În contextul evenimentelor recente privind pandemia Covid-19 și eforturile de diminuare a efectelor acesteia, guvernele, instituțiile publice și organizațiile private din lume duc o luptă continuă pentru limitarea răspândirii Covid-19, prin instituirea unor măsuri ce presupun și prelucrarea datelor cu caracter personal.
Legislația europeană și cea la nivel național din domeniul protecției datelor cu caracter personal nu impun restricții în contextul pandemiei Covid-19, deci utilizarea oricăror mijloace disponibile pentru a opri răspândirea virusului este atât în interesul individual, cât și în cel colectiv, pentru a elimina amenințarea actuală.
În perioada stării de urgență, fiecare stat a decis unilateral impunerea de restricții prin adoptarea diferitor măsuri preventive. Astfel, în unele state, au fost impuse sau recomandate, în sarcina operatorilor de date, publici sau privați, acțiuni ce țin de colectarea datelor cu privire la deplasările anterioare în țări afectate de Covid-19 sau în regiuni considerate ”zone roșii”, precum și colectarea datelor cu privire la simptomatologia Covid-19: febră, cefalee, tuse etc.
În etapa incipientă a pandemiei cea mai des întâlnită măsură de colectare a datelor personale este completarea unor chestionare, pentru ca ulterior să fie aplicate și alte mijloace (de exemplu, termoscanere, termometre).
Se știe că metoda de prevenție aleasă de angajatori este telemunca/munca la domiciliu a angajaților, iar pentru salariații în cazul cărora aceasta nu a fost posibilă, angajatorii au instituit măsuri de distanțare socială, inclusiv controale la revenirea la muncă, folosind dispozitive medicale de diagnosticare. Aceleași metode de diagnosticare sunt utilizate și de către prestatorii de servicii în privința vizitatorilor sau clienților lor.
Indiferent de mijloacele utilizate, invariabil are loc o prelucrare de date cu caracter personal ce țin de sănătatea persoanei de către operatori, fie că este vorba de instituții ale statului, angajatori sau prestatori de servicii. La nivelul statelor europene și în Republica Moldova se pare că nu există o opinie unitară cu privire la categoriile de date privind starea de sănătate care pot fi prelucrate în contextul Covid-19.
Prevederi din legislația României
În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a emis imediat după instituirea stării de urgență un comunicat de presă în care s-a limitat la indicarea temeiurilor legale în baza cărora pot fi prelucrate datele privind starea de sănătate. În acest sens au fost indicate necesitatea îndeplinirii unor obligații sau exercitarea unor drepturi în contextul relațiilor de muncă, necesitatea aplicării unor măsuri de medicină preventivă și asigurarea interesului general în domeniul sănătății publice, dar și consimțământul persoanelor fizice. Comunicatul de presă a subliniat că datele privind sănătatea se încadrează în categoriile speciale de date cu caracter personal, dar nu a avut în vedere situații particulare și nu a cuprins măsuri concrete care ar putea fi aplicate de operatorii de date în contextul pandemiei de Covid-19.
Pornind de la aceste linii directoare generale și având în vedere prevederile legale europene și naționale specifice (în special Regulamentul Uniunii Europene 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date [„RGPD”]), datele privind sănătatea trebuie privite în sens larg și includ orice informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a unei persoane fizice. Ca atare, datele privind sănătatea includ date concrete despre boală, riscul de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică a unei persoane fizice. Așadar, simptomele unei boli – temperatura corporală, cefaleea, dificultățile de respirație – reprezintă date privind sănătatea și pot fi prelucrate cu respectarea legislației europene și naționale incidente în materia datelor cu caracter personal și urmând indicațiile autorității de supraveghere.
Pornind de la aceste considerente, în contextul relațiilor de muncă, de exemplu, angajatorii au obligația de a asigura sănătatea și securitatea lucrătorilor în toate aspectele legate de muncă. Supravegherea stării de sănătate, respectiv cunoașterea și evaluarea simptomelor specifice, se poate face însă de angajator prin intermediul medicului de medicina muncii.
