Prima paginaArticolePrelucrarea datelor in contextul pandemiei covid-19

Prelucrarea datelor in contextul pandemiei COVID-19

Lumea se confrunta cu o situatie extraordinara provocata de pandemia COVID-19. Guvernele, institutiile publice si private din intreaga lume se lupta pentru atenuarea raspandirii virusului prin implementarea unor masuri care pot include, printre altele, prelucrarea datelor cu caracter personal.

Legea aplicabila in domeniul protectiei datelor cu caracter personal nu impiedica lupta impotriva virusului, intrucat este in interesul tuturor sa utilizeze toate armele posibile pentru a opri raspandirea acestuia si a eradica amenintarea actuala. Cu toate acestea, in procesul implementarii masurilor necesare, operatorii de date si persoanele imputernicite de operatori trebuie sa asigure protectia persoanelor vizate cu privire la datele lor cu caracter personal, chiar si in aceste momente exceptionale.

In Romania, ca si in alte tari, declararea starii de urgenta poate fi considerata un motiv legitim pentru restrictionarea drepturile si libertatile fundamentale ale cetatenilor. Totusi, astfel de restrictii trebuie sa respecte principiile generale ale dreptului, trebuie sa fie necesare, proportionale si limitate la perioada starii de urgenta.

Regulamentul UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date si de abrogarea a Directivei 95/46/CE („GDPR”) permite autoritatilor de sanatate publica competente  si angajatorilor sa prelucreze datele cu caracter personal in contextul unei epidemii, in conformitate cu legislatia nationala si in conditiile stabilite de aceasta.

In acord cu declaratia Comitetului European pentru Protectia Datelor („EDPB”) si a Autoritatii Nationale de Supraveghere („ANSPDCP”) privind prelucrarea datelor cu caracter personal in contextul COVID-19, am stabilit imaginea de ansamblu a normelor aplicabile in aceste momente exceptionale.

1. Consideratii privind operatorul de date si persoana imputernicita de acesta sa prelucreze date cu caracter personal

In ceea ce priveste legalitatea prelucrarii, datele privind sanatatea pot fi prelucrate, daca:

a) prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale, in masura in care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munca incheiat in temeiul dreptului intern care prevede garantii adecvate pentru drepturile fundamentale si interesele persoanei vizate (art. 9 alin. 2 (b) GDPR);

b) prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci cand persoana vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul (art. 9 alin. 2 (c) GDPR);

c) prelucrarea este necesara din motive de interes public major, in baza dreptului Uniunii sau a dreptului intern, care este proportional cu obiectivul urmarit, respecta esenta dreptului la protectia datelor si prevede masuri corespunzatoare si specifice pentru protejarea drepturilor fundamentale si a intereselor persoanei vizate (art. 9 alin. 2 (g) GDPR);

d) prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament medical sau de gestionarea sistemelor si serviciilor de sanatate sau de asistenta sociala, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru medical si sub rezerva respectarii conditiilor si garantiilor prevazute la art. 9 alin. (3) GDPR (art. 9 alin. 2 (h) GDPR);

e) prelucrarea este necesara din motive de interes public in domeniul sanatatii publice, cum ar fi protectia impotriva amenintarilor transfrontaliere grave la adresa sanatatii sau asigurarea de standarde ridicate de calitate si siguranta a asistentei medicale si a medicamentelor sau a dispozitivelor medicale, in temeiul dreptului Uniunii sau al dreptului intern, care prevede masuri adecvate si specifice pentru protejarea drepturilor si libertatilor persoanei vizate, in special a secretului profesional (art. 9 alin. 2 (i) GDPR).

Alte categorii de date pot fi prelucrate in baza conditiilor prevazute la art. 6 din GDPR.

Totodata, art. 23 alin. 1 (e) din GDPR stipuleaza restrictiile privind obligatiile operatorilor de date si drepturile persoanelor vizate, care pot fi impuse de legislatia statelor membre, in masura in care aceste restrictii respecta esenta drepturilor si libertatilor fundamentale si sunt masuri necesare si proportionale intr-o societate democratica pentru protejarea sanatatii publice.

Mai mult decat atat, prelucrarea datelor cu caracter personal ar trebui, de asemenea, considerata legala atunci cand este necesara pentru protejarea unui interes vital, cum ar fi viata persoanei vizate sau a unei alte persoane fizice. In anumite cazuri, prelucrarea poate servi atat motivelor importante de interes public, cat si intereselor vitale ale persoanei vizate deopotriva, de exemplu, atunci cand prelucrarea este necesara in scopuri umanitare, inclusiv pentru monitorizarea epidemiilor si raspandirii acestora sau in situatii de urgenta umanitara, in special in cazul dezastrelor naturale sau cele provocate de om.

