preveni răspândirea virusului în echipă.

Odată cu această nouă epidemie credem că putem să prelucrăm practic cam orice, numai pentru a ține în siguranță oamenii de la locul de muncă. Obligația angajatorilor este, însă, de a pune în practică un plan de prevenire și măsuri de securitate la locul de muncă, iar obligația generală a angajaților este de a nu-i pune în pericol pe ceilalți colegi. Pornind de la aceste obligații este normal ca angajatorul să ia măsurile de securitate și să aibă tendința de a prelucra o cantitate mai mare de date. Cel puțin asta am văzut noi până acum, spune avocata Cristina Bojică.

Cam aceeași tendință este și cu invocarea forței majore. Toată lumea a început să invoce forța majoră ca urmare a situației existente, considerând întemeiat să facă acest lucru și să ia decizii. Ei bine nu este chiar așa, nu putem face orice chiar dacă este această epidemie, cu atât mai puțin în ceea ce privește datele de sănătate ale angajaților, adaugă avocata. 

 

GDPR privind datelor de sănătate ale angajaților:


Datele de sănătate sunt considerate de Regulamentul European date cu caracter special. Iar Regulamentul European nu a suferit nicio modificare. Atât timp cât nu avem nicio lege internă care să deroge parțial de la anumite măsuri stabilite de Regulamentul European în ceea ce privește prelucrarea datelor cu caracter personal, acest Regulament rămâne pe deplin aplicabil, cum îl știm. 

De aceea, înainte de a vorbi de temperatura și măsurile speciale care se vehiculează în ultimul timp, aș dori să reamintesc că prelucrarea datelor de sănătate, în principiu, este interzisă de Regulamentul European. În articolul 9 se spune foarte clar că această prelucrare este interzisă, menționează avocata Cristina Bojică.

Articolul 9 din Regulamentul European GDPR (nr. 679/2016)

“Prelucrarea de categorii speciale de date cu caracter personal”

(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Prelucrarea datelor cu caracter personal este permisă cu titlul de excepție, în anumite cazuri, prevăzute tot în articolul 9, alineatul doi.

(2) Alineatul (1) nu se aplică în următoarele situații:

(a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal, pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;

(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;

(d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;

(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;

(g) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate;

(h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3);

(i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional;

(j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.

 

Unde s-ar încadra în art. 9, alineatul 2, prelucrarea datelor de sănătate ale angajaților.


Din punctul nostru de vedere, cam 3-4 litere ar putea să justifice prelucrarea datelor de sănătate ale angajților, dar trebuie analizate de fiecare angajator în funcție de situația în care se află, spune avocata Cristina Bojică. 

 

Litera b) – Pentru a-mi îndeplini obligații și a-mi exercita drepturi specifice în domeniul ocupării forței de muncă și al securității sociale și protecției sociale. 

Litera f) – pentru constatarea, exercitarea sau apărarea unui drept în instanță. Recomand mai rar justificarea prin această prevedere.  Este însă posibil să prelucrez datele de sănătate ale angajaților pentru a arăta că eu, ca angajator, mi-am îndeplinit obligațiile legale și am luat măsuri de securitate. 

Litera g) – prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern.
Trebuie însă să am o lege care să-mi permită să prelucrez anumite date de sănătate, în interes public major.  Nu se spune ce este acela interes public major. Dar dacă ne uităm, de exemplu, în Italia, o să vedem că toate acțiunile întreprinse de autorități în domeniul sănătății în acest context pot fi încadrate în categoria de interes public major, spune avocata. 

Litera h) – prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii. Această prevedere se aplică mai degrabă medicilor din cabinetele medicale. 

PRIMEȘTE CELE MAI NOI ARTICOLE DIRECT ÎN INBOX👇

Atenție! Nu folosiți consimțământul decât ca ultim resort. Pentru că în relația angajator – angajat, prelucrarea datelor, cu atât mai puțin a datelor de sănătate, trebuie făcută în baza consimțământului. Relația angajator și angajat este însă una de subordonare, deci modul în care îmi exprim consimțământul eu, salariat, nu ar putea să fie în nicio situație considerat valabil. El trebuie să îndeplinească anumite condiții în baza articolului 7 din Regulamentul European.

