Pastrarea cursului obisnuit de activitati in cadrul unei companii in vreme de COVID-19 este o provocare, dar si un deziderat pentru mediul de business din Romania. Masurile luate in aceasta perioada de companii trebuie sa respecte prevederile in materia protectiei datelor cu caracter personal ale angajatilor.
Cea mai intalnita masura de limitare a transmiterii COVID-19 este reprezentata de utilizarea de chestionare prin care este evaluat riscul de contaminarea a angajatilor, masura care presupune prelucrarea de date cu caracter personal. Legalitatea prelucrarii acestor date trebuie analizata din perspectiva justificarii unui temei legal, dar si a folosirii minimului de informatii necesare pentru scopul prelucrarii (acela de a impiedica transmiterea virusului), pe o perioada cat mai scurta de timp si numai ca urmare a implementarii unor masuri de securitate adecvate.
La fel ca orice analiza in materia protectiei datelor cu caracter personal, nici in acest caz nu exista o reteta general valabila pentru asigurarea legalitatii prelucrarii acestor date. Desigur, regulile aplicabile in materia protectiei datelor cu caracter personal ale angajatilor privind starea de sanatate trebuie coroborate cu prevederile relevante cuprinse in legislatiei muncii - reglementarile privind sanatatea si securitatea in munca, actele legislative emise de autoritatile competente in contextul starii de urgenta -, toate putand varia in functie de obiectul de activitate al companiei. Astfel, de la caz la caz va trebui sa ne raportam la prevederile Regulamentului 2016/679 (GDPR), in special din perspectiva principiilor si a temeiului legal - si luand in considerare aspecte precum scopul masurii, durata aplicarii acesteia si durata prelucrarii dupa ce nu se mai justifica masura.
Chestionarele pentru angajati, o solutie?
Chestionarele, in format fizic sau derulate prin intermediul unui serviciu de tip call center, reprezinta probabil cel mai putin intruziva metoda care poate fi utilizata de angajator in evaluarea riscului de contaminare a angajatilor. Desigur, aceasta depinde exclusiv de continutul intrebarilor adresate in cadrul chestionarului, mai precis daca intrebarile presupun sau nu aflarea de informatii ce tin de starea de sanatate a angajatului. Este recomandabila evitarea intrebarilor prin care angajatul mentioneaza daca are probleme de sanatate (de exemplu, tuseste, are temperatura sau afectiuni pre-existente etc.) si includerea de intrebari referitoare la activitatea sa (de exemplu, daca a calatorit in strainatate in/prin zonele afectate, a avut contact cu persoane care aveau anumite simptome sau care au fost testate pozitiv, perioada de timp aferenta calatoriei sau expunerii, varsta).
Includerea intrebarilor prin care se identifica problemele de sanatate ale angajatilor presupune prelucrarea de date cu caracter special si poate fi realizata numai pe cale de exceptie, in anumite situatii; mai precis, atunci cand prelucrarea datelor:
- este realizata de medicul de medicina muncii in scopuri specifice, precum medicina preventiva sau a muncii, evaluarea capacitatii de munca a angajatului etc.;
- asigura conformarea cu obligatiile angajatorului pentru ocuparea fortei de munca, securitatea si protectia sociala;
- este necesara din motive de interes public major, prevazute de legislatia din Romania sau de la nivel european;
- faciliteaza un interes public in domeniul sanatatii publice, cum ar fi protectia impotriva amenintarilor transfrontaliere grave la adresa sanatatii, atat timp cat aceasta este prevazuta de legislatia din Romania sau de la nivel european.
Avand in vedere ca recomandarile si practicile la nivel european considera ca acordul dat in relatiile de munca nu este valabil, posibilitatea de a-l utiliza pentru astfel de activitati de prelucrare a datelor angajatilor este discutabila. In egala masura, ipotezele de mai sus trebuie analizate cu atentie, pentru a verifica indeplinirea tuturor conditiilor prevazute de GDPR, inclusiv din perspectiva masurilor recent adoptate de Guvern.
Cine poate afla identitatea persoanei testate pozitiv pentru COVID-19?
Dezvaluirea identitatii persoanei testate pozitiv pentru COVID-19 trebuie realizata doar fata de un numar limitat de persoane, precum echipa din cadrul companiei care gestioneaza situatia de urgenta, echipa restransa cu care persoana lucra in mod uzual. Asadar, aceasta informatie nu trebuie transmisa catre intregul personal al companiei sau in afara companiei.
Care este strategia de la nivel european?
Strategia la nivel european nu este unitara si depinde de la un stat membru la altul. Pe de o parte, Franta, Olanda si Belgia au reguli stricte prin care interzic testarea sistematica a angajatilor atat pentru verificarea temperaturii, cat si pentru testarea pentru COVID-19. Pe cealalta parte, Germania si Spania au o abordare mai relaxata, oferind angajatorilor posibilitatea de a testa angajatii, atat timp cat aceste date sunt sterse la finalul perioadei pandemice.
In concluzie, prelucrarea datelor cu caracter personal ale angajatilor privind starea de sanatate poate fi considerata justificata si legitima in aceasta perioada, insa numai in anumite situatii limitate, ce tin de industria in care activeaza compania, destinatarii informatiilor, precum si de continutul respectivelor date cu caracter personal.
Material de opinie de Andreea Bira, Senior Associate, Cristina Iacobescu, Senior Associate, si Silvia Axinescu, Senior Managing Associate la Reff & Asociatii