Emergency
Journal

Subscribe to daily updates

Tailoring health data processing to exceptional times. Ground rules and ways forward

Can I ask my employees about their health status these days?’ || ‘Can I disclose their health data to public authorities, upon request?’ || ‘Can I disclose within the organisation that an employee of ours tested positive for Covid-19?’ || ‘Can I disclose their health data to the public?’ ||‘Can I track employees while during the ‘stay-at-home’ recommendation?’ || ‘How long can I store employees data in relation to Covid-19?

While the Covid-19 pandemic is fast-pacing and shifting business models on the go, employment relations are also put to some strain: uncertainty also revolves around the newly emerged health data processing situations.

If you are an employer seeking guidance thereto, the ground rules below will shed some light.

1. Parting point

A statement recently issued by the European Data Protection Board (EDPB) emphasised that GDPR should not be a hindrance in the fight against the coronavirus pandemic.

In other words, even in exceptional times, the data controller and processor must ensure the protection of the data subjects’ personal data. Emergency may only legitimise restrictions of freedoms if these are proportionate and limited to the emergency period.

2. Processing of data concerning health. Legal basis

Legal basis. In processing health data, consent of the data subject may not be required. There are alternative legal grounds which may legitimise processing.

Thus, processing may be necessary for either:

  1. Carrying out the obligations and exercising the specific rights in the field of employment and social security and social protection law insofar as authorised by law or a collective bargaining agreement – GDPR Article 9(2)(b); or
  2. Preventive medicine, assessment of the working capacity of the employee, medical diagnosis, provision of health or social care or treatment, on the basis of law – GDPR Article 9(2)(h) d (3); or
  3. Reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care – GDPR Article 9(2)(i); or
  4. Protecting the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent, if the need may arise in epidemics spread control – GDPR Article 9(2)(c) d recital (46);

Clearly, applicability of each of the above should be analysed on a case by case basis.

Notice duties. While consent may not be needed, informing the employee of such processing is still mandatory: it must be done in a concise, transparent, easily intelligible and accessible manner, using a plain and simple language.

Pursuant to a guidance note released by the National Supervisory Authority for Personal Data Processing (the Authority), such notification may be done via the employer’s website.

3. Short answers

In light of the above, some keynotes may be drawn.

  • Can I ask my employees about their health status these days? In principle, yes, without needing their consent, provided (i) it is grounded on a public health/ preventive medicine related interest (as per above) and (ii) I have genuinely informed them of this processing of their health data. In analysing the situation, proportionality and minimisation principles should also be observed.
  • Can I disclose within the organisation that an employee of ours tested positive for Covid-19? In principle, yes, provided (i) it is grounded on a public health/ preventive medicine related interest (as per above) and (ii) I have genuinely informed them in advance, and duly respected their privacy. In analysing the situation, proportionality and minimisation principles should also be observed (e.g., it may be sufficient for the scope of protecting my employees to only disclose that we have a Covid-19 case within our organisation and we should all follow the applicable health protocol, without the need of also disclosing the name of the individual).
  • Can I publicly disclose the name and health status of an employee? According to the Authority, yes, but only with their prior explicit consent.
  • Can I share employees’ health information to authorities for public health purposes? In principle, yes. Public authorities may need such information for epidemics spread control or even enforcement proceedings against individuals infringing isolation/ quarantine protocols.
  • Can I track employees while during the ‘stay-at-home’ recommendation? The short answer is ‘no’ – there is no legal basis to support this. However, in a specific factual context this might be possible.
  • How long can I store employees health data in relation to the COVID-19 pandemic? Until you no longer need it – when is that? Quite uncertain. Also take into consideration that the statute of limitation periods are currently suspended.

 

*This ePublication is provided by Radu Taracila Padurari Retevoescu SCA and is for information purposes only. It does not constitute legal advice or an offer for legal services. The distribution of this document does not create an attorney−client relationship. If you require advice on any of the matters raised in this document, please call your usual contact at Radu Taracila Padurari Retevoescu SCA at +40 31 405 7777.

Prelucrarea datelor medicale în situații excepționale. Principii și potențiale soluții

Pot solicita angajaților informații despre starea lor de sănătate?’ || ‘Pot să dezvălui datele privind starea lor de sănătate către autorități, dacă acestea îmi solicită acest lucru?’ || ‘Pot să dezvălui în cadrul companiei că unul dintre angajați a fost testat pozitiv pentru Covid-19?’ || ‘Pot să dezvălui public date privind starea lor de sănătate?’ ||‘Pot să îmi monitorizez angajații în perioada recomandată de autoizolare la domiciliu?’ || ‘Cât timp pot păstra datele angajaților referitoare la Covid-19?

Pandemia Covid-19 evoluează rapid și schimbă din mers regulile jocului, inclusiv pentru mediul de business. Relația angajat-angajator este, de asemenea, supusă unor noi provocări: noi semne de întrebare apar inclusiv asupra noilor situații generate de prelucrarea datelor de sănătate ale angajaților. 

Dacă în aceste zile v-ați lovit de măcar una din situațiile de mai sus, redăm în continuare câteva principii care vă vor fi de ajutor.

