Opinia ANSPDCP despre prelucrarea datelor privind vaccinarea anti-Covid-19
Din ce în ce mai mulți angajatori iau în considerare reîntoarcerea angajaților în spațiile de lucru în comun. Astfel, o întrebare apare din ce în ce mai mult în cadrul acestor organizații, respectiv dacă ar trebui sau nu să colecteze (implicit să prelucreze) de la angajați și vizitatori informații despre certificatul de vaccinare și statutul de “vaccinat” anti-Covid-19.
Alex Gheorghe este unul dintre consultanții juridici și consultanții GDPR pe care îi regăsiți pe platforma BizTool.ro.
În luna iulie 2021 solicitam ANSPDCP un punct de vedere avizat cu privire la practicile angajatorilor de a colecta statutul de vaccinat al angajaților și/sau al vizitatorilor sediilor organizațiilor din România. Am considerat necesar punctul de vedere al Autorității având responsabilitatea recomandărilor oferite clienților noștri, recomandări care vizează și trebuie să considere o serie de aspecte din mai multe domenii de activitate:
- practicile privind colectarea statutului de vaccinat al angajaților pot să conducă la o categorisire a personalului iar discuții nedorite pot să apară în organizație între angajați;
- interesul legitim al organizației nu este clar stabilit;
- lipsa unui aviz concret din partea autorităților publice.
Până la această dată, Autoritățile de Supraveghere privind Protecția Datelor din Irlanda, Polonia și Regatul Unit al Marii Britanii (UK) s-au exprimat cu privire la această activitate de prelucrare avizand în acest organizațiile.
IRLANDA.
Sursa: Processing COVID-19 Vaccination Data in the context of Employment_0.pdf (dataprotection.ie)
Data Protection Commission din Irlanda consideră că, în absența unor recomandări exprese din partea Ministerului Sănătății și/sau a altor autorități publice avizate necesare pentru ca angajatorii să stabilească necesitatea și oportunitatea prelucrării informațiilor privind statusul vaccinării, prelucrarea acestor informații poate fi interpretată că nefiind necesară și fiind excesivă în lipsa unor temeiuri legale concrete și a stabilirii unui scop clar definit și susținut de autoritățile statului.
De asemenea, autoritatea irlandeză se exprimă cu privire la utilizarea de către angajatori a informației colectate: angajații nevaccinați vor fi trimiși acasă sau se vor fi împărți în două sau mai multe categorii – vaccinați și nevaccinați.
De asemenea, autoritatea irlandeză are în vedere faptul că angajații tineri (în funcție de o anumită categorie de vârstă) nu au fost vaccinați iar eficacitatea în timp a vaccinurilor administrate este încă neclară.
UK.
Surse: Vaccinations | ICO
Autoritatea de Supraveghere din Marea Britanie - Information Commissioner’s Office (ICO) – recomandă angajatorilor să clarifice scopul pe care încearcă să îl atingă prin colectarea informației privind statutul de vaccinat al angajaților și al vizitatorilor și cum contribuie prelucrarea acestei informații la realizarea acestui scop.
ICO consideră că informația privind vaccinarea se înscrie în categoria datelor cu caracter special și că prelucrarea acestei informații trebuie să fie relevantă, necesară și corectă în raport cu scopul urmărit.
ICO avizează angajatorii că trebuie să aibă în vedere (i) legislația din domeniul muncii și contractele încheiate cu angajații, (ii) regulamentele și obligațiile în vigoare impuse din punct de vedere al sănătății publice și (iii) egalitatea angajaților, regulile antidiscriminare și alte drepturi ale omului.
De asemenea, stabilirea necesității prelucrării informației privind statutul vaccinării unui angajat sau vizitator trebuie considerate din punct de vedere al sectorului de activitate specific al organizației și riscul pe care expunerea unor persoane vulnerabile din punct de vedere al sănătății la un mediu de lucru în comun poate să afecteze respectiva persoană dar și impactul colateral potențial al acestei prelucrări.
Mai mult, ICO consideră că prelucrarea statutului de vaccinat al angajatului sau al vizitatorului organizației justificat de obținerea consimțământului persoanei vizate ca temei legal, nu este considerat un temei valid pentru prelucrarea acestei informații.
Interesul legitim este, în opinia autorității engleze, singurul temei legal indicat, în condițiile realizării unei evaluări a interesului legitim al organizației în raport cu drepturile și libertățile angajatului sau ale vizitatorului (Legitimate Interest Assessment).
POLONIA.
Autoritatea de Supraveghere privind protecția datelor din Polonia consideră că pentru conformarea cu Regulamentul General privind Protecția Datelor, organizațiile nu au justificare pentru a susține solicitarea de la angajați și vizitatori a certificatului de vaccinare anti-Covid 19, iar informația privind vaccinarea trebuie să fie voluntară și (spre deosebire de opinia ICO) acordată numai în baza consimțământului persoanei vizate.
Autoritatea din Polonia recomandă organizațiilor care plănuiesc să prelucreze informații privind vaccinarea angajaților să nu prelucreze informația privind vaccinarea (respectiv să nu o stocheze) după verificarea acesteia.
ROMÂNIA.
Oferim punctul de vedere al ANSPDCP că urmare a prezentului articol.
ANSPDCP opinează punctual, în limitele GDPR. Astfel, Regulamentul devine aplicabil, conform opiniei ANSPDCP, numai în măsura în care "informațiile referitoare la vaccinare sau testare pentru Sars-Cov-2 ori pentru vindecarea unei persoane fizice identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare".
Astfel, dacă certificatele de vaccinare sau rezultatele testelor sunt prezentate angajatorului fără că acesta să le stocheze, GDPR nu se aplică.
Autoritatea subliniază că angajatorii trebuie să analizeze temeiul legal al colectării și înregistrării informațiilor referitoare la vaccinare, testare și vindecare, adică motivul (permisibil d.p.d.v. legal) pentru care propune colectarea acestor informații.
Răspunsul ANSPDCP poate fi citit pe larg aici.
Totodată, informarea angajaților "într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu" este o obligație a angajatorilor care prelucrează informații referitoare la vaccinarea, testarea și vindecarea personalului.
Totodată, ANSPDCP precizează că datele ce pot fi colectate și prelucrate de angajatori trebuie să respecte principiul "caracterului adecvat, relevant și limitat la ceea ce este necesar în raport cu scopurile prelucrării".
Drept urmare, angajatorul are obligația de a analiza și justifica necesitatea prelucrării anumitor date pentru a respectă principiul sus menționat.
Nu în ultimul rând, Autoritatea face referire la obligația angajatorilor de a considera implementarea unor măsuri de protecție adecvate pentru a proteja datele referitoare la vaccinare, testare și vindecare (Autoritatea subliniază importanță pseudonimizarea și a criptării datelor), dar și de lua în considerare evaluarea de impact (DPIA) a prelucrării acestor informații în raport cu riscurile potențiale asupra drepturilor și libertăților persoanelor vizate.
În opinia noastră, DPIA este obligatorie pentru angajatorii care prelucrează informații despre certificatul de vaccinare și statutul de “vaccinat” anti Covid 19 al angajaților, având în vedere interesul scăzut al organizațiilor din România (în special întreprinderile mici și mijlocii) pentru implementarea unor reguli de igienă cibernetică.
Răspunsul ANSPDCP poate fi citit pe larg aici.