Dreptul la ocrotirea sănătății sau dreptul la viață privată? O alegere în fața căreia nu ar trebui să fim puși. Analiza legalității și proporționalității prelucrării datelor legate de Covid-19 în contextul relațiilor de muncă

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

La un număr de peste 2,8 milioane de cazuri confirmate^[1], este indubitabil faptul că lupta împotriva virusului Covid-19 reprezintă un obiectiv necesar și este firesc ca măsurile pentru prevenirea răspândirii acestui virus să reprezinte principala preocupare în această perioadă.

În contextul relațiilor de muncă, angajatorii iau în considerare monitorizarea stării de sănătate a salariaților proprii, fie prin implementarea unor sisteme de măsurare a temperaturii, fie prin colectarea de diverse declarații și chestionare cu privire la simptomele salariaților. Sunt de asemenea colectate date cu privire la călătoriile salariaților în afara contextului profesional precum și cu privire la posibilele contacte cu persoane infectate din afara locului de muncă.

Cu titlu preliminar, este esențial să înțelegem faptul că aceste măsuri de prevenție, implică de cele mai multe ori o prelucrare de date cu caracter personal. Or, protecția datelor cu caracter personal nu poate fi eliminată din câmpul priorităților, nici chiar în acest context de excepție, deoarece ea are o importanță covârșitoare pentru exercitarea dreptului nostru la viață privată, ca drept fundamental garantat de art. 8 din Convenția Europeană a Drepturilor Omului. Această luptă care se dă la nivel global, deși esențială, nu trebuie să creeze premisele necesare pentru ingerințe disproporționate în viața privată a persoanelor.

Se ridică astfel o întrebare legitimă: sunt angajatorii îndreptățiți să colecteze informații cu privire la starea de sănătate, călătoriile și interacțiunile personale ale salariaților, ca măsuri pentru prevenirea răspândirii virusului la locul de muncă?

Înainte de a proceda la o analiză comparativă a răspunsurilor pe care autoritățile de supraveghere din diverse state le-au dat cu privire la legalitatea și proporționalitatea unor asemenea măsuri, se impune abordarea succintă a noțiunilor de „prelucrare de date”, „date cu caracter personal” și „date privind sănătatea”, cu scopul de a arăta de ce măsurile de prevenire menționate mai sus implică o prelucrare de date cu caracter personal.

Conform Regulamentului (UE) 2016/679^[2], reprezintă date cu caracter personal orice informații privind o persoană fizică identificată sau identificabilă iar o prelucrare de date înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Prin urmare, colectarea, de către angajatori, în cadrul relațiilor de muncă, de date legate de călătoriile private sau interacțiunile personale ale salariaților reprezintă o prelucrare de date cu caracter personal, operațiune care cade sub incidența prevederilor în materie de privacy.

Datele privind sănătatea înseamnă datele cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate. Raportându-ne la această definiție, datele cu privire la simptomele specifice ale salariaților, colectate de către angajatori prin intermediul declarațiilor pe proprie răspundere sau prin intermediul chestionarelor reprezintă date cu privire la sănătatea salariaților.

Ce se întâmplă însă atunci când angajatorii implementează acțiuni de măsurare a temperaturii angajaților? Sunt aceștia obligați să se supună reglementărilor privind protecția datelor cu caracter personal?

O poziție în acest sens, deși lipsită de o analiză care s-ar fi arătat benefică, a fost exprimată de autoritatea de supraveghere din Belgia (APD)^[3], aceasta afirmând că, simpla măsurare a temperaturii, dacă nu este însoțită de o înregistrare sau prelucrare de date cu caracter personal, nu intră în sfera de aplicare a reglementărilor în materie de protecția datelor.

