Provocările GDPR in perioada COVID

Adaugă-ne ca sursă preferată în Google

Urmărește-ne in Discover

Anii 2020-2021 au adus multe schimbări în viața fiecăruia dintre noi, în planurile pe care le aveam, în modul în care gândeam strategiile de dezvoltare, totul gravitând acum în jurul noțiunilor de “stare de alertă”, “vaccinare”, “se permite accesul”, “se interzice accesul”, “online”, “remote”, “telemuncă”etc.

Actele normative emise în această perioadă, deloc puține, deloc lipsite de interpretări și deloc facil de asimilat, au impus maximă vigilență, atât profesioniștilor dreptului, dar și managerilor din toate industriile și domeniile de activitate, care s-au văzut nevoiți să urmărească constant, și mai ales să înțeleagă și să implementeze corect, modificările legislative din domeniile de interes pentru ei, pentru a se adapta, cu măsuri adecvate, cerințelor impuse de autorități.

Una dintre problemele juridice rezultate în mod implicit din multitudinea de prevederi legale apărute în contextul pandemiei de SARS COV 2 o reprezintă cea din domeniul prelucrării datelor personale legate de vaccinare sau de trecerea prin boală, date sensibile, care impun o prelucrare prudentă și de care se lovesc, mai mult sau mai puțin, toți angajatorii.

Dincolo de alegerea personală a fiecăruia de a dezvălui, prietenilor sau colegilor, dacă este sau nu vaccinat, dispozițiile legale apărute în etape au impus angajatorilor, direct sau indirect, să verifice acest aspect în scopul organizării muncii pe diverse paliere. De aici s-au ridicat, în mod evident, o serie de intrebări legate de prelucrarea acestor date, printre care cele referitoare la temeiul juridic al prelucrării acestora sau la perioada de stocare a acestor date.

În cele ce urmează ne propunem să prezentăm un punct de vedere legat de cele două componente obligatoriu de identificat în cazul unei prelucrări de date cu caracter personal, respectiv temeiul juridic al prelucrării și perioada de stocare a datelor, raportat la două dintre prevederile legale care impun sau permit angajatorilor prelucrarea de date personale ale salariaților privind vaccinarea acestora sau trecerii acestora prin boală.

• Prima dintre acestea o reprezintă art. 21¹ din Legea nr. 221/2021 pentru completarea Legii nr. 55/2020 privind unele măsuri pentru prevenirea și combaterea efectelor pandemiei de COVID-19 (“Legea 221/2021”). Acest articol de lege reglementează posibilitatea acordării de către angajator, la cererea salariatului, a unei zile libere pentru efectuarea fiecărei doze de vaccin, atât de către salariatul însuși, cât și de minorul aflat în grija acestuia. Acest drept, respectiv ziua liberă, se acordă, potrivit acestui articol, pe baza adeverinței de vaccinare eliberate potrivit legii și care trebuie depusă la angajator.
• a doua prevedere este cea cuprinsă in art. 12 al Anexei nr. 3 a Hotărârii de Guvern nr. 1090/2021, privind prelungirea stării de alertă pe teritoriul României începand cu data de 10 octombrie 2021 (“H.G. 1090/2021”). Acest articol reglementează obligațiile angajatorilor de a organiza timpul de muncă, cu precădere în regim de telemuncă sau de la domiciliu, pentru cel puțin 50% dintre salariați, iar dacă acest lucru nu este posibil și angajatorul are mai mult de 50 de salariați, de a asigura respectarea unor ore diferențiate de venire și de plecare a salariaților de la locul de muncă. Alin. 3 al acestui articol prevede, însă, faptul că organizarea activității la locul de muncă se va realiza ținând cont și de gradul de vaccinare a angajaților de la acel loc de muncă, atestat prin certificat de vaccinare împotriva virusului SARS-CoV-2 prezentat de salariații pentru care au trecut 10 zile de la finalizarea schemei complete de vaccinare, precum și de numărul de angajați care se află în perioada cuprinsă între a 15-a zi și a 180-a zi ulterioară confirmării infectării cu virusul SARS-CoV-2 și care dețin și prezintă angajatorului adeverința eliberată de medicul de familie.

Iată cum, în acte normative diferite, dezvăluirea de către salariați a informației privind vaccinarea sau trecerea prin boală este reglementată în scopuri diferite, fiecare dintre acestea impunând identificarea temeiului juridic al prelucrării, dar și perioada de stocare a datelor personale prelucrate. Urmărim în ce măsură autoritățile vor impune obligativitatea certificatului verde pentru acces la locul de muncă, aspect pe care îl vom analiza într-un articol viitor, dacă astfel de prevederi legale vor fi adoptate.

• Astfel, în ce privește posibilitatea de a beneficia de o zi liberă pentru efectuarea fiecărei doze de vaccin instituită prin Legea 221/2021, salariații trebuie să depună la angajator, pe lângă o cerere în acest sens, și adeverința de vaccinare care să facă dovada legitimității solicitării de acordare a zilei libere.

Din redactarea acestui articol, prin utilizarea termenului “depunere”, rezulta practic, obligativitatea colectării și păstrării, de către angajator, a unei copii a adeverinței de vaccinare. Așadar, pentru acest scop al acordării zilelor libere, angajatorii vor prelucra toate informațiile cuprinse în adeverința de vaccinare (date care pot aparține salariatului vaccinat sau coopilului minor vaccinat), inclusiv o copie a acesteia, precum și toate datele personale incluse în cererea depusă de salariat, dar și în declarația pe propria răspundere a celuilalt părinte cum că nu a beneficiat de o zi liberă în acest scop (în cazul în care vaccinarea a avut loc pentru copilul minor).

