avocatnet.ro 
Autoritatea Europeană pentru Protecția Datelor (AEPD) a elaborat la finalul lui august un ghid privind întoarcerea la locul de muncă atunci când vine vorba de verificarea condițiilor privind vaccinarea ori testarea pentru depistarea COVID-19. Deși dedicat instituțiilor europene și pornind de la un regulament european ce privește prelucrarea datelor de către instituțiile și organele UE, ghidul poate fi extrem de util actorilor din domeniul privat, adică firmelor care sunt nevoite sau vor să implementeze măsuri de acest fel la locul de muncă - regulamentul reia, în fapt, principii de prelucrare pe care chiar GDPR le stabilește, regulament care este direct aplicabil firmelor din România, stat membru UE. Ghidul integral poate fi consultat aici.
În mare, AEPD are în vedere câteva măsuri pe care angajatorul le aplică în contextul revenirii la munca de birou (dar nu doar în raport cu proprii angajați, ci și cu terții).
De pildă, spune AEPD în ghidul publicat, ideal ar fi ca certificatele verzi să fie doar verificate vizual, pentru că atunci nu am mai vorbi de o prelucrare de date personale - din moment ce nu se înregistrează, nu se consemnează nicăieri faptul că au intrat X persoane cu certificat sau că A, B și C au certificat și ceilalți, nu, atunci nu e vorba de o procesare de date. La fel, verificarea rezultatului unui test antigent - angajatorii putând, pe cheltuiala lor, să testeze angajații la muncă - ar trebui să fie tot o chestiune care să nu presupună consemnarea unor date.
Și deși subliniază un principiu deja enunțat, de luni bune, în contexul vaccinării, respectiv acela că firmele nu sunt legitimate să ceară dovada vaccinării propriilor angajați, colectarea unor date în mod anonim pentru a permite analize, statistici ș.a.m.d. nu ar constitui o problemă.
„Procesarea unor date referitoare la testele antigen ar fi justificată în condiții specifice de muncă, acolo unde riscul de expunere (la virus - n.red.) al angajaților ar fi atât de mare și unde mediul de lucru face imposibilă adoptarea altor măsuri mai puțin intruzive”, scrie în ghidul AEDP.
Aici, autoritatea mai punctează un alt aspect, ce nu ține strict de protecția datelor personale: chiar dacă vorbim despre o verificare strict vizuală a rezultatului testului, fără înregistrări de vreun fel, angajatorii n-ar trebui să uite un lucru - consimțământul celui testat este esențial, întrucât altfel avem de-a face cu o încălcare a dreptului la viață privată.
Verificarea statutului de vaccinat
Cât privește verificarea statutului de vaccinat, subliniază autoritatea europeană, n-ar trebui să uităm că asta înseamnă potențiala prelucrare a unei categorii de date personale sensibile - datele privind sănătatea. La momentul actual, în România, cei cărora li s-a cerut prin legislație să verifice certificatele verzi pentru accesul în incintă - nu angajaților, ci terților - o fac folosindu-se de o aplicație furnizată de stat (STS, mai exact). În ghidul său, autoritatea atenționează că angajatorii nu ar trebui să facă registre cu angajații care sunt vaccinați, adică nu ar trebui să facă ceva special pentru a consemna ce găsesc în certificatele de vaccinare.
Desigur, verificarea statutului de vaccinat poate să se facă prin prezentarea documentului de la ultima doză ori, așa cum se face în România de ceva vreme, folosind certificatul verde. Folosirea acestuia se face însă doar atunci când o cere un act normativ.
Avem însă o lege în România care oferă angajaților care se vaccinează zile libere pentru vaccinare - câte una per doză, mai exact, dar cere în schimb angajaților să aducă la birou dovada vaccinării pentru a motiva oferirea zilei libere plătite. Aici însă angajatorii prelucrează date în temeiul unei obligații impuse de lege, așa cum explicau pentru avocatnet.ro specialiștii PrivacyOn în acest material.
Aceștia explicau de ce nu ar trebui păstrate, din perspectiva GDPR, copiile de pe adeverințele de vaccinare: „Având în vedere că este vorba de date privind starea de sănătate, apreciem că angajatorii ar trebui să se orienteze către o durată de păstrare cât mai mică a adeverințelor, care să le permită strict dovedirea îndeplinirii obligațiilor legale în cazul unui control/unei situații litigioase. În ce privește alte mențiuni în evidențele interne cu privire la justificarea acordării zilelor libere, considerăm că, în măsură în care acestea fac referire expresă la vaccinare, ar trebui să fie șterse după ce se stabilește că nu mai sunt utile pentru calcule.”
Totodată, AEPD reamintește că în relațiile dintre firmă și angajați consimțământul pentru prelucrarea datelor cu caracter personal nu va oferi, în majoritatea cazurilor, un temei legal de prelucrare, dat fiind că cele două părți se află într-un raport de subordonare.
Clarificări oficiale, venite anul trecut, privind operațiunile de termoscanare
Pentru că măsurile actuale de stare de alertă încă mai impun triajul epidemiologic, iar asta presupune și verificarea temperaturii celor care intră într-un spațiu, considerentele oferite de Autoritatea română privind prelucrarea datelor personale încă sunt valabile.
În urma unei solicitări făcute de avocatnet.ro, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a clarificat că, atunci când termoscanarea unei persoane este urmată de arhivarea datelor rezultate, atunci această acțiune este considerată o prelucrare de date ce atrage obligația pentru cel ce a făcut prelucrarea să respecte GDPR.
Iar firmele sau instituțiile care folosesc termocamere pentru a măsura temperatura persoanelor care intră într-o clădire sunt obligate din start să respecte GDPR pentru aceste măsuri.
adalgia2003