avocatnet.ro 
În 2020, dar cu atât mai mult în 2021, specialiștii, autoritățile de protecția datelor din mai multe state europene, inclusiv Autoritatea Europeană pentru Protecția Datelor recomandau angajatorilor să nu prelucreze datele privind vaccinarea, să nu strângă certificate ale celor vaccinați sau tot felul de hârtii privind cine și când s-a îmbolnăvit de COVID-19, altele decât cele strict prevăzute la nivel legal ș.a.m.d.. Practic, să nu prelucreze chestiuni care sunt nenecesare, iar cine voia neapărat sau trebuia, în virtutea legii, așa cum s-a întâmplat în unele state, să se folosească de certificatele verzi pentru a intra în anumite locuri sau chiar pentru a se întoarce la munca de birou, să se rezume la a arăta certificatele, fără să se păstreze copii de pe acestea.
Și în România, ca în alte state, au fost firme care, deși nu ar fi trebuit să facă asta, au pretins angajaților să se vaccineze și le-au cerut și dovezile în acest sens, pe care, eventual, le-au salvat undeva între sutele și miile de documente cu care operează lunar. Deși nu ar fi trebuit să o facă.
De asemenea, tot la noi, într-o politică de „promovare” a vaccinării, de extindere a numărului de oameni care se vaccinează pentru a se proteja de virus, legiuitorul a venit cu Legea nr. 221/2021 prin care s-a acordat o zi liberă pentru salariații care se vaccinează, tot ce trebuia să facă aceștia era să aducă angajatorului o adeverință de vaccinare drept dovadă. Firmele se puteau mulțumi și cu simpla vizualizare a acestei adeverințe, fără să trebuiască să o și stocheze efectiv, arătau anul trecut specialiști în protecția datelor într-un material pentru avocatnet.ro. Doar că, de multe ori, în întâmpinarea cerințelor extrem de insistente ale inspectorilor pe aspectele birocratice din firmă, responsabilii tind să păstreze cam tot la nivel de documente, ca să se asigure că au cu ce dovedi cutare sau cutare lucru făcut în fața autorităților.
„Angajatorii ar putea avea multiple motive pentru a le păstra chiar și după acordarea zilei libere, cum ar fi:
- dovedirea îndeplinirii obligațiilor în cazul unui control sau în cazul unei plângeri;
- justificarea internă a numărului de zile libere, în special în cazul reportării în anul următor - având în vedere că, așa cum prevede Legea 221/2021, zilele libere pentru vaccinare nu se includ în durata concediului de odihnă, este important ca acestea să nu fie luate în calcul atunci când se stabilesc zilele de concediu rămase la final de an;
- justificarea eventualelor diferențe între angajați cu privire la zilele libere acordate”, spuneau anul trecut Dana Ududec și Roxana Guiman, avocați specializați în domeniul protecției datelor, parteneri PrivacyON.
Reamintim că, la acest moment, liberele pentru vaccinare NU mai sunt de actualitate, iar, eventual, doar cei care se vaccinaseră înainte să se termine starea de alertă și care nu apucaseră să-și ia încă liberul mai au dreptul la el. Dar cei vaccinați după 8 martie nu mai au acest drept, iar asta ne-a confirmat luna trecută Inspecția Muncii. Prin urmare, prelucrările de date în cazul acestor libere legale încă ar mai fi justificate, pe considerentele explicate și de avocate în 2021.
Certificatele de vaccinare, în schimb, nu ar avea ce să caute printre documentele păstrate de firme, nu doar pentru că, în primul rând, nu trebuia păstrate de la bun început, fiind suficientă verificarea lor prin chiar aplicația oficială a statului (atunci când era cerută de lege!), dar cu atât mai mult acum, când ele nu mai sunt relevante la nivel intern în nicio circumstanță. Prin urmare, datele personale prelucrate în acest context ar trebui șterse, iar aici ar intra inclusiv eventuale mențiuni, fără copii de pe certificate, privitoare la care dintre salariați sunt vaccinați sau nu.
Practic, la acest moment, firmele ar trebui să facă „o curățenie generală” în materia datelor personale prelucrate și, raportat la scopul pentru care au prelucrat fiecare categorie de date, să analizeze dacă ar mai fi justificată păstrarea lor. Ce anume din GDPR ne duce cu gândul aici? Principiul că datele personale trebuie păstrate doar atât timp cât acestea sunt necesare pentru atingerea scopurilor stabilite și acela al minimizării datelor - să prelucrăm doar ce este necesar pentru atingerea scopurilor respective.
Reamintim, totodată, că firmele prelucrează mare parte dintre datele angajaților în virtutea cerințelor legale impuse, deci temeiul prelucrărilor este însăși legea, în sens larg (legi, ordonanțe, hotărâri, ordine de ministru etc.). Dacă un angajat a avut concediu medical pentru COVID-19 în ianuarie 2022, datele prelucrate în acest context sunt, practic, cerute prin lege.
În fine, reamintim și că, la fel ca în cazul oricărui alt operator de date, angajatorul e obligat să răspundă solicitărilor angajaților pe tema datelor personale prelucrate, inclusiv cererilor de ștergere - nu în sensul în care să achieseze neapărat la cererile lor, care nu sunt întotdeauna întemeiate, ci în sensul de a nu ignora solicitările transmise de angajați. Autoritate română de profil (ANSPDCP) dă tot mai multe amenzi firmelor pentru faptul că nu răspund acestor solicitări în termenul cerut de GDPR - Ghid privind dreptul de acces: Sfaturi utile pentru cei care prelucrează date personale și vor să evite amenzile ANSPDCP.
Traian Simionescu