Referitor la prelucrarea datelor privind comunicatiile electronice, cum ar fi datele privind locatia, operatorii de date trebuie sa respecte dispozitiile Directivei UE 2002/58 / CE („Directiva ePrivacy”) privind prelucrarea datelor cu caracter personal si protejarea confidentialitatii in sectorul comunicatiilor electronice, precum si cele ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.

Astfel, datele privind locatia pot fi prelucrate numai in urmatoarele situatii:

  • datele in cauza sunt transformate in date anonime;
  • exista consimtamantul expres prealabil al utilizatorului sau abonatului la care se refera datele respective, in masura si pentru durata necesare furnizarii unui serviciu cu valoare adaugata;
  • atunci cand serviciul cu valoare adaugata cu functie de localizare are ca scop transmiterea unidirectionala si nediferentiata a unor informatii catre utilizatori.

Cu toate acestea, art. 15 din Directiva ePrivacy permite statelor membre sa introduca masuri legislative pentru a proteja securitatea nationala. O astfel de legislatie exceptionala este permisa numai daca constituie o masura necesara, corespunzatoare si proportionala in cadrul unei societati democratice. In plus, acestea trebuie sa fie in conformitate cu Carta Drepturilor Fundamentale si Conventia Europeana a Drepturilor Omului („CEDO”) si sunt supuse controlului judiciar al Curtii Europene de Justitie si a Curtii Europene a Drepturilor Omului. In cazul unei situatii de urgenta, aceste masuri legislative ar trebui, de asemenea, sa fie strict limitate la durata starii de urgenta.

Desi o situatie epidemica poate impune anumite derogari de la obligatiile operatorilor de date si drepturile persoanelor vizate, principiul securitatii prelucrarii datelor cu caracter personal trebuie respectat pe deplin. Atunci cand vorbim despre masuri adecvate si specifice pentru protejarea drepturilor fundamentale si a intereselor persoanei vizate, operatorii de date trebuie sa respecte prevederile art. 32 din GDPR care stipuleaza masurile tehnice si organizatorice conforme pentru asigurarea unui nivel ridicat de securitate a prelucrarii, precum si politicile de confidentialitate care asigura ca datele cu caracter personal nu sunt dezvaluite unor terte parti neautorizate.

De asemenea, operatorii de date trebuie sa garanteze si sa demonstreze ca prelucrarea datelor se realizeaza in conformitate cu principiile GDPR si sa tina o evidenta a acestor activitati de prelucrare, care sa contina scopurile prelucrarii, categoriile de persoane vizate, datele cu caracter personal prelucrate, categoriile de destinatari, durata de stocare a datelor si o descriere generala a masurilor tehnice si organizatorice de securitate puse in aplicare de catre operatorul de date.

Mai mult decat atat, atunci cand prelucrarea datelor este necesara din motive de interes public major, operatorii de date trebuie sa respecte prevederile art. 6 din Legea nr. 190/2018 privind masurile de implementare a GDPR, care stipuleaza urmatoarele garantii necesare:

  • masuri tehnice si organizatorice adecvate pentru respectarea principiilor consacrate in GDPR, in special principiile privind minimizarea datelor, integritatea si confidentialitatea;
  • numirea unui responsabil cu protectia datelor, daca acesta este necesara; si
  • termene de stocare in functie de natura datelor si scopul prelucrarii, precum si de termene specifice in care datele cu caracter personal trebuie sterse sau revizuite in vederea stergerii.

In ceea ce priveste prelucrarea datelor in contextul relatiilor de munca in timpul unei situatii pandemice, EDPB declara ca un angajator poate solicita informatii medicale specifice apartinand vizitatorilor sau angajatilor, in masura in care legislatia nationala o permite si in conformitate cu principiul proportionalitatii si minimizarii datelor, deosebit de relevante in circumstantele mentionate.

Cu toate ca datele privind sanatatea pot fi prelucrate de catre angajator in baza interesului public, ANSPDCP mentioneaza in declaratia sa ca dezvaluirea publica a numelui si starii de sanatate a unei persoane poate fi facuta numai cu acordul prealabil al acesteia. Angajatorii ar trebui sa informeze personalul despre cazurile COVID-19 si sa ia masuri de protectie, fara a comunica mai multe informatii decat este necesar.

