Odata cu relasarea economiei si repornirea activitatii celor mai multe firme, a aparut un set de "Recomandari de sanatate publica pentru masuri specifice ce vor fi dispuse de institutiile competente privind reluarea activitatii in domenii specifice dupa incetarea starii de urgenta" (documentul poate fi descarcat aici)
Una din aceste recomandari este ca operatorul sa conditioneze accesul in incintele inchise (magazine, spatii de productie, birouri) de trierea medicala a angajatilor si clientilor, triere care se face si prin luarea temperaturii acestora. O temperatura mai mare de 37 de grade va duce la interdictia accesului in cladire. In unele cazuri, se mai solicita si completarea unui chestionar privind probabilitatea intrarii in contact cu persoane infectate sau eventuale calatorii recente in zone "rosii". De obicei, motivul invocat este o ancheta epidemiologica, in cazul in care persoana respectiva se dovedeste a fi bolnava.
Temperatura poate fi luata manual, de catre un angajat desemnat, sau prin sisteme automate de termoscanare.
Cum pot fi aceste masuri implementate in contextul respectarii regulamentului GDPR privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal?
Problema este foarte complexa pentru ca temperatura este o informatie sensibila, iar contextul in care aceasta este prelucrata de companii poate duce direct la identificarea persoanelor. Daca in cazul accesului intr-o piata publica, persoanele scanate pot sa ramana relativ anonime, in cazul accesului intr-o institutie (de exemplu, pentru depunerea unor acte), persoanele vor fi legitimate si identificate direct. In cazul angajatilor, situatia este si mai clara, iar riscul ca informatiile legate de istoricul medical al acestora sa se raspandeasca in companie este mult crescut.
Se mai respecta GDPR in conditii de pandemie? Ce probleme pot sa apara?
Va inchipuiti o firma in care toti stiu despre angajatul X ca este bolnav, doar pentru ca acesta s-a prezentat la serviciu cu o temperatura usor ridicata, dar fara sa aibe vreo problema? Divulgarea unor date in spatiul public poate sa produca prejudicii persoanei vizate de prelucrari, intr-o vreme in care toti sunt suspiciosi fata de persoanele potential bolnave din jur.
Lipsa masurilor de protectie a datelor sau a informarilor corespunzatoare poate duce la reclamatii, cu consecinta instituirii unor amenzi sau a unor masuri coercitive. Un alt lucru deloc de neglijat este distrugerea imaginii publice a operatorului care abuzeaza si face prelucrari ilegale de date cu caracter personal.
Ce masuri trebuiesc luate pentru a prelucra datele in conditii sigure si legale?
1. Desemnarea unui DPO
Fiind vorba de prelucrari speciale de date, compania ar trebui in primul rand sa desemneze un DPO (Responsabil cu protectia datelor), iar numirea acestuia sa fie comunicata Autoritatii competente (ANSPDCP).
2. Analizarea temeiului legal al prelucrarii
Compania impreuna cu DPO-ul vor trebui sa analizeze care din temeiurile legale pot fi folosite pentru prelucrarea datelor cu caracter sensibil si care sunt cele mai bune mijloace de a reduce riscurile la adresa persoanelor vizate.
Datele cu caracter personal trebuie prelucrate in mod legal, echitabil si transparent fata de persoana vizata de prelucrari, in scopuri clare, explicite si legitime. Prelucrarea trebuie sa fie adecvata si limitata la scop (fara a cere informatii suplimentare care nu isi au rostul) , iar datele trebuie pastrate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor.
3. Evaluarea impactului prelucrarii (DPIA)
Evaluarea va scoate in evidenta toate riscurile asociate prelucrarii datelor prin mijloacele stabilite si va trasa un set de reguli si proceduri de lucru.
GDPR Arad: consultanță personalizată
Implementare complet personalizată a conformității la cerințele GDPR.
Cere acum o ofertă4. Intocmirea si aducerea la cunostinta a procedurilor de prelucrare a datelor
DPO-ul si compania vor trebui sa stabileasca un plan concret, cu reguli bine definite, sa atribuie responsabilitati distincte catre toti angajatii sau colaboratorii implicati in prelucrarea datelor. Compania trebuie sa se asigure ca toti cei implicati prezinta suficiente garantii de securitate prin angajamente de confidentialitate, acorduri contractuale sau chiar prin audituri sau solicitarea descrierii unor masuri luate pentru securizarea datelor.
5. Informarea persoanelor vizate de prelucrari
Toate prelucrarile trebuie prezentate intr-un limbaj usor de inteles publicului larg, aflate la dispozitia acestuia, de exemplu prin note afisate la afizier, comunicari prin email sau prin website-ul companiei.
6. Masuri administrative si organizatorice
In primul rand, fiind vorba de date sensibile, trebuie limitat accesul la ele strict catre persoanele autorizate de companie sau catre institutiile publice abilitate legal (DSP, Ministerul Sanatatii etc). Trebuie urmarit felul cum acestea sunt prelucrate (pe suport de hartie sau digital), unde sunt transmise, unde sunt stocate, cum si cand vor fi distruse.