 

Principii importante GDPR privind prelucrarea datelor de sănătate:

Principiul legat de scop

Reducerea la minimum a datelor

Exactitate

Datele legate de sănătate, pe care le prelucrăm în acest context, trebuie să le limităm la scopul pentru care le prelucrăm. Iar scopul este să reducem răspândirea bolii și să desfășurăm activitatea în siguranță. Nu colectăm de la salariat decât date de sănătate în acest context, decât ceea ce avem nevoie pentru scopul respectiv. Adică știm că a avut o temperatură care a depășit pragul admisibil, dar nu avem voie să știm sau să ne interesăm cu ce persoane a venit în contact, identitatea lor sau comorbidități ale salariatului, riscurile de sănătate pe care le are și care duc la agravarea stării de sănătate în cazul infectării cu Covid-19. Aceste informații, eu, ca angajator, nu am nevoie să le știu. Ele sunt tratate de medicul de la medicina muncii.

De ce amintesc acest principii? Pentru că încălcarea Regulamentului European GDPR privind prelucrarea de categorii speciale de date cu caracter personal conduce la sancțiuni importante. Momentan nu sunt controale, dar ele vor veni mai ales dacă se întâmplă să punem în pericol sănătatea și viața unui angajat la locul de muncă.

 

Principiul limitării leagate de stocare (doar pentru perioada necesară îndeplinirii scopurilor prelucrării )

Nu trebuie să ținem datele de sănătate ale angajaților mai mult decât e nevoie și trebuie să prevedem în procedurile interne, termenul în care le stocăm și în care le păstrăm. Din orientările europene, avem informația că datele cu caracter personal pe partea aceasta de Covid-19, preluate din aplicațiile mobile, nu ar trebui păstrate mai mult de o lună de zile, adică perioada de incubație plus încă o marjă. Aceasta ar fi recomandarea la nivel european, dar, repet, nu este o recomandare către prelucrarea de către angajator a datelor, ci pe partea de aplicații mobile, spune avocata Cristina Bojică. 

 

• Principul integrității și confidențialității

De asemenea, trebuie să asigurăm confidențialitatea acestor date. Să avem măsuri de securitate, care să asigure siguranța datelor și faptul că ele nu pot fi dezvăluite, nu pot fi accesate de nicio altă persoană care nu are dreptul să aibă acces la ele. 

 

Bune practici privind prelucrarea datelor de sănătate ale angajaților, oferite de avocata Cristina Bojică de la Cabinet Gruia Dufaut.

 