Contextul Republicii Moldova
Măsurile impuse de autoritățile din Republica Moldova ce țin de prelucrarea datelor aferente stării de sănătate la acest moment se referă la obligația impusă hipermarketurilor, supermarketurilor și magazinelor de cartier din municipiul Chișinău de a măsura temperatura clienților și angajaților săi la intrarea în unitățile de comerț, cu ajutorul instrumentelor de termoscanare, împreună cu controlul stării generale de sănătate a fiecăruia dintre angajați în momentul sosirii la muncă. Dacă temperatura angajaților/clienților este mai mare de 37 de grade, respectivii operatori sunt obligați să le interzică accesul în unitatea comercială. Suplimentar, ca măsură generală, asigurarea stării generale satisfăcătoare a salariaților rămâne în sarcina tuturor angajatorilor.
Potrivit Legii privind protecția datelor cu caracter personal (nr. 133 din 08.07.2011), datele privind starea de sănătate sunt considerate categorii speciale de date cu caracter personal, pentru care se impun cerințe de prelucrare specifice și un nivel de securitate sporit (nivelul doi de securitate a sistemelor informaționale de date cu caracter personal).
Totuși, Legea menționată nu aduce claritate cu privire la datele considerate „de sănătate”. Totodată, în contextul atribuțiilor conferite, Centrul Național pentru Protecția Datelor cu Caracter Personal („CNPDCP”), autoritatea competentă în domeniu, a emis Instrucțiuni în legătură cu prelucrarea datelor cu caracter personal privind starea de sănătate.
Potrivit Instrucțiunilor, în absența unei definiții juridice, „datele cu caracter personal privind starea de sănătate” ar putea fi definite ca orice informații referitoare la sănătatea fizică sau mentală a unei persoane, sau cu privire la furnizarea de servicii medicale pentru această persoană. Ca exemplu este adusă Cauza Bodil Lindqvist, care statuează că simpla referire la faptul că o persoană s-a rănit la picior și activează în regim de muncă parțial pe motive medicale constituie date cu privire la starea de sănătate în conformitate cu art. 8 (1) al Directivei Uniunii Europene din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Directivă abrogată prin adoptarea RGPD).
Astfel, datele despre starea de sănătate în contextul Legii privind protecția datelor cu caracter personal din Republica Moldova urmează a fi interpretate în sens larg, iar datele cu privire la temperatura corporală sau despre starea generală ar reprezenta astfel de date.
Totodată, CNPDCP a venit cu unele clarificări suplimentare printr-o opinie despre riscurile și provocările în domeniul protecției persoanelor în partea ce vizează aceste tipuri de date în contextul combaterii Coronavirusului (Covid-19). Cel mai important lucru subliniat de CNPDCP este că nu orice operațiune de prelucrare a datelor cu caracter personal privind starea de sănătate poate fi justificată prin necesitatea statală de menținere a sănătății publice. Deci, păstrarea și implementarea unui mecanism fundamentat pe conceptul de echilibru între sănătatea/securitatea publică și dreptul la protecția datelor cu caracter personal este inerent pentru operatorii de date.
Prin urmare, la prelucrarea datelor cu privire la starea de sănătate a persoanelor, operatorii de date urmează să țină cont de principiile și condițiile de prelucrare stabilite de legislația națională, asigurând informarea corectă a subiecților de date înainte de colectare.
Opinii ale autorităților cu atribuții de protecție a datelor personale din alte state europene
La nivelul Uniunii Europene, cadrul normativ aferent protecției datelor cu caracter personal este Regulamentul general privind protecția datelor (RGPD). În același timp, fiecare stat european – membru sau nemembru al Uniunii Europene – a decis implementarea unor norme specifice la nivel național, prin adoptarea unor legi sau regulamente.
