Ce date ajung să prelucreze angajatorii?
Legea 221/2021 prevede că dreptul la o zi liberă plătită se acordă „pe baza adeverinței de vaccinare eliberate potrivit legii”. De asemenea, legea mai prevede că „[î]n situația în care ziua liberă coincide cu ziua vaccinării, persoanele prevăzute la alin. (1) (angajații, n.red.) au obligația depunerii adeverinței de vaccinare în prima zi lucrătoare de la vaccinare”. Prin urmare, dreptul la o zi liberă pentru vaccinare se poate exercita prin depunerea, la angajator, a adeverinței de vaccinare.
Din punct de vedere al temeiului pentru prelucrarea datelor de sănătate (care reprezintă date din categorii speciale), apreciem că angajatorii se pot baza pe art. 9(2)(b) – îndeplinirea obligațiilor și exercitarea unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale. Legea 221/2021 se referă, în mod expres, la depunerea adeverinței de vaccinare, prin urmare, nu există dubii cu privire la categoriile de date personale care ar trebui să fie prelucrate pentru a respecta dreptul angajaților la o zi liberă. Mai mult, având în vedere că legea acordă dreptul la o zi liberă „pentru fiecare doză de vaccinare efectuată”, rezultă că angajatorul trebuie să știe și câte doze de vaccin sunt necesare/au fost făcute, informație care depinde și de tipul de vaccin.
De asemenea, dacă se solicită o zi liberă pentru vaccinarea copiilor sub 18 ani sau a persoanelor cu dizabilități sub 26 de ani, pentru părinte / reprezentant legal sunt necesare mai multe documente. Astfel, pe lângă adeverința de vaccinare, la angajator se va depune și o declarație a celuilalt părinte / reprezentant legal, potrivit căreia acesta din urmă nu va solicita angajatorului său ziua liberă. Prin urmare, în contextul aplicării prevederilor legale din Legea 221/2021, organizațiile pot ajunge să prelucreze nu doar datele propriilor angajați, ci și pe cele ale unor terți (copii, persoane cu dizabilități, al doilea părinte / reprezentant legal).
Pot angajatorii să păstreze o copie a adeverinței de vaccinare? Cât timp ar trebui păstrate documentele care dovedesc vaccinarea?
Dacă legea indică, în mod expres, depunerea adeverinței de vaccinare, în schimb, avem mai puțină claritate cu privire la termenul adecvat pentru păstrarea documentelor și informațiilor aferente. Unul dintre principiile fundamentale din GDPR este „limitarea legată de stocare”, ceea ce înseamnă că angajatorii trebuie să păstreze datele personale doar atât timp cât acestea sunt necesare pentru atingerea scopurilor stabilite.
Este evident că primul scop, anume justificarea cererii de exercitare a dreptului la zilele libere, este îndeplinit prin depunerea adeverinței de vaccinare (împreună cu declarația celuilalt părinte/reprezentant legal, dacă este cazul). Însă ce vor face în continuare angajatorii cu toate aceste documente? Cât timp este rezonabil să le păstreze în evidențele lor interne (în format fizic sau electronic)?
Aici intervine evaluarea pe care trebuie să o facă fiecare organizație cu privire la utilitatea acestor documente și informații. Angajatorii ar putea avea multiple motive pentru a le păstra chiar și după acordarea zilei libere, cum ar fi:
- dovedirea îndeplinirii obligațiilor în cazul unui control sau în cazul unei plângeri;
- justificarea internă a numărului de zile libere, în special în cazul reportării în anul următor - având în vedere că, așa cum prevede Legea 221/2021, zilele libere pentru vaccinare nu se includ în durata concediului de odihnă, este important ca acestea să nu fie luate în calcul atunci când se stabilesc zilele de concediu rămase la final de an;
- justificarea eventualelor diferențe între angajați cu privire la zilele libere acordate.
Din păcate, nu există recomandări oficiale sau prevederi legale mai specifice pentru păstrarea datelor și documentelor-suport în acest caz. Însă, având în vedere că este vorba de date privind starea de sănătate, apreciem că angajatorii ar trebui să se orienteze către o durată de păstrare cât mai mică a adeverințelor, care să le permită strict dovedirea îndeplinirii obligațiilor legale în cazul unui control/unei situații litigioase. În ce privește alte mențiuni în evidențele interne cu privire la justificarea acordării zilelor libere, considerăm că, în măsură în care acestea fac referire expresă la vaccinare, ar trebui să fie șterse după ce se stabilește că nu mai sunt utile pentru calcule.
Amintim și opinia Autorității de supraveghere a prelucrării datelor (ANSPDCP), care reiterează faptul că datele personale care nu sunt incluse într-un sistem de evidență nu intră sub incidența GDPR. Astfel, unii angajatori ar putea opta doar pentru vizualizarea adeverințelor de vaccinare, fără reținerea unei copii. Însă considerăm că, în această perioadă marcată de multiple modificări legislative și (încă) multă neclaritate cu privire la aplicarea normelor legale, angajatorii nu pot rămâne complet descoperiți prin lipsa documentelor care justifică respectarea drepturilor prevăzute în Legea 221/2021 (mai ales în condițiile în care legea vorbește despre „depunerea” adeverinței).
Alte obligații ale angajatorilor privind protecția datelor personale
Angajatorii nu trebuie să uite de alte cerințe importante ale legislației privind protecția datelor aplicabile în acest caz. Ne referim aici, în primul rând, la transparență, adică informarea angajaților despre modul în care le sunt prelucrate datele personale în contextul acordării zilelor libere. Considerăm că, având în vedere că este vorba de o prelucrare punctuală, este potrivită transmiterea unui mesaj e-mail / postarea pe intranet (sau alte mijloace prin care se comunică de obicei cu angajații) a unei scurte informări privind prelucrarea de date aferentă acestei activități. Spre exemplu, această informare poate avea loc concomitent cu anunțarea facilităților oferite de Legea 221/2021.
O dată primite documentele justificative și alte informații relevante, acestea trebuie să fie păstrate în medii sigure, să fie accesibile doar persoanelor care au nevoie să le cunoască și să fie protejate prin măsuri de securitate la nivelul adecvat stabilit de organizație. Nu în ultimul rând, angajații trebuie să știe cui și cum se pot adresa pentru a-și exercita drepturile prevăzute în legislația privind protecția datelor personale.