Aplicarea Regulamentului General privind Protecția datelor în contextul pandemiei COVID-19

Având în vedere măsurile adoptate de Guvernele și instituțiile publice abilitate din întreaga Europa în vederea împiedicării răspândirii virusului COVID-19, precum și faptul că aceste măsuri pot implica o prelucrare a datelor cu caracter personal ale persoanelor vizate, la data de 19 martie 2020 Comitetul European pentru Protecția Datelor a adoptat, o Declarație, prin care a adus anumite lămuriri cu privire la legalitatea acestei prelucrări raportat la dispozițiile  Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (în continuare Regulament)

Comitetul a subliniat faptul că  regulile de protecție a datelor stabilite prin Regulament nu interzic luarea unor măsurile pentru lupta împotriva pandemiei de Coronavirus SARS-CoV-2, măsuri ce pot presupune inclusiv prelucrarea datelor cu caracter personal, însă operatorii trebuie, chiar și în aceste momente excepționale, să asigure protecția datelor cu caracter personal ale persoanelor vizate și principiile generale ale prelucrării.

În acest context, legalitatea prelucrării datelor cu caracter personal este asigurată de interesul legitim – public, important în domeniul sănătății. Datele cu caracter personal pot fi prelucrate doar în scopuri determinate și explicite, fără a fi necesar consimțământul persoanei vizate, însă cu respectarea dreptului la informare a persoanei vizate cu privire la modalitatea de prelucrare (inclusiv perioada de păstrare a datelor colectate).

Totodată trebuie adoptate măsuri suplimentare, adecvate, de securitate și confidențialitate, care să asigure că datele cu caracter personal colectate nu ajung în posesia unor persoane neautorizate.

În concret, Comitetul a venit cu lămuriri în ce privește prelucrarea datelor cu caracter personal realizată de către autoritățile publice sau de către angajatori, în contextul măsurilor impuse de instituțiile abilitate.         

În ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile publice prelucrarea este legală, fiind efectuată în temeiul art.6 și art.9 din Regulament. În contextul epidemiei, autoritățile publice au dreptul să prelucreze date cu caracter personal ale persoanelor fizice, inclusiv date cu caracter special (date privind sănătatea), fie că prelucrarea este făcută direct de către autoritatea publică, sau este făcută de o instituție privată (persoană împuternicită) la cererea autorității. Atunci când prelucrarea este făcută de către o autoritate, este recomandat ca aceasta să aibă în mod legal atribuții legate de interesul public în domeniul sănătății, cum este spre exemplu autoritatea de sănătate publică.     

În ce privește prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, Comitetul a adus lămuriri distincte în raport cu calitatea persoanei vizate.
Angajatorii au dreptul să prelucreze datele cu caracter personal ale angajaților în contextul unei epidemii, în temeiul interesului legitim public (precum controlul bolilor și alte amenințări la adresa sănătății) sau pentru respectarea unei obligații legale (cum ar fi obligații  referitoare la sănătate și securitate la locul de muncă). În categoria datelor cu caracter personal prelucrate de angajatori pot fi incluse și datele referitoare la starea de sănătate, această prelucrare fiind reglementată expres de Considerentul (46) din Regulament în situația monitorizării unei epidemii și a răspândirii acesteia

Angajatorul are obligația de a respecta confidențialitate oricărui caz COVID-19 din cadrul său și de a informa ceilalți angajați despre cazurile COVID-19, însă prin comunicarea doar a informațiilor strict necesare, cu respectarea demnității și a integrității persoanei vizate. În cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contactat virusul (de exemplu, într-un context preventiv) și legislația națională o permite, angajații despre care este vorba sunt informați în prealabil.

Comitetul a arătat ca un angajator poate solicita, în temeiul interesului public în domeniul sănătății publice, și vizitatorilor (terți) să furnizeze informații specifice de sănătate în contextul COVID-19, însă doar cu respectarea principiului proporționalității și reducerii la minimum a datelor și doar dacă legislația națională o permite.