GDPR și prelucrarea datelor medicale ale salariaților: Ce (nu) pot face angajatorii în contextul coronavirusului

Relevante sunt, în special, prevederile Regulamentului general privind protecția datelor (GDPR), care clasifică datele personale privitoare la sănătate ca fiind „date sensibile”.

Acest lucru înseamnă că prelucrarea lor (ceea ce, în contextul coronavirus, poate însemna orice de la colectarea unor informații privitoare la starea de sănătate a persoanelor la transmiterea lor unor alte persoane din companie) se poate face doar în cazuri foarte rare.

De aceea, voi începe prin a prezenta ce nu poate face un angajator, în această situație, astfel cum reiese dintr-o serie de ghiduri elaborate de anumite autorități de protecție a datelor din Uniunea Europeană (de exemplu, e vorba de autoritatea franceză, de cea daneză sau de cea italiană).

Ce NU pot face angajatorii

Regula este că, inclusiv în situația prezentă, confidențialitatea datelor personale de tip medical ale angajaților trebuie respectată. Cu alte cuvinte, un angajator nu va putea colecta date privind sănătatea, dacă acest lucru depășește ceea ce presupune o minimă gestionare a riscului de expunere la Coronavirus. În concret, nu va fi posibilă:

• colectarea, într-un mod sistematic și generalizat, de date privind sănătatea angajaților (prin solicitarea de fișe medicale, de exemplu);
• distribuirea de chestionare, ce ar urma să fie completată de angajați cu privire la starea lor de sănătate (ce simptome au ei sau cei din familiile lor, de exemplu);
• solicitarea de informații individuale privind sănătatea unui anume angajat;
• luarea temperaturii angajaților și nici o eventuală înregistrare a rezultatelor în vreun registru;
• solicitarea de informații privind locurile în care a fost o persoană; chiar dacă, aici, nu e vorba de date sensibile privind sănătatea (în mod direct), ele ar putea, indirect, să implice asemenea date; autoritatea daneză, în schimb, consideră că astfel de date nu ar fi date medicale, deci colectarea lor ar putea fi făcută în baza interesului legitim a angajatorului (lucru ce nu ar fi posibil în privința datelor medicale).

Ce POT face angajatorii

Angajatorii au anumite obligații, în contextul legislației muncii, de a asigura sănătatea și securitatea în muncă, în ceea ce îi privește pe salariați (mai multe informații despre ce pot și ar trebui să facă firmele, pentru salariații lor, în această perioadă, pot fi găsite aici).

În primul rând, pot să țină sedințe de instruire și de conștientizare cu angajații, pentru a-i face pe aceștia să înțeleagă riscurile existente și ce măsuri ar trebui luate.

Ar fi posibil chiar și să le sugereze acestora să informeze firma și conducerea dacă au venit din zone cu grad de risc ridicat sau dacă au intrat în contact cu persoane infectate cu coronavirus sau dacă există asemenea șanse.

Aici nu trebuie uitat că astfel de informații nu pot fi solicitate în mod sistematic și nu pot fi colectate, prin oferirea de chestionare. Așadar, angajatorii ar trebui să aștepte ca salariații, din propria lor inițiativă, să furnizeze asemenea informații. În plus, odată obținute aceste informații, trebuie limitată pe cât posibil colectarea și diseminarea lor. O soluție, în acest context, e ca angajatorii să faciliteze contactul salariaților cu medicii, pentru a putea diminua riscul, fără să fie nevoiți să colecteze date medicale.

Bineînțeles, nimic nu îl oprește pe angajator să ia măsuri, dacă un salariat îi spune că a fost expus riscurilor. Astfel de măsuri pot implica trimiterea angajatului să muncească de acasă și pot include chiar și consemnarea lor, pentru a facilita colectarea de informații din partea autorităților.

În același context al comunicării cu autoritățile din domeniul sănătății, angajatorii ar putea și să ofere informații privitoare la numărul persoanelor care au intract în contact cu o persoană contaminată, astfel încât, din nou, să faciliteze activitatea unor astfel de autorități.

Ca o regulă, nu trebuie uitat că autoritățile sunt cele responsabile cu colectarea informațiilor (de exemplu, pentru a identifica persoanele posibil infectate, în urma contactelor pe care le-au avut) și, astfel, angajatorii ar putea să aștepte să li se ceară expres informațiile relevante de la autorități. Bineînțeles, rămâne valabil ce am menționat mai sus că angajatorii ar putea pune la dispoziția salariaților canale de comunicare prin care aceștia, din inițiativa lor, să furnizeze informații relevante.

Atenție! Chiar dacă autoritățile menționate mai sus vizează alte state ale Uniunii Europene, acest lucru nu înseamnă că ghidurile elaborate de ele nu sunt relevante și pentru România. Practic, acele ghiduri se bazează pe GDPR, aplicabil, la fel, atât în cele trei țări la care am făcut referire în cadrul articolului, cât și în România.