Sari direct la conținut

Cum evităm potențiale sancțiuni din perspectiva GDPR, în ceea ce privește înregistrarea angajaților/colaboratorilor în cadrul campaniei de vaccinare împotriva COVID-19

act | Botezatu Estrade Partners
Andrei Hancu, Foto: act | Botezatu Estrade Partners
Andrei Hancu, Foto: act | Botezatu Estrade Partners

În data de 15 ianuarie 2021, a fost demarată etapa a II-a a campaniei de vaccinare împotriva COVID- 19 derulate de către Ministerul Sănătății/Institutul Național de Sănătate Publică (https://vaccinare- covid.gov.ro) în cadrul căreia sunt eligibili pentru vaccinare, inclusiv ”lucrători care desfășoară activități în domenii-cheie, esențiale” (e.g. personalul companiilor cu activitate în procesarea, distribuția și comercializarea alimentelor de bază, în epurarea, transportul și distribuția de apă, producția, în transportul și distribuția de gaze, electricitate, medicamente și materiale sanitare, personalul din mass-media care desfășoară activități cu risc crescut de expunere, etc.).

Ulterior finalizării etapei a II-a, urmează a fi demarată etapa a III-a, destinată, în afara populației generale, și unor categorii speciale precum ”persoanele cu risc ridicat de infectare” (e.g. lucrătorii din hoteluri și restaurante, lucrătorii din sistemul financiar, bancar și din domeniul asigurărilor, lucrătorii din magazinele de retail alimentar, etc.).

Cum are loc practic înregistrarea angajaților/colaboratorilor și care este temeiul juridic pentru transferul datelor personale ale acestora către Ministerul Sănătății/Institutul Național de Sănătate Publică

O persoană desemnată din cadrul societății care se încadrează într-unul din domeniile cheie, esențiale – pentru etapa a II-a, respectiv în categoria riscului ridicat de infectare – pentru etapa a III- a (astfel cum acestea sunt descrise în cuprinsul HG nr. 1031/2020 privind aprobarea strategiei de vaccinare împotriva COVID-19 în România, capitolul XI, subcapitolul II, lit. C), înregistrează mai întâi persoana juridică prin intermediul Platformei naționale de programare cu privire la vaccinarea împotriva COVID-19.

Ulterior, aceeași persoană încarcă în platformă datele personale ale tuturor angajaților/colaboratorilor care doresc să se vaccineze – date personale obținute în prealabil de la persoanele vizate sau deja existente în bazele de date ale angajatorului. Aceste date personale constau în nume, prenume, adresă de rezidență, CNP, serie și nr. CI/BI/Pașaport, loc de muncă, număr de telefon și adresă e-mail.

Având în vedere că colectarea, utilizarea, stocarea, transferul către Ministerul Sănătății/Institutul Național de Sănătate Publică și eventual ștergerea datelor personale ale angajaților/colaboratorilor reprezintă operațiuni de prelucrare a datelor personale în sensul GDPR, trebuie stabilit temeiul juridic în baza căruia aceste prelucrări pot fi efectuate de către angajator în mod legal.

Având în vedere dispozițiile GDPR, singurul temei juridic pentru prelucrarea datelor personale ale angajaților/colaboratorilor în scopul înscrierii acestora în platformă în vederea programării pentru vaccinare, este consimțământul persoanei vizate, care trebuie să fie expres, informat, liber exprimat, specific și neechivoc.

Ce trebuie sa facă angajatorii pentru a se asigura că nu încalcă dispozițiile GDPR și nu riscă sancțiuni pecuniare de până la 4% din cifra de afaceri globală sau 20.000.000 EUR.

În vederea conformării cu dispozițiile GDPR, angajatorii trebuie să se asigure că:

Au informat angajații/colaboratorii, clar și într-un limbaj simplu, cu privire la: (i) identitatea și datele de contact ale angajatorului, (ii) datele de contact ale responsabilului cu protecția datelor, după caz, (iii) scopul și temeiul juridic ale prelucrării, (iv) destinatarii datelor personale (i.e. Ministerul Sănătății/Institutul Național de Sănătate Publică), (v) perioada de stocare a datelor personale (i.e. nu mai mult decât este necesar pentru atingerea scopului), (vi) drepturile de care dispune persoana vizată de prelucrarea datelor (e.g. dreptul de a-și retrage consimțământul, dreptul de a fi uitat, etc.) și (vii) efectele retragerii consimțământului;

Au obținut consimțământul expres, informat, liber exprimat, specific și neechivoc al persoanelor vizate de prelucrare;

Au implementat măsuri tehnice de securitate și garanții corespunzătoarea pentru asigurarea securității și confidențialității datelor personale prelucrate;

Au implementat proceduri și procese pentru asigurarea faptului că drepturile persoanelor vizate de prelucrare pot fi exercitate efectiv.

Având în vedere potențialele sancțiuni care pