Maria Gogu

Guvernul, organizațiile publice și private iau măsuri pentru a diminua răspândirea și efectele COVID-19, multe din acestea etape implică prelucrarea datelor cu caracter personal ( idnp, numele/prenumele, vârsta, sexul, seria/nr. pașaport, domiciliul, telefon, detalii călătorie, locul de muncă) precum și date personale sensibile cum ar fi datele referitor la starea de sănătate.

Legea cu privire la datele cu caracter personal, deși nu este sediul material de asistență medicală, a gestionări și diminuări problemelor de sănătate, ea asigură  măsuri de securitate adoptate la riscurile pentru drepturile și libertățile fundamentale, în vederea respectări standardelor care garantează legalitatea prelucrării, securitatea și confidențialitatea datelor.

Astfel, măsurile luate ca răspuns la Coronavirus ce implică prelucrare a datelor cu caracter personal, sunt necesare a fi în conformitate cu cerințele legislației aplicabile în materie.

În acest context trebuie avute în vedere cu prioritate de către operatorii de date, următoarele aspecte cu privire la modalitățile de prelucrare a datelor și de asigurarea a conformității cu cerințele legislației aplicabile în materie:

1. Cum trebuie să fie colectate și prelucrate datele cu caracter personal ?

Atunci când se efectuează colectarea și prelucrarea datelor cu caracter personal privind starea de sănătate, trebuie să  fie garantată respectarea drepturile și libertățile fundamentale, inclusiv dreptului la viața privată. Colectarea datelor trebuie să fie exercitată numai în scopuri determinate, explicite și legitime. În cazul când datele cu caracter personal sunt colectate direct de la subiectul datelor, operatorul sau subiectul împuternicit de operator potrivit instrucțiunii în legătura cu prelucrarea datelor cu caracter personal privind starea de sănătate, este obligat să furnizeze următoarele informații :

• Identitatea operatorului sau a persoanei împuternicite de operator
• Scopul prelucrări datelor colectate;
• Existența dreptului de acces la date, de intervenție asupra datelor și de opoziție, precum și condițiile în care acestea pot fi exercitate;
• Răspunsurile la întrebările cu ajutorul cărora se colectează datele sunt obligatorii sau voluntare, precum și consecințele refuzului de a răspunde;

În cazul în care datele cu caracter personal privind starea de sănătate nu sunt colectate direct de la personale vizate, acestea urmează a fi informate despre colectarea lor cât mai rapid posibil. Cu toate acestea informarea persoanei poate fi limitată, precedată ulterior de obligația de informare despre colectarea datelor, dacă constituie:

• Măsură de prevenire a unui pericol iminent sau pentru înlăturarea unei infracțiuni;
• O măsură de protecție a sănătății publice;
• O măsură de protejare a persoanei vizate, a drepturilor și libertăților altora;

2. Cine poate colecta și prelucra datele privind sănătatea?   

Colectarea și prelucrarea datelor privind starea de sănătate, trebuie să fie efectuată de către cadrele medicale, sau de către persoane sau entități care sunt implicate în măsurile de prevenire și combatere a COVID-19. Operatorii, care nu sunt specialiști în domeniul sănătății trebuie să colecteze și să prelucreze datele doar cu respectarea fie a regulilor de confidențialitate echivalente celor ce le revin cadrului medical, fie de garanții eficiente prevăzute de legislația în vigoare.                                                                    Deasemenea, ca urmare a modificărilor operate asupra legi privind protecția datelor cu caracter personal, instituțiile medico-sanitare, care nu sunt autorizate în calitate de operatori de date cu caracter personal pot prelucra datele fără autorizația CNPDCP, numai dacă prelucrarea este necesară pentru protejarea vieți, integrități corporale și a sănătăți subiecților datelor cu caracter personal, precum și în scopul reducerii riscului de declanșare sau în cazul declanșări urgenței de sănătate publică.