Câteva precizări se impun. Astfel, pe de o parte, trebuie avut în vedere faptul că, deși utilizarea unor scannere termice poate să nu implice colectarea datelor de identificare a persoanelor astfel scanate, legislația în materie de protecția datelor se va aplica dacă o identificare, chiar și ulterioară a persoanelor vizate este posibilă. Astfel, spre exemplu, dacă sistemul utilizat înregistrează datele iar angajatorul are diverse surse de care se poate folosi pentru a identifica ulterior persoanele scanate (cititoare de carduri, sisteme de pontaj electronic, camere CCTV etc.), atunci această operațiune presupune o prelucrare de date cu caracter personal și intră sub incidența reglementărilor în domeniu.

Tot cu privire la acest aspect, este important să menționăm că, odată cu dezvoltarea tehnologică au fost create și sisteme mai complexe, care permit nu doar funcții de măsurare a temperaturii și de stocare a unui număr foarte mare de date dar și funcții de adăugare a unor accesorii periferice precum cititoare de carduri sau de amprente, acestea devenind adevărate instrumente de prelucrare a datelor cu caracter personal.

Apreciem așadar că, ori de câte ori sistemele folosite pentru monitorizarea temperaturii salvează înregistrările și permit o identificare (chiar și ulterioară) a persoanelor, utilizarea acestor sisteme generează cu certitudine date cu caracter personal și cade sub incidența reglementărilor în materie de privacy.

1. Orientările și interpretările date de autoritățile de supraveghere la nivel global. O analiză exemplificativă iar nu exhaustivă

 1.1. S.U.A.

În data de 17 martie 2020, Comisia pentru egalitate de șanse în domeniul ocupării forței de muncă din S.U.A. (U.S. Equal Employment Opportunity Commission) a emis o actualizare a ghidurilor sale^[4] permițând în mod expres angajatorilor, nu doar să implementeze măsuri de monitorizare a temperaturii angajaților, ca răspuns la pandemia cu Covid-19, ci și să păstreze evidențe cu privire la rezultatele astfel obținute. Evident că, adițional acestor măsuri, angajatorii pot solicita salariaților să declare dacă resimt simptome specifice Covid-19.

1.2. Franța

Autoritatea de supraveghere din Franța (CNIL)^[5], atenționează asupra faptului că angajatorii nu pot lua măsuri susceptibile de a încălca dreptul la viață privată al salariaților, în special prin colectarea de date privind sănătatea, care exced cadrului necesar pentru managementul cazurilor suspecte, aceste date fiind supuse unei protecții speciale, atât prin Regulamentul (UE) 2016/679, cât și prin reglementările naționale. Concret, angajatorii trebuie să se abțină de la colectarea, în mod sistematic sau prin chestionare individuale, de informații referitoare la simptomele prezentate de salariați, fiind contraindicată astfel atât utilizarea de scannere termice, cât și colectarea de declarații cu privire la starea de sănătate a salariaților.

1.3. Italia

În mod similar, autoritatea de supraveghere din Italia (Garante per la protezione dei dati personali)^[6], statuează asupra faptului că angajatorii nu ar trebui să colecteze informații cu privire la prezența oricăror simptome specifice Covid-19 resimțite de salariați sau de membrii familiei acestora. Autoritatea atenționează asupra faptului că efectuarea investigațiilor și colectarea informațiilor cu privire la starea de sănătate și deplasările populației sunt responsabilitatea autorităților și a profesioniștilor din domeniul sănătății.

1.4. Olanda, Belgia, Luxembourg

Aceeași poziție, în sensul că angajatorii nu trebuie să implementeze sisteme de monitorizare a temperaturii sau să solicite salariaților să completeze chestionare redactate în prealabil, a fost adoptată și de autoritățile de supraveghere din Olanda (Autoriteit Persoonsgegevens)^[7], Belgia (APD)^[8] și Luxembourg (CNPD)^[9].