Mihaela Cracea, LL.M.

Întrebarea, în acest context, este cea privitoare la perioada de stocare a acestor documente, cu precădere a adeverințelor de vaccinare.

În considerarea scopului prelucrării, respectiv acela al acordării de zile libere dacă este îndeplinită condiția vaccinării, dar având în vedere și necesitatea justificării acordării acestor zile libere și dovedirii absenței salariatului de la locul de muncă în cazul unui potențial incident sau accident în ziua absentării, apreciem că perioada de stocare a acestor documente ar trebui sa fie cea suficientă pentru justificarea de către angajator a plății salariului pentru ziua de absență, dar și pentru soluționarea oricăror incidente pe linie de sănătate și securitate în muncă ce ar putea apărea in ziua liberă, respectiv perioada termenului general de prescripție de 3 ani prevăzut de art. 171 din Codul Muncii, termen care ar trebui sa curgă de la data depunerii cererii pentru acordarea zilei libere.

Evident, perioada de stocare va putea fi extinsă pentru situații punctuale, dacă vor apărea orice fel de incidente cu privire la ziua liberă solicitată, până la soluționarea definitivă a acestora.

Cât privește temeiul juridic al prelucrării, apreciem că acesta îl reprezintă necesitatea îndeplinirii obligațiilor legale de către angajator, respectiv cele analizate de către noi mai sus, temei juridic care este reglementat de art. 9 alin. 1 lit b) din Regulamentul European nr. 679/2016 privind protecția persoanelor fizice în ce privește prelucrarea datelor cu caracter personal (“GDPR”).

• H.G. 1090/2021 prevede o altă situație în care se impune prelucrarea anumitor date personale legate, de data aceasta, nu numai de vaccinare, ci și de trecerea prin boală, respectiv situația în care angajatorul este nevoit să adopte anumite măsuri privind organizarea muncii, dacă are mai mult de 50 de salariați, astfel încât să asigure împărțirea salariaților pe grupe, ture, dar și ore diferențiate de venire și de plecare de la locul de muncă a acestora.

Termenul utilizat de actul normativ este “prezentare” și nu “depunere” cum este în cazul Legii 221/2021, a adeverinței de vaccinare sau a adeverinței eliberate de medicul de familie. Cu alte cuvinte, ne aflăm în situația de a analiza în ce măsură angajatorul ar avea dreptul de a colecta și păstra copii ale acestor documente sau doar dreptul de a analiza aceste documente și de a consemna, într-un registru ținut în format electronic sau fizic, doar informațiile strict necesare atingerii acestui scop.

În aprecierea noastră, întrucât aceste dispoziții legale nu mai vorbesc de obligativitatea “depunerii” acestor documente, având în vedere și necesitatea respectării principiului minimizării datelor instituit de GDPR, ar fi suficientă, pentru organizarea muncii, doar colectarea unor minime informații cu privire la numele salariatului și data finalizării schemei complete de vaccinare sau confirmarii cu virsului SARS COV 2, cu obligativitatea pentru salariați, firește, de a prezenta și chiar depune aceste documente la angajator în măsura în care autorități de control ar solicita acest lucru pentru verificarea corectitudinii informațiilor reținute de către angajator.

In ce priveste perioada de stocare a acestor date personale, aceasta ar trebui să fie limitată, (i) fie la perioada pentru care subzistă aceste cerințe legale privitoare la organizarea muncii în considerarea vaccinării sau trecerii prin boală a salariatilor, (ii) fie până la încetarea contractului de muncă al salariatului, (iii) fie până la expirarea valabilitatii lor (ex: 30.06.2022 în ce privește certificatele de vaccinare, 180 de zile de la data primului rezultat pozitiv la testul pentru SARS-CoV-2, înregistrat în platforma informatică „Corona-forms”), oricare intervine prima.

Și pentru acest scop al prelucrării temeiul juridic va fi necesitatea îndeplinirii obligațiilor legale de către angajator, respectiv cele care impun angajatorilor aceste forme de organizare a muncii, temei juridic care este reglementat de art. 9 alin. 1 lit b) din GDPR.

De precizat este faptul că angajatorii vor trebui să respecte, pe lângă perioada de stocare sau indicarea corectă a temeiului juridic al prelucrării pentru situațiile analizate de noi în prezentul articol, toate celelalte reguli impuse de GDPR, cele mai importante fiind:

• informarea corectă și completă a salariaților cu privire la prelucrarea datelor lor în aceste scopuri, cu respectarea cerințelor art. 13 din GDPR;
• limitarea accesului la aceste date strict personalului care are nevoie să cunoască aceste date pentru îndeplinirea atribuțiilor de serviciu. Fiind în discuție date foarte sensibile, este recomandabil ca accesul la astfel de informații sa fie acordat unui numar extrem de limitat de persoane, iar mediul de stocare a acestor informații și documente să fie extrem de bine determinat și controlat, astfel încât să se asigure o maximă securitate acestor informații.

Material sustinut de Casa de Avocatura LC Legal Proof

www.lclegalproof.com

169 Calea Floreasca, 2nd floor,

014459, District 1, Bucharest