2. Consideratii privind persoanele vizate

Indiferent de contextul pandemic si eventualele derogari de la drepturile persoanelor vizate pe perioada starii de urgenta, persoanele vizate beneficiaza in continuare de drepturile statuate in cadrul GDPR, respectiv: dreptul la informare privind datele de contact ale operatorului de date, scopul si temeiul legal al prelucrarii, destinatarii datelor, perioada de stocare, dreptul de acces si rectificare, dreptul de a depune o plangere la o autoritate de supraveghere. Obligatia de a informa persoanele vizate despre aceste drepturi poate fi indeplinita de catre operatorul de date prin publicarea pe site-ul sau web a acestor informatii intr-o maniera transparenta, usor accesibila si intr-un limbaj clar si simplu.

Din nou, precizam ca dezvaluirea publica a numelui si starii de sanatate a unei persoane poate fi facuta numai cu acordul prealabil, in conformitate cu declaratia ANSPDCP.

Totodata, atunci cand datele cu caracter personal sunt prelucrate in baza interesului public, dreptul la respectarea vietii private si de familie a persoanei vizate nu trebuie sa prevaleze acestuia, in conformitate cu prevederile art. 8 din CEDO: “Nu este admis amestecul unei autoritati publice in exercitarea acestui drept decat in masura in care acesta este prevazut de lege si constituie, intr-o societate democratica, o masura necesara pentru securitatea nationala, siguranta publica, bunastarea economica a tarii, apararea ordinii si prevenirea faptelor penale, protectia sanatatii, a moralei, a drepturilor si a libertatilor altora”.

In consecinta, orice interferenta in drepturile persoanelor vizate privind respectarea vietii private si de familie trebuie sa fie „prevazuta de lege”, trebuie sa urmeze un scop legitim si trebuie sa fie „necesara intr-o societate democratica”.

Pentru o mai buna intelegere a celor de mai sus, sa luam ca exemplu guvernul Romaniei:

In eventualitatea in care guvernul intentioneaza sa monitorizeze datele privind locatia persoanelor prin mijloace electronice ca o modalitate de a contribui la atenuarea raspandirii COVID-19, aceasta masura ar presupune, de exemplu, posibilitatea de geolocalizare sau de a trimite mesaje privind sanatatea publica persoanelor dintr-o anumita zona prin telefon sau mesaj text.

In acest scop, Guvernul ar trebui mai intai sa incerce sa prelucreze datele privind locatia intr-un mod anonim (i.e. prelucrarea datelor intr-o maniera in care persoanele nu pot fi reidentificate), ceea ce ar putea implica generarea de rapoarte privind concentratia dispozitivelor mobile dintr-o anumita locatie (cartografie). Atunci cand datele sunt prelucrate in mod anonim si corespunzator, reglementarile privind protectia datelor cu caracter personal nu se aplica.

Daca scopul declarat nu poate fi indeplinit doar prin prelucrarea datelor in mod anonim, atunci art. 15 din Directiva ePrivacy permite guvernului sa introduca masuri legislative pentru a proteja securitatea nationala. In consecinta, intr-un astfel de caz, guvernul va fi obligat sa instituie garantii adecvate, cum ar fi dreptul la o cale de atac judiciara acordat utilizatorilor de servicii de comunicatii electronice.

De asemenea, principiul proportionalitatii si minimizarii datelor se vor aplica. Solutiile cele mai putin intruzive ar trebui sa fie intotdeauna preferate, precum si prelucrarea datelor strict necesare conform scopului declarat. Masurile invazive, cum ar fi „urmarirea” persoanelor (i.e. prelucrarea istoricului de date non-anonimizate privind locatia) ar putea fi considerate proportionale in circumstante exceptionale si in functie de modul de prelucrare. Cu toate acestea, o astfel de prelucrare ar trebui sa fie supusa controlului si garantiilor sporite pentru a asigura respectarea principiilor privind protectia datelor (proportionalitatea masurii in ceea ce priveste durata si domeniul de aplicare, stocarea limitata a datelor, limitarea scopului si prelucrarea datelor strict necesare).

In ceea ce priveste conformitatea cu prevederile CEDO, interferenta in viata privata a persoanelor ar putea fi considerata legala daca guvernul introduce masuri legislative pentru indeplinirea scopului de a monitoriza locatia persoanelor prin mijloace electronice, daca interferenta urmeaza un scop legitim - atenuarea raspandirii COVID-19 - si daca este necesara intr-o societate democratica, luand in considerare seriozitatea situatiei care pune in pericol viata tuturor cetatenilor.

© Copyright Stratulat-Albulescu.ro 2021. Toate drepturile rezervate.