În contextul Covid-19, pe 16 martie 2020 Consiliul European pentru Protecția Datelor („EDPB”) a publicat o declarație scurtă intitulată „Declarația președintelui EDPB privind prelucrarea datelor cu caracter personal în contextul pandemiei Covid-19”. Declarația reflectă mesajul central al îndrumărilor și declarațiilor emise de autoritățile naționale de supraveghere, conform cărora RGPD nu ar trebui să stea în calea prelucrării datelor, dar operatorii de date trebuie să se asigure că respectă legislația la prelucrarea datelor.
Declarația reafirmă că RGPD prevede temeiurile legale pentru a permite angajatorilor și autorităților de sănătate publică să prelucreze datele cu caracter personal în contextul epidemiilor, fără a fi necesară obținerea consimțământului persoanelor vizate. Concret, declarația notează că nu este necesar consimțământul în cazul în care prelucrarea datelor cu caracter personal este necesară din motive de interes public în domeniul sănătății publice sau pentru a proteja interesele vitale sau pentru a respecta o altă obligație legală.
Opiniile și recomandările autorităților de supraveghere a datelor cu caracter personal în contextul Covid-19 din statele europene sunt destul de variate. În unele cazuri, autoritățile au întreprins acțiuni directe și au adoptat anumite prevederi aplicabile situației Covid-19, cum ar fi cazul Belgiei, Cehiei, Italiei sau al Greciei, sau pe alocuri au intervenit doar cu anumite recomandări (de exemplu, cazul Germaniei, Elveției sau Norvegiei), sau s-au abținut de la orice intervenții, în acest caz fiind aplicabile prevederile RGPD sau ale legislației naționale (de exemplu, Bulgaria, Marea Britanie).
Totodată, din perspectiva existenței unor reguli speciale și/sau diferențiate pe categorii de date privind sănătatea în contextul Covid-19, unele autorități, precum cele din Bulgaria, Croația sau Germania, au făcut referire la regulile generale de prelucrare a datelor despre sănătate, fără a aborda specific pandemia Covid-19. În același timp, unele autorități, precum cele din Spania, Olanda sau Grecia, au aprobat prevederi sau recomandări aferente prelucrării unor date specifice, de genul măsurarea temperaturii corpului, simptome Covid-19, informații despre călătoriile în alte țări.
Pentru mai multe detalii cu privire la măsurile și recomandările autorităților de supraveghere cu privire la prelucrarea datelor, vă rugam să consultați Raportul PwC – Răspuns la impactul Covid-19 asupra afacerilor cu privire la considerente-cheie, inclusiv răspunsuri la întrebări frecvente referitoare la legislația muncii, dreptul contractual, insolvență, securitate cibernetică și date personale, precum și la dreptul corporativ.
De reținut
În contextul Covid-19, prelucrarea datelor cu caracter personal privind sănătatea este parte integrantă a eforturilor comune pentru menținerea sănătății publice, iar protecția datelor nu poate fi în nici un caz un obstacol în salvarea vieții persoanelor sau asigurării sănătății publice.
Este responsabilitatea fiecărui operator de date (în calitate de angajator sau prestator de servicii), în funcție de prevederile naționale și ale industriei din care face parte, să aplice măsuri eficiente pentru a proteja sănătatea salariaților și a clienților. În același timp, este important ca aceste măsuri să fie proporționale cu scopul prelucrării, raportate la esența drepturilor şi libertăților fundamentale și utilizate exclusiv în scopul pentru care au fost colectate.
Prin urmare, orice măsuri care implică prelucrări de date cu caracter personal urmează a fi prezentate clar și transparent subiecților/persoanelor vizate (indiferent că este vorba de angajați sau de simpli vizitatori în incintele pe care le administrați), confidențialitatea trebuind să fie asigurată pe perioada Covid-19, precum și ulterior, cu excepția cazurilor în care dezvăluirea datelor personale ține de obligația operatorului sau este solicitată de instituțiile statului, cu respectarea legii.