Cum respecți GDPR când faci teste Covid la birou

Testarea pentru depistarea cazurilor de covid, fie prin teste propriu-zise, cum ar fi PCR, fie prin metode mai puțin intruzive, cum ar fi măsurarea temperaturii, este esențială pentru a implementa revenirea sigură la locul de muncă în „noul normal”. Este important să aveți grijă ca angajații să se poată întoarce la birou în siguranță, mai ales că noi tulpini ale virusului apar din ce în ce mai frecvent. Cu toate acestea, unul dintre riscurile juridice mai puțin înțelese pe care le pune introducerea testelor obligatorii este respectarea prevederilor GDPR-ului.

Pentru a vă veni în ajutor, am scris un scurt ghid pentru care cuprinde principalele implicații legate de protecția datelor personale și cum să acționați în conformitate cu regulile. Îl găsiți mai jos.

Baza legală și pașii pregătitori

Datele privind starea de sănătate, ca de exemplu dacă angajatul este infectat cu noul coronavirus sau chiar temperatura corpului, fac obiectul articolului 9 din GDPR (Regulamentul General privind Protecția Datelor). Asta înseamnă că sunt parte din categoriile speciale de date. Prin urmare, pentru a le prelucra, trebuie să îndeplinești cel puțin una dintre condițiile prevăzute de art. 9 alin. (2).

Punctul nostru de vedere este că scenariul aplicabil testării pentru întoarcerea la locul de muncă ar fi cel acoperit de art. 9 alin. (2) lit. (b), care permite operatorilor să colecteze date din categoriile speciale, dacă acest lucru le facilitează îndeplinirea obligațiile cu privire la sănătatea și securitatea în muncă. În acest caz, protejarea angajaților împotriva covidului poate fi văzută ca o obligație în sarcina operatorului de date (adică tu, angajatorul).

Pe lângă îndeplinirea cerințelor din art. 9, va trebui să te încadrezi în condițiile unuia dintre temeiurile juridice prevăzute de GDPR pentru a colecta datele. În acest caz,opinia noastră este că temeiul aplicabil ar fi interesul legitim (art. 6 alin. (1) lit. (f)).

Cu toate acestea, pentru a dovedi interesul legitim, va trebui să demonstrezi necesitatea și proporționalitatea colectării datelor, pentru atingerea obiectivului legitim. Prin urmare, în calitate de angajator, trebuie să vă asigurați că solicitați angajaților să transmită doar datele necesare referitoare la covid, cum ar fi dacă au simptome, rezultatele testelor, temperatura etc.

De asemenea, trebui să analizezi ce fel de măsuri de testare vrei să implementezi, dacă este necesar sau nu revenirea la birou și pentru ce categorii de angajați se va face această revenire, cum vei păstra datele în siguranță și cine va avea acces la acestea.

Pregătirea unei evaluări a impactului asupra protecției datelor (DPIA)

Un DPIA funcționează ca o „foaie de parcurs”, care dovedește că ai luat în considerare și ai venit cu soluții pentru principalele probleme de compliance cu GDPR-ul care apar în legătură cu testarea obligatorie. DPIA-ul va trebui să includă următoarele puncte pentru a demonstra că sistemul de testare propus este necesar și proporțional:

  • activitatea propusă (adică măsurile specifice: măsurarea temperaturii, test rapid etc.)
  • riscurile privind protecția datelor;
  • analiza necesității și a proporționalității măsurilor
  • modul în care riscul va fi atenuat;
  • dacă reducerea riscurilor a fost eficientă.

Informarea personalului și prelucrarea datelor

După ce ai pregătit un DPIA și noua politică e gata de implementare, trebuie să te asiguri că și această etapă decurge în conformitate cu GDPR-ul.

În primul rând, ar trebui să comunici în mod clar și deschis cu angajații. Încearcă să evitați termenii juridici tehnici și să explici politica într-un limbaj simplu și ușor de înțeles. În general, aceștia vor trebui să știe:

  • de ce este necesară testarea
  • ce date personale sunt necesare
  • pentru ce vor fi folosite datele colectate
  • cu cine vor fi partajate
  • pentru cât timp vor fi păstrate
  • ce decizii vor fi luate pe baza rezultatelor testului

Mai mult, notificarea prin care aduci aceste aspecte în atenția angajaților trebuie să le și reamintească că au o serie de drepturi în legătură cu prelucrarea datelor lor.

După ce îi vei informa pe angajați și începi colectarea datele necesare, trebuie să ții minte că aveți și câteva obligații în legătură cu prelucrarea și utilizarea acestora. Așa că rețineți principalele:

  • Păstrează datele în siguranță. Poți păstra numele complete ale angajaților testați pozitiv, dar asigură-te că nimeni în afară de personal calificat nu are acces la aceste date..
  • Nu lua decizii care să prejudicieze vreunul dintre angajați în baza datelor colectate. Asta înseamnă că nu trebuie să concediați sau să luați alte măsuri extreme în baza datelor legate de covid. Este extrem de important să ții minte că datele privind starea de sănătate se schimba destul de frecvent și să acționezi în consecință.
  • Nu dezvălui numele niciunui angajat infectat. Utilizează termeni generici, cum ar fi „membru al echipei” sau „membru al personalului”, pentru a informa angajații cu privire la orice caz de covid confirmat.
  • Mai important, dezvăluie orice informație doar dacă este necesar să fie cunoscută pentru siguranța angajaților. Asta înseamnă că, atunci când este confirmat un caz nou în rândul personalului, trebuie să informezi numai persoanele direct afectate. În general, aceștia sunt membrii echipei angajaților infectați.

Dacă doriți să adresați mai multe întrebări sau aveți nevoie de o consultație juridică, ne puteți contacta la office@rrpb.ro sau accesați site-ul nostru www.rrpb.ro pentru mai multe informații. 

Nu uitați să vă abonați la canalul nostru de YouTube, unde se postează lunar conținut nou și actualizat pe diverse teme de actualitate.


Fii la curent cu ultimele articole de pe blog!

Leave a comment