Mai mult decât atât, în cazul Olandei, spre exemplu, angajatorul nu are dreptul să cunoască natura sau cauza îmbolnăvirii salariaților săi, nici chiar în contextul particular dat de pandemia cu Covid-19, ceea ce înseamnă că salariații nu au obligația de a raporta angajatorului îmbolnăvirea cu corona virus, ci doar existența unei situații de boală, fără identificarea naturii acesteia. Angajatorii sunt, în schimb, îndreptățiți să solicite propriilor salariați (cu precădere acelora care nu lucrează de acasă), să își monitorizeze mai atent starea de sănătate.

1.5. Ungaria

Conform informării autorității de supraveghere din Ungaria (NAIH)^[10], dacă un salariat raportează o posibilă expunere la risc sau dacă angajatorul consideră că suspiciunea de expunere poate fi stabilită din datele furnizate de salariat, angajatorul poate solicita salariatului să furnizeze date referitoare la destinațiile de călătorie sau date referitoare la contactul cu persoane care au călătorit în zonele afectate. Cu toate acestea, angajatorul nu ar trebui să solicite date cu privire la istoricul medical al salariatului sau documente medicale.

În același registru cu poziția exprimată de celelalte autorități de supraveghere la care am făcut referire supra (cu excepția S.U.A), și autoritatea de supraveghere din Ungaria, consideră că impunerea unor teste de screening prin orice dispozitive de diagnostic ar reprezenta o măsură disproporționată. Doar în anumite situații de excepție, respectiv atunci când angajatorul consideră că este absolut necesar, pentru anumite locuri de muncă, respectiv cele care presupun o expunere la îmbolnăvire, angajatorul poate solicita efectuarea de teste, însă doar de către profesioniștii din domeniul sănătății, având dreptul să fie informat doar cu privire la rezultatele acestor teste.

2. Declarația Comitetului European pentru Protecția datelor (EDPB)

Printr-o declarație adoptată în 19 martie^[11], Comitetul European pentru Protecția Datelor (EDPB) subliniază faptul că Regulamentul (UE) 2016/679 permite angajatorilor să prelucreze datele cu caracter personal în contextul unei epidemii, în conformitate cu legislația națională și în condițiile prevăzute de aceasta. În contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unei obligații legale la care angajatorul este supus, cum ar fi obligații referitoare la sănătate și securitate la locul de muncă sau din motive de interes public, precum controlul bolilor și alte amenințări la adresa sănătății.

Cât privește categoriile speciale de date cu caracter personal, cum ar fi datele referitoare la starea de sănătate, acestea pot fi prelucrate de angajatori, conform declarației Comitetului, dacă această prelucrare este necesară din motive de interes public major în domeniul sănătății publice, în temeiul dreptului Uniunii sau dreptului național sau pentru protejarea intereselor vitale ale persoanei vizate.

Solicitarea, de către angajatori, de informații specifice cu privire la starea de sănătate în contextul Covid-19, de la salariați sau vizitatori, se poate face, potrivit declarației Comitetului doar cu aplicarea principiului proporționalității și reducerii la minimum a datelor și numai în măsura în care legislația națională o permite. Cât privește efectuarea de controale medicale asupra angajaților, de către angajatori, aceasta s-ar putea realiza exclusiv pe baza legilor naționale referitoare la ocuparea forței de muncă sau la sănătate și siguranță. Practic, angajatorii ar trebui să prelucreze datele de sănătate ale salariaților numai dacă propriile lor obligații legale o impun.

Analizând per ansamblu declarația Comitetului se poate concluziona în sensul că, în contextul Covid-19, angajatorii pot obține date cu caracter personal cu privire la salariații lor dacă acestea le sunt necesare pentru a-și îndeplini sarcinile și pentru a organiza munca în conformitate cu legislația națională. Prin urmare, analiza legislației naționale este absolut necesară pentru a determina limitele în care datele cu caracter personal pot fi prelucrate.

3. Situația României

 3.1. Opinia ANSPDCP

În data de 18 martie, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis recomandări^[12] în ceea ce privește prelucrarea datelor privind starea de sănătate a persoanelor în contextul pandemiei cu Covid-19. Conform acestor recomandări, datele privind starea de sănătate pot fi prelucrate în anumite condiții, sintetizate astfel:

(i) dacă prelucrarea este necesară pentru îndeplinirea obligațiilor angajatorului în domeniul ocupării forței de muncă, al securității și protecției sociale [art. 9 alin. (2) lit. (b) din Regulamentul (UE) 2016/679],

(ii) dacă prelucrarea este necesară în scopuri legate de medicina preventivă (…), de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială [art. 9 alin. (2) lit. (h) din Regulamentul (UE) 2016/679],

(iii) dacă prelucrarea este necesară din motive de interes public în domeniul sănătății publice [art. 9 alin. (2) lit. (i) din Regulamentul (UE) 2016/679] sau

(iv) dacă persoana vizată și-a dat consimțământul explicit pentru prelucrare [art. 9 alin. (2) lit. (a) din Regulamentul (UE) 2016/679].

Analizând recomandarea ANSPDCP, comparativ cu recomandările emise de celelalte autorități de supraveghere, deducem că, dincolo de prezentarea cadrului legal care ar permite prelucrarea datelor cu privire la sănătatea persoanelor vizate în contextul Covid-19, cadru care nu era greu de anticipat, autoritatea nu emite niciun fel de recomandări practice și cu atât mai puțin în sfera raporturilor de muncă.

Revine așadar angajatorilor, în calitate de operatori de date, obligația de a analiza și interpreta legislația națională, pentru a stabili limitele în care aceasta le permite să prelucreze datele cu caracter personal ale salariaților proprii, în contextul Covid-19, analiză pe care o vom realiza în cele ce urmează.

3.2. Cadrul legal intern

În cadrul acestei secțiuni ne propunem să analizăm dacă legislația națională a României, impune sau permite angajatorilor colectarea de date cu caracter personal de la salariați (date cu privire la călătoriile private, persoanele cu care au interacționat, inclusiv date privind starea de sănătate, cum ar fi simptomele resimțite, monitorizarea temperaturii etc.), cu scopul de a preveni răspândirea pandemiei cu Covid-19.

Punctul de plecare al acestei analize în reprezintă prevederile Titlului V – Sănătatea și securitatea în muncă din Legea 53/2003 privind Codul Muncii, structurat astfel: Capitolul I – Prevederi generale, Capitolul II – Comitetul de securitate și sănătate în muncă și Capitolul III – Protecția salariaților prin servicii medicale.

Astfel, dacă în cadrul Capitolului I – Prevederi generale, este reglementată obligația angajatorilor de a lua măsurile necesare pentru protejarea securității și sănătății salariaților, în cadrul Capitolul III – Protecția salariaților prin servicii medicale, este reglementată obligația angajatorilor de a asigura accesul salariaților la serviciul medical de medicină a muncii, stipulându-se faptul că medicul de medicina muncii este cel căruia îi revine sarcina de a supraveghea efectiv condițiile de igienă și sănătate în muncă și de a asigura controlul medical al salariaților atât la angajarea în muncă, cât și pe durata executării contractului individual de muncă.

În continuare, analizând și prevederile Legii 319/2006 a securității si sănătății în muncă, care, cu mici excepții, se aplică în toate sectoarele de activitate, atât publice, cât și private deducem faptul că normele speciale ale acestei legi nu derogă de la normele generale cuprinse în Codul Muncii, fiind instituită aceeași obligație a angajatorilor de a lua măsurile necesare pentru asigurarea securității și protecția sănătății lucrătorilor, responsabilitate în cadrul căreia angajatorii trebuie să realizeze o evaluare a riscurilor și să decidă asupra măsurilor de protecție care trebuie luate și, după caz, asupra echipamentului de protecție care trebuie utilizat.