  • Luăm temperatura angajaților, Legea 55/2020 ne dă acest drept legal, iar în momentul în care am văzut că un salariat a depășit limita admisă (n.r. 37,3) luăm măsuri: îi spunem angajatului să meargă acasă și îi amintim obligația de a lua legătura cu medicul de medicina muncii. Eu, ca angajator, am obligația să iau măsurile de securitate în cadrul companiei și să fac dezinfectare, să anunț că există posibilitatea de infectare cu Covid-19. Atenție, niciodată nu anunț entitatea persoanei. Niciodată nu spun: Salariatul X este bolnav sau prezintă simptome pentru că a avut o temperatură de Y grade. 
  • Luăm temperatura doar prin modalități normale. Autoritățile de supraveghere a datelor personale sunt unanime în a considera că nu se poate lua temperatura oricum. De exemplu, autoritățile din Franța și Italia spun că este permisă luarea temperaturii prin modalități normale, nu prin automatizate, nu prin scanere. Oricum, nu prin modalități care să ducă la înregistrarea temperaturii, indiferent că înregistrararea este automatizată pe calculator sau pe hârtie.
  • Nu ținem registre cu temperatura oamenilor, nu există niciun temei legal pentru a face asta.
  • Din punct de vedere al protecției datelor cu caracter personal, nu se justifică nici acele chestionare: pe unde am umblat, cu cine am intrat în contact. Ele, chiar dacă nu sunt direct date de sănătate, prin corespondență cu situația actuală sunt considerate/asimilate datelor de sănătate. Astfel încât sunt date speciale, date sensibile și trebuie să avem atenție la prelucrarea lor. Deci și aceste chestionare sunt considerate că ar încălca dreptul la viață privată și prelucrarea datelor cu caracter personal.
  • Este foarte important să vedem dacă am făcut informarea corectă către salariați. Prelucrarea acestor date de sănătate în acest context, este permisă, însă e ceva de noutate. Astfel încât trebuie să ne uităm la actele pe care le-am făcut pe parte de protecție a datelor caracter personal pentru a vedea dacă această prelucrare a datelor actuale de sănătate este prevăzută. Pentru că prelucrarea datelor de sănătate la angajator este mai puțin prevăzută. Medicul de medicina muncii are aceste competențe.
  • Verifică nota de informare pe care ați transmis-o salariaților și vedeți dacă cuprinde această prelucrare de date de sănătate: modul de prelucrare, condițiile de prelucrare.
  • De asemenea, trebuie să verifici și Registrul operațiunilor de prelucrare a datelor cu caracter personal, pe care angajatorul este obligat să-l țină, conform articolului 30 din Regulamentul European, să vezi toate aspectele GDPR și mai ales dacă această activitate de prelucrare a datelor de sănătate apare, în ce temei prelucrezi datele, care este scopul, care este durata. Dacă nu ai specificat, modifică-l și precizează această nouă activitate de prelucrare.
  • Dacă ai nevoie de mai multe date cu privire la starea de sănătate a angajaților, apelează la medicul de medicina muncii. El are posibilitatea să prelucreze aceste date și te va anunța. Dar nu-ți va transmite neapărat diagnosticul. Îți va spune că în companie există o persoană care prezintă riscuri mai mari sau care a fost infectată, care prezintă simptome Angajatorul nu prelucrează direct acest date, el trebuie să respecte GDPR-ul.

Așadar, da, avem dreptul de a lua temperatura angajaților, respectând astfel legea 55/2020, însă este esențial să respectăm și normele GDPR europene privind prelucrarea datelor de sănătate. Scopul pentru care luăm temperatura este foarte important, acesta fiind un titlu de excepție din Regulamentul European, privind prelucrarea de categorii speciale de date cu caracter personal. Scopul în contextul actual este doar să reduci răspândirea Covid-19 și să-ți desfășori activitatea în siguranță. Atât timp cât nu există o prevedere legală care să spună că temperatura trebuie înregistrată sub o formă sau alta de angajator, încearcă să faci această acțiune cu discreție, respectând viața privată a angajaților. 

Ca angajator nu trebuie să întrebi detalii despre bolile pe care le au angajații, ci doar, în cazul în care au o temperatura peste limită sau se simt rău la birou, să-i îndrumi spre autoritățile abilitate să evalueze starea lor de sănătate. Prin urmare nu se justifică ca angajații să irosească timp pentru completarea unor chestionare cu date de sănătate care nu servesc scopului menționat. Ele sunt tratate de medicul de medicina muncii și tot medicul de medicina muncii transmite informațiile despre starea de sănătate a angajaților și face recomandări angajatorului. Este o abordare care respectă normele GDPR, pe care angajații tăi cu siguranță o vor aprecia și care nu va lăsa loc de contestare.


Ți-a plăcut articolul despre GDPR privind datele de sănătate ale angajaților? Citește și:

Regulament de Ordine Interioară. Tot ce ar trebui să știi despre el

Cum se va schimba felul în care muncim după 15 mai?

Concediu de odihnă. Cum îl acordăm în mod legal

Categorii:
Uncategorized

După absolvirea Facultății de Jurnalism și Științele Comunicării, din cadrul Universității București, a lucrat timp de 8 ani în presa scrisă, în PR și în marketing pentru o companie de recrutare. În 2016 a simțit că e momentul pentru o nouă provocare în carieră și s-a alăturat echipei eJobs și ulterior și echipei We Are HR. În portofoliul său se află articole pe subiecte precum modificările legislative în domeniul muncii, cultură organizațională, leadership, employer branding, precum și interviuri cu specialiști în HR și manageri de companii.

Leave a Reply

*

*