Esența lucrurilor pe care le menționam săptămânile trecute era că angajatorul, în virtutea obligației pe care o are de a asigura sănătatea în muncă a salariaților, ar putea avea tentația să prelucreze în mod activ datele angajaților (referitor la locurile de unde vin, solicitarea de date medicale etc.), însă acest lucru ar fi foarte greu de justificat din perspectiva Regulamentului general privind protecția datelor (GDPR).
Între timp, CEPD a emis un comunicat prin care și-a expus perspectiva cu privire la prelucrarea datelor salariaților (mai ales a celor medicale), de către angajatori. În esență, cel mai bine este ca, de fiecare dată când încearcă să ia o măsură activă de prelucrare a datelor, angajatorul să verifice dacă are vreo obligație legală să acționeze astfel.
Obligația legală, în acest context, nu este doar o îndatorire a angajatorului, ci este și temeiul principal care justifică prelucrarea. În contextul relațiilor de muncă, este foarte greu pentru angajator să justifice prelucrarea datelor în considerarea unui alt temei (de exemplu, consimțământul, care cu greu poate fi valid în cadrul unui raport angajator-angajat).
Devine clar, așadar, că obligația principală este cea a angajatorului de a asigura sănătatea și securitatea în muncă. Însă acest lucru nu ar trebui să îl facă să creadă că orice prelucrare este permisă, ci trebuie stabilite anumite garanții. De aceea, rămâne relevant faptul că o prelucrare activă a datelor, fără motiv concret, când vine vorba de persoana vizată, nu este justificată.
Așadar, angajatorul ar putea prelucra în mod activ date de sănătate ale salariaților doar dacă legea i-o cere. În același timp, mai pot exista anumite întrebări specifice, aspect abordat de CEPD.
O întrebare este - dacă angajatorul află că un salariat este infectat, ar putea să-și anunțe ceilalți angajați?
Doar în măsura în care este necesar și, dacă se ajunge chiar la necesitatea divulgării numelui (de exemplu, într-o corporație cu mulți salariați, acest lucru ar putea fi necesar pentru a identifica persoanele cu care a intrat în contact cel infectat), ar trebui informată persoana vizată în prealabil.
În final, deși acest lucru a mai fost menționat, e important pentru angajatori să nu uite faptul că orice prelucrare trebuie să aibă loc ținându-se cont de unul din principiile de bază ale GDPR - necesitatea oricărei măsuri.
Pentru că discutăm de o situație fără precedent, s-ar putea ca multe întrebări să pară că nu au răspuns la acest moment, tocmai pentru că ele ridică niște probleme noi. Într-o asemenea situație, măsurile de reacție nu pot fi blocate și, astfel, nu i se poate pretinde unui angajator să nu acționeze. De aceea, acesta ar trebui, de fiecare dată, să analizeze el însuși dacă măsura este necesară. O modalitate prin care acest lucru poate fi făcut este ca angajatorul să se întrebe dacă există vreo modalitate mai puțin intruzivă ce ar putea atinge același obiectiv. Dacă da, atunci prima măsură nu este necesară.