avocatnet.ro 
Ce trebuie să rețină, în primul rând, angajatorii, conform comunicatului ANSPDCP și a legislației aplicabile, adică Regulamentul general privind protecția datelor (GDPR), este că prelucrarea de date medicale se poate face dacă este necesară pentru diverse scopuri legate de sănătate (în principal, a angajaților).
Așadar, dacă angajatorul are anumite obligații în contextul ocupării forței de muncă (de exemplu, de a asigura sănătatea în muncă), prelucrarea se poate face, dar cu respectarea garanțiilor ce ar putea limita expunerea datelor (am scris mai multe despre cum ar putea avea loc asemenea prelucrări, aici).
De asemenea, mai este relevantă și situația în care angajatul și-ar fi dat consimțământul pentru prelucrare, deși e discutabil cât e de clară aplicarea acestui temei aici, ținând cont de faptul că angajatul și angajatorul nu se află pe poziții de egalitate.
ANSPDCP, în comunicat, s-a mai referit și la obligația de informare a persoanei căreia îi sunt prelucrate datele medicale (salariatul).
De asemenea, conform autorității, „operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţii (despre prelucrare), într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza pe site-ul operatorului”. De asemenea, nu trebuie uitată nici obligația de a asigura un cadru de securitate adecvat pentru colectarea și stocarea de date.
ina2007