1. Premisă

Un comunicat recent al Comitetului European pentru Protecția Datelor (CEPD) ne reamintește că GDPR (RGPD) nu trebuie să constituie o piedică în lupta împotriva pandemiei Covid-19.

Cu alte cuvinte, chiar și în situații excepționale, operatorul și persoana împuternicită de operator trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate. Urgența poate justifica restricții ale libertăților doar dacă acestea sunt proporționale și strict limitate la durata acestei stări.

2. Prelucrarea datelor privind sănătatea. Temei legal

Temei legal. Pentru procesarea datelor privind sănătatea, consimțământul persoanei vizate nu este obligatoriu. Există temeiuri de drept alternative care o pot fundamenta.

Astfel, prelucrarea acestor tipuri de date poate fi necesară pentru:

  1. Îndeplinirea obligațiilor și exercitarea unor drepturi specifice în domeniul ocupării forței de muncă și al securității și protecției sociale, în măsura în care acest lucru este permis de lege sau de contractul colectiv de muncă aplicabil – Articolul 9(2)(b) GDPR;
  2. Scopuri legate de medicina preventivă a muncii, evaluarea capacității de muncă a angajatului, stabilirea unui diagnostic medical, ori furnizarea de asistență medicală sau socială, în temeiul legii – Articolul 9(2)(h) d (3) GDPR;
  3. Motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale – Articolul 9(2)(i) GDPR; sau
  4. Protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și exprima consimțământul, precum cele derivând din necesitatea de a controla răspândirea unei epidemii – Articolul 9(2)(c) d considerentul (46) din GDPR;

Desigur, aplicabilitatea concretă a fiecărui temei legal va fi analizată de la caz la caz.

Obligația de informare. Chiar dacă nu este necesar consimțământul persoanei vizate, este obligatoriu ca aceasta să fie informată despre prelucrare: informarea trebuie să fie efectuată într-un mod concis, transparent, într-o manieră inteligibilă și accesibilă, utilizând un limbaj simplu și direct.

În conformitate cu recomandările emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autoritatea), o astfel de informare poate fi efectuată prin intermediul website-ului angajatorului.

3. Întrebări și Răspunsuri

Pornind de la cele de mai sus, se pot contura o serie de răspunsuri la întrebările amintite.

  • Pot solicita angajaților informații despre starea lor de sănătate? În principiu, da, fără a fi necesară obținerea consimțământului lor, dar cu următoarele condiții: (i) prelucrarea să fie întemeiată pe un interes în legătură directă cu sănătatea publică/ medicina preventivă (precum cele de mai sus) și (ii) angajații să fie informați în legătură cu aceste categorii de prelucrări. Desigur, analiza unui caz concret va avea la bază principiile proporționalității și minimizării prelucrării.
  • Pot să dezvălui în cadrul companiei că unul dintre angajați a fost testat pozitiv pentru Covid-19? În principiu, da, cu următoarele condiții: (i) dezvăluirea să fie întemeiată pe un interes în legătură directă cu sănătatea publică/ medicina preventivă (precum cele de mai sus) și (ii) angajații să fie informați în prealabil, cu respectarea limitelor intimității și demnității acestora. Desigur, analiza unui caz concret va avea la bază principiile proporționalității și minimizării prelucrării (e.g., pentru scopul asigurării protecției angajaților, ar putea fi suficientă informarea în legătură cu existența unui angajat testat pozitiv pentru Covid-19 pentru ca restul personalului să urmeze apoi protocoalele medicale aplicabile, fără a fi necesară și dezvăluirea numelui angajatului respectiv).
  • Pot să dezvălui public numele și starea de sănătate a unui angajat? Conform Autorității, da, dar doar cu consimțământul explicit prealabil al angajatului.
  • Pot să dezvălui datele privind starea lor de sănătate către autorități, pentru motive de sănătate publică? În principiu, da. Autoritățile publice pot avea nevoie de astfel de informații pentru a controla răspândirea epidemiei sau chiar pentru a sancționa persoanele care încalcă protocoalele de izolare sau carantină.
  • Pot să îmi monitorizez angajații în perioada recomandată de autoizolare la domiciliu? Răspunsul scurt este ‘nu’ – nu există un temei legal pentru o asemenea categorie de prelucrare a datelor cu caracter personal. Totuși, în anumite circumstanțe factuale particulare, o asemenea prelucrare ar putea fi posibilă cu respectarea unor condiții.
  • Cât timp pot păstra datele angajaților referitoare la Covid-19? Până când prelucrarea acestora nu mai este necesară – când? Deocamdată, nu se știe cu exactitate cât va dura această perioadă. Totodată, trebuie avută în vedere și suspendarea termenelor de prescripție aplicabile.

 

*Această ePublicație este furnizată de Radu Tărăcilă Pădurari Retevoescu SCA în scop exclusiv de informare și nu reprezintă asistență juridică sau o ofertă pentru acordarea de asistență juridică. Distribuirea acestui document nu dă naștere unei relații avocat-client. În cazul în care doriți să solicitați asistență juridică cu privire la oricare dintre aspectele analizate în acest document, vă rugăm să vă adresați persoanei obișnuite de contact în cadrul Radu Tărăcilă Pădurari Retevoescu SCA la +40 31 405 7777.