Rezultă deci că stabilirea măsurilor de protecție efective la nivel de unitate este atributul angajatorului, care va elabora instrucțiuni proprii pentru completarea și aplicarea reglementărilor legale, ținând seama de particularitățile locului de muncă însă, în toate cazurile, angajatorul va acționa în spiritul legii.

3.3. Opinia noastră

3.3.1. Colectarea de date care nu vizează sănătatea salariaților

Transpunând prevederile legale la care am făcut referire mai sus la cazul practic analizat, opinăm în sensul că angajatorii ar putea solicita salariaților anumite informații cu scopul prevenirii răspândirii virusului la locul de muncă, cum ar fi, spre exemplu, dacă salariații au călătorit în ultimele 14 zile într-o zonă puternic afectată sau dacă consideră că au intrat în contact cu o persoană confirmată sau suspectă. O asemenea prelucrare s-ar putea fundamenta pe prevederile art. 6 alin. (1) lit. c) sau f) din Regulamentul (UE) 2016/679, respectiv îndeplinirea unei obligații legale a angajatorului sau din motive de interes public.

Totuși, principiile proporționalității și al reducerii la minim a datelor impun ca informațiile solicitate de angajatori să fie limitate strict la ceea ce este necesar pentru atingerea scopului. Apreciem astfel că este suficient a se cunoaște dacă salariații au călătorit sau nu într-o zonă de risc, nefiind necesară colectarea, într-un mod sistematic și generalizat de date cu privire la toate călătoriile salariaților în perioada de referință. De asemenea, se poate dovedi suficient ca angajatorii să cunoască dacă salariații au intrat în contact cu persoane confirmate sau suspecte, fără a se colecta date cu privire la identitatea persoanelor respective.

Evident că, durata limitată de stocare, asigurarea confidențialității și integrității datelor precum și realizarea unei prelucrări transparente în relația cu salariații sunt elemente de care depinde însăși legalitatea prelucrării acestor date.

3.3.2. Colectarea de date cu privire la sănătatea salariaților

Analizând prevederile Regulamentului (UE) 2016/679, orientările emise de autoritățile de supraveghere menționate anterior precum și legislația națională aplicabilă, apreciem că angajatorii nu ar trebui să solicite salariaților informații cu privire la starea de sănătate a acestora, respectiv dacă prezintă anumite simptome specifice Covid-19 și nici să impună salariaților obligația de a se supune unei monitorizări a temperaturii, fiind puțin probabil ca o asemenea prelucrare să se poată fundamenta pe consimțământul salariaților, pe obligații ale angajatorului în domeniul ocupării forței de muncă, al securității și protecției sociale, pe necesități legate de furnizarea de asistență medicală sau socială sau pe interesul public în domeniul sănătății publice.

Consimțământul salariaților pentru colectarea de date cu privire la starea lor de sănătate este din start nerecomandat ca temei de prelucrare, fiind unanim cunoscut faptul că un asemenea consimțământ este puțin probabil să fie considerat valabil, din cauza dezechilibrului de putere existent între cele două părți, angajat – angajator^[13].

În continuare, apreciem că nici temeiul prevăzut de art. 9 alin. (2) lit. (b) din Regulamentul (UE) 2016/679 nu ar putea fi invocat cu succes întrucât o prelucrare de date cu privire la starea de sănătate, în scopul îndeplinirii obligațiilor în domeniul ocupării forței de muncă, al securității și protecției sociale, ar putea fi legitimă numai în măsura în care ar fi autorizată de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate.

Or, în contextul în care, legislația naționala, la care am făcut trimitere mai sus, prevede faptul că supravegherea sănătății lucrătorilor este asigurată de medicul de medicina muncii, în lipsa unor reglementări legale derogatorii, angajatorii nu ar trebui să procedeze ei înșiși la monitorizarea stării de sănătate a angajaților proprii, neavând un temei legal pentru aceasta.