3. Este necesar consimțământul pacientului ?

Se poate argumenta în mod rezonabil faptul că nu este necesară obținerea consimțământului persoanelor vizate, deoarece operatorii sau instituțiile medico-sanitare, pot avea în vedere excepția prevăzută de art. 5 alin. (5) lit. c), d) din legea nr. 133 din 08.07.2011, potrivit căruia pot fi prelucrate date privind starea de sănătate atunci când prelucrarea este necesară din motive de interes public major sau pe motivul protejări vieții, sănătății subiectului datelor cu caracter personal.

4. Pe ce temei juridic și în ce condiții se poate baza prelucrarea?

Având în vedere în contextul virusului COVID-19, că operatorii urmăresc prelucrarea unor categorii speciale de date, acestea trebuie să se asigure că activitatea de prelucrare este conformă cu principiul legalității și respectă atât prevederile art. 6, precum și prevederile art. 7 a Legii privind protecția datelor cu caracter personal și este exercitată pentru:

• Protecția vieții și sănătății subiectului datelor cu caracter personal;
• Protecția sănătății publice;
• Asigurarea securități statului și al reducerii riscului de de declanșare sau în cazul declanșări urgenței de sănătate publică;
• Realizarea medicinei preventive și de stabilire a diagnosticului medical;

5. Pot fi dezvăluite în spațiul public datele despre numele și starea de sănătate a unei persoane fizice ?

Potrivit prevederilor art. 12 din Legea nr. 263-XVIdin 27.10.2005, cu privire la drepturile și responsabilitățile pacientului, toate datele privind identitatea și starea pacientului, rezultatele investigațiilor, diagnosticul, pronosticul, tratamentul precum și datele cu caracter medical sunt confidențiale și urmează a fi protejate și după moartea acestora. Totuși, informațiile ce se consideră confidențiale, pot fi furnizate numai în cazul în care pacientul consimte acest lucru.

6. Pe ce perioadă pot fi stocate datele?

În ceea ce privește stocarea datelor de sănătate prelucrate pentru împiedicarea răspândirii și a diminuării efectelor virusului COVID-19, operatorii vor avea în vedere stocarea acestora pe perioada necesară atingerii scopurilor pentru care au fost colectate și prelucrate. Iar în cazul în care datele nu mai sunt utilizate în scopul declarat inițial, dar sunt necesare cercetări științifice, statistice, stocarea se va face cu respectarea garanțiilor privind prelucrarea datelor cu caracter personal.  Ținând cont și de actele care au fost instituite ca o măsură de prevenire și combatere a COVID-19, odată cu încetarea existenței epidemiei, entitățile de stat nu voi mai fi în drept să colecteze aceste date prin intermediul lor.

7. Răspunderea pentru încălcarea legislației privind protecția datelor cu caracter personal și a completări cu date false, incomplete sau refuzul de a completa fișelor epidemiologice

Astfel în contextul COVID-19, nerespectarea cerințelor față de asigurarea securității datelor cu caracter personal; prelucrarea datelor fără autorizarea CNPDCP; încălcarea dreptului subiectului datelor cu caracter personal de a fi informat, de acces, la datele cu caracter personal; încălcarea regulilor de prelucrare și stocare, atrage după sine răspunderea contravențională în conformitate cu art. 74 ¹ Cod. Contravențional.

Deasemenea, în cazul prezentări intenționate a unor date false sau incomplete ori refuzul de a prezenta datele necesare pentru completarea fișei epidemiologice se sancționează potrivit art. 76 (2) Cod. Contravențional.

Sursa:

1. Legea 133 din 08.07.2011 privind protecția datelor cu caracter personal
2. Legea 263-XVI din 27.10.2005 cu privire la drepturile și responsabilitățile pacientului
3. Legea nr. 52 din 12.03.2020 cu privire la modificarea unor acte normative
4. Codul Contravențional nr.218 din 24.10.2008
5. Instrucțiuni în legătura cu prelucrarea datelor cu caracter personal privind starea de sănătate