Material realizat de Luisa Mendez Guzman, Senior Associate
Prelucrarea datelor cu caracter personal în timpul pandemiei Covid-19 pandemic
Pe data de 19 martie 2020, Comitetul European pentru Protecția Datelor (CEPD) a publicat o declarație cu privire la prelucrarea datelor cu caracter personal în contextul pandemiei de Covid-19. Declarația CEPD se referă la prelucrarea diferitelor tipuri de date cu caracter personal de către guverne, organizații publice și private din întrega Europă, în timpul eforturilor lor de a controla și atenua efectele Covid-19. Măsurile luate împotriva Covid-19 trebuie să garanteze prelucrarea legală a datelor cu caracter personal și să respecte principiile generale ale dreptului și nu trebuie să aibă caracter ireversibil.
GDPR permite autorităților de sănătate publică și angajatorilor competenți să prelucreze date cu caracter personal în contextul epidemiei, în conformitate cu legislația națională, CEPD prezentând cu titlu de exemplu următoarea situație: ”când prelucrarea este necesară din motive de interes public substantial în domeniul sănătății publice, în aceste condiții, nu mai este necesar să vă bazați pe consimțământul persoanelor.”
CEPD consideră că prevederile articolelor 6 și 9 din GDPR permit prelucrarea datelor cu caracter personal (inclusiv a categoriilor speciale), atunci când acestea se încadrează în mandatul legal al autorității publice, prevăzute de legislația națională și de condițiile GDPR. Derogările de la interzicerea prelucrării unor categorii speciale de date cu character personal, cum ar fi datele privind sănătatea, sunt prevăzute de GDPR, în cazul în care este necesar din motive de interes public în domeniul sănătății publice (art. 9.2 (i)), a dreptului Uniunii sau legislației naționale sau acolo unde este necesară protejarea intereselor vitale ale persoanei vizate (art. 9.2 (c)), menționat explicit în contextul controlului unei pandemii.
- În ceea ce privește relația dintre angajator și angajat, CEPD afirmă că prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unei obligații legale impusă angajatorului, cum ar fi obligația referitoare la sănătatea și securitatea la locul de muncă sau la interesul public – precum controlul bolilor și alte amenințări la adresa sănătății.
Dacă este cazul, angajatorii ar trebui să informeze angajații cu privire la cazurile de Covid-19 și să ia măsuri de protecție, însă trebuie să se limiteze la a comunica numai informațiile necesare. Deși, în cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contactat virusul, se va acționa în acest sens numai din rațiuni de prevenție, iar în cazul în care legislația națională o permite, angajatul în cauză va fi informat în prealabil și se vor depune eforturi pentru protejarea demnității și integrității sale.
- În ceea ce privește prelucrarea datelor de telecomunicații, cum ar fi datele de locație – pot fi utilizate numai de operator atunci când acestea sunt făcute în mod anonim sau cu acordul persoanelor. Statele member pot adopta norme excepționale cu privire la acest tip de date cu caracter personal, numai dacă acestea constituie o măsură necesară, adecvată și proporțională în cadrul unei societăți democratice.
Guvernele unora dintre statele membre, prevăd posibilitatea de a geolocaliza persoanele fizice sau de a trimite mesaje cu privire la sănătatea publică persoanelor dintr-o anumită zonă.
CEPD recomandă ca autoritățile publice să încerce în primul rând să proceseze datele privind localizarea într-un mod anonim (adică prelucrarea datelor agregate într-un mod în care persoanele nu pot fi reidentificate), ceea ce va putea permite generarea de rapoarte privind concentrarea dispozitivelor mobile într-o anumită locație. Cu toate acestea, atunci când nu este posibil să se proceseze doar date anonime, statele membre ar trebui să asigure garanții adecvate, cum ar fi facilitarea unor căi de atac persoanelor fizice.
CEPD menționează că trebuie aplicat principiul proporționalității, întrucât soluția cea mai puțin intruzivă ar trebui să fie întotdeauna preferată, ținând cont de scopul specific ce trebuie atins.
”Trackingul” persoanelor (adică prelucrarea datelor istorice privind localizările neanonomizate) ar putea fi considerată proporțională doar în circumstanțe excepționale și în funcție de modalitățile concrete ale prelucrării – dar sub control și cu garanții înbunătățite pentru a asigura respectarea principiilor protecției datelor (proporționalitatea măsurilor în ceea ce privește durata și sfera de aplicare, stocarea limitată a datelor și limitarea scopului).
Toate măsurile mai sus menționate trebuie efectuate doar în scopuri explicite și foarte bine specificate, trebuie să fie strict limitate la durata siruației urgente și trebuie să respecte Carta drepturilor fundamentale și Convenția Europeană pentru apărarea drepturilor omului și libertăților fundamentale.
În plus, CEPD a precizat că persoana vizată trebuie să primească informații trasparente, ușor accesibile și furnizate într-un limbaj clar (pe înțelesul tuturor), cu privire la activitățile de prelucrare, inclusiv la perioada de stocare a datelor colectate, precum și cu privire la scopurile prelucrării. CEPD a subliniat în cadrul declarației – importanța documentării tututror măsurilor adecvate de securitate și a politicilor de confidențialitate ce trebuie luate pentru a se asigura că datele cu caracter personal nu sunt dezvăluite părților neautorizate.
