Declaraţia privind prelucrarea datelor cu caracter personal în contextul pandemiei COVID-19
În data de 19 martie 2020, Comitetul European pentru Protecţia Datelor (CEPD) a adoptat Declaraţia privind prelucrarea datelor cu caracter personal în contextul pandemiei COVID-19.
Conținutul acestei Declarații este următorul:
’’Guvernele, organizațiile publice și private din întreaga Europă iau măsuri pentru a limita și a atenua efectele COVID-19 iar acest lucru poate implica prelucrarea diferitelor tipuri de date cu caracter personal, cele mai multe fiind din categoria datelor cu caracter personal special.
Normele privind protecția datelor (precum GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei de Coronavirus. Lupta împotriva bolilor transmisibile este un obiectiv valoros comun tuturor națiunilor și, prin urmare, ar trebui să fie sprijinit în cel mai bun mod posibil. Este în interesul umanității să se oprească răspândirea bolilor și utilizarea tehnicilor moderne în lupta împotriva flagelurilor care afectează părți importante a lumii.
Chiar și așa, CEPD ar dori să sublinieze că, chiar și în aceste vremuri excepționale Operatorii de date și Persoanele Imputernicite de către operatori trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate.
Prin urmare, ar trebui să se țină seama de o serie de considerații pentru a garanta legalitatea prelucrarii datelor cu caracter personal și, în toate cazurile, trebuie reamintit faptul că orice măsură luată în acest context trebuie să respecte principiile generale de drept și nu trebuie să fie ireversibile. Situația de urgență este o condiție legală care poate legitima restricțiile de libertate, cu condiția ca aceste restricții să fie proporționale și limitat la perioada de urgență.
1. Legalitatea procesarii.
GDPR este un act legislativ vast și prevede reguli care se aplică și procesării de date cu caracter personal într-un context precum cel referitor la COVID-19. GDPR-ul permite publicului competent, autorităților sanitare și angajatorilor să prelucreze datele cu caracter personal în contextul unei epidemii, în conformitate cu legislația națională și în condițiile prevăzute de aceasta. De exemplu, cand procesarea este necesara din motive de interes public substanțial în domeniul sănătății publice, in aceste circumstanțe nu este necesar să vă bazați (sa solicitati) pe consimțământul persoanelor vizate.
1.1 În ceea ce privește prelucrarea datelor cu caracter personal, inclusiv categorii speciale de date, de către autoritățile publice competente (de exemplu, autoritățile de sănătate publică), CEPD consideră că articolele 6 și 9 din GDPR permit prelucrarea acestor date cu caracter personal, în special atunci când acestea fac obiectul obligatiilor si a sarcinilor legale ce revin autoritatilor publice in cauza si sunt prevăzute de legislația națională cu respectarea condițiile prevazute de GDPR.
1.2 În contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru conformarea cu o obligație legală ce revine angajatorului, cum ar fi obligații referitoare la sănătate și securitate la locul de muncă sau la interesul public, cum ar fi controlul bolilor și alte amenințări la adresa sănătății.
GDPR prevede, de asemenea, derogări la interzicerea prelucrării anumitor categorii speciale de date cu caracter personal, cum ar fi date despre sănătate, atunci cand acestea sunt necesare din motive de interes public substanțial în domeniul sănătății publice (art. 9.2.i), în temeiul dreptului UE sau a dreptului intern
sau acolo unde este nevoie pentru a proteja interesele vitale ale persoanei vizate (art.9.2.c), după cum considerentul 46 face referire explicit la gestionarea situatiei in cazul unei epidemii.
1.3 În ceea ce privește prelucrarea datelor din domeniul telecomunicațiilor, cum ar fi datele privind localizarea, trebuie respectate legile naționale de punere in aplicare a Directivei privind Confidențialitatea. În principiu, datele de localizare pot fi utilizate doar de către operator atunci când sunt anonimizate sau cu acordul persoanelor fizice. Cu toate acestea, art. 15 din Directiva 2002/58/CE (Regulamentul privind viața privată și comunicațiile electronice sau ePrivacy) permite statelor membre să introducă măsuri legislative pentru a imbunatatii securitatea publică. Un astfel de act legislativ excepțional este posibil numai dacă se dovedeste a fi o masura necesara, adecvata si proportionala în cadrul unei societăți democratice. Aceste măsuri trebuie să fie în conformitate cu prevederile din Carta drepturilor fundamentale și din Convenția europeană pentru protecția drepturilor omului și libertăți fundamentale. Mai mult, acesta se supune controlului judiciar al Curții Europene de Justiția și Curtea Europeană a Drepturilor Omului. În cazul unei situații de urgență, ar trebui să fie și acesta strict limitat la durata perioadei respective.
2. Principii de bază referitoare la prelucrarea datelor cu caracter personal
Datele cu caracter personal necesare pentru atingerea obiectivelor urmărite trebuie prelucrate in scopuri specifice si explicite.
În plus, persoanele vizate ar trebui să primească informații transparente cu privire la activitățile de prelucrare care sunt realizate și principalele caracteristici ale acestora, inclusiv perioada de păstrare a datelor colectate și scopurile prelucrării. Informațiile furnizate ar trebui să fie ușor accesibile și furnizate într-un limbaj clar si usor de inteles.
Este important să se adopte măsuri de securitate adecvate și politici de confidențialitate asigurându-se că datele cu caracter personal nu sunt dezvăluite părților neautorizate.
3. Utilizarea datelor de localizare mobilă
* Guvernele statelor membre pot să utilizeze datele cu caracter personal furnizate de telefoanele mobile ale persoanelor fizice in eforturile lor de a monitoriza, limita sau atenua răspândirea COVID-19?
În unele state membre, guvernele au în vedere utilizarea datelor de localizare furnizate de telefonul mobil ca o modalitate de a face posibilă monitorizarea, limitarea sau diminuarea răspândirii COVID-19.
Aceasta ar presupune, de exemplu, posibilitatea geolocalizarii persoanelor sau posibilitatea de a trimite mesaje de sănătate publică persoanelor dintr-o anumită zonă prin telefon sau mesaj text.
Autoritățile publice ar trebui să încearce mai întâi să prelucreze datele privind locației într-un mod anonim (adică prelucrarea datelor agregate într-un mod în care persoanele nu pot fi reidentificate), ceea ce ar putea conduce la generarea de rapoarte privind concentrația dispozitivelor mobile într-o anumită locație („cartografie”).
Normele de protecție a datelor cu caracter personal nu se aplică datelor care au fost anonimizate în mod corespunzător.
Atunci când nu este posibil să se proceseze doar date anonime, Directiva ePrivacy în vigoare permite statelor membre să introducă măsuri legislative pentru salvgardarea securității publice (art. 15).
Dacă sunt introduse măsuri care permit prelucrarea datelor neanonimizate privind locația, statul membru este obligat să pună în aplicare garanții adecvate, cum ar fi punerea la dispozitie a unor mijloace electronice de comunicatii pentru persoanele fizice in vederea exercitarii dreptul la o cale de atac judiciar.
Se aplică și principiul proporționalității. Soluțiile cele mai puțin intruzive ar trebui să fie întotdeauna preferate, ținând cont de scopul specific care trebuie atins.
Măsuri invazive, cum ar fi „urmărirea”(tracking) persoanelor fizice (adică prelucrarea istoricului datelor privind localizarea, date neanonimizate) ar putea fi considerate proporționale în circumstanțe excepționale și în funcție de modalitățile concrete de prelucrare.
Cu toate acestea, prelucrarea ar trebui să constituie obiectul unei examinări adecvate și al unor garanții sporite pentru a asigura respectarea principiilor de protecție a datelor (proporționalitatea măsurilor în ceea ce priveste durata și domeniul de aplicare, limitari privind perioada de retentie si scopul urmarit).
4. Ocuparea forței de muncă
* Un angajator poate solicita vizitatorilor sau angajaților să furnizeze informații specifice în domeniul sănătății în contextul COVID-19?
Aplicarea principiului proporționalității și minimizării datelor sunt deosebit de relevante aici.
Angajatorul trebuie să solicite informații despre sănătate numai în măsura în care legislația națională o permite.
* Un angajator are voie să efectueze controale medicale la angajați?
Răspunsul se bazează pe legile naționale referitoare la ocuparea forței de muncă sau la sănătate și siguranță. Angajatorii ar trebui să aibă acces la datele privind sănătatea și să le prelucreze numai în cazul în care obligațiile lor legale le impun acest lucru.
* Un angajator poate dezvălui că un angajat este infectat cu COVID-19 colegilor sau in personalului extern?
Angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui sa comunice mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajatul (angajațiilor) care a contractat virusul (de exemplu, într-un context preventiv) și legislația națională îi permite, angajații în cauză sunt informați în prealabil și se va asigura respectarea demnitatii și integritatii acestora.
* Ce informații prelucrate în contextul COVID-19 pot fi obținute de către angajatori?
Angajatorii pot obține informații personale pentru a-și îndeplini sarcinile și pentru a-și organiza munca în conformitate cu legislația națională.’’