În egală măsură, prelucrarea în baza interesului public în domeniul sănătății publice ar constitui o prelucrare legitimă numai în măsura în care aceasta s-ar realiza în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional, astfel încât opinăm în sensul că nici art. 9 alin. (2) lit. i) din Regulamentul (UE) 2016/679 nu ar putea fi invocat drept temei legal pentru colectarea preventivă de date cu privire la starea de sănătate de la toți salariații, lipsind un temei legal intern pentru o asemenea conduită.

3.3.3. Obligația salariaților de a informa angajatorii cu privire la îmbolnăvirea cu Covid-19

Cât privește o eventuală obligație a salariaților de a informa angajatorul cu privire la îmbolnăvirea cu Covid-19, apreciem că aceasta ar putea subzista în baza prevederilor art. 23 din Legea 319/2006 a securității si sănătății în muncă, în conformitate cu care, salariații au obligația să comunice imediat angajatorului și/sau lucrătorilor desemnați orice situație de muncă despre care au motive întemeiate să o considere un pericol pentru securitatea și sănătatea lucrătorilor și obligația să coopereze, atât timp cât este necesar, cu angajatorul și/sau cu lucrătorii desemnați, pentru a permite angajatorului să se asigure că mediul de muncă și condițiile de lucru sunt sigure și fără riscuri pentru securitate și sănătate.

3.4. Restrângerea dreptului la viață privată în baza Decretului 195/2020

Întreaga analiză a legalității și proporționalității prelucrării, de către angajatori, a datelor cu caracter personal ale salariaților, în legătură cu virusul Covid-19, a avut la bază dreptul fundamental la respectarea vieții private, astfel cum este reglementat de prevederile art. 8 din Convenția Europeană a Drepturilor Omului.

Ce se întâmplă însă în situațiile în care exercițiul acestui drept este restrâns din considerente de ordin public, cum ar fi prevenirea răspândirii Covid-19 și realizarea managementului consecințelor, măsură impusă prin Decretul 195/2020^[14] prin care s-a instituit starea de urgență la nivelul României? Mai putem invoca, în această situație, dreptul la respectarea vieții private, pentru a ne opune unei prelucrări nelegale și abuzive a datelor noastre cu caracter personal? Răspunsul este și trebuie să fie, în opinia noastră, unul afirmativ.

În primul rând, vorbim de o restrângere a exercițiului unui drept iar nu de suprimarea dreptului în sine, distincție deosebit de importantă și evidențiată în mod expres și de prevederile art. 53 din Constituție. În al doilea rând, restrângerea, pentru a fi legitimă, trebuie să fie absolut necesară și proporțională cu situația care a determinat-o. Prin urmare, chiar și după decretarea stării de urgență, dreptul la respectarea vieții private continuă să existe, ca drept fundamental al omului, putând fi limitat doar exercițiul acestuia, prin raportare la evoluția situației epidemiologice.

Este posibil astfel ca, în această situație de excepție, angajatorii să prelucreze mai multe date cu caracter personal cu privire la salariații lor decât ar prelucra în afara acestui cadru, fără însă ca pandemia cu Covid-19 să constituie o justificare pentru o prelucrare nelimitată a datelor și implicit pentru o nesocotire a dreptului la viață privată al salariaților.

4. Concluzii

Pentru a concluziona, apreciem că lupta împotriva Covid-19 nu trebuie să se transforme într-o luptă între dreptul la ocrotirea sănătății și dreptul la protecția datelor cu caracter personal. Adevărata provocare constă în identificarea unor măsuri care să fie acceptate pe plan social iar acceptarea nu poate avea loc atât timp cât dreptul la protecția datelor este serios amenințat. Aceasta deoarece, orice încălcare a principiilor de prelucrare a datelor se transpune în fapt într-o atingere adusă însuși dreptului nostru la respectarea vieții private.

Precum spunea Yuval Noah Harari în cadrul articolului „The world after coronavirus”^[15]: „Asking people to choose between privacy and health is, in fact, the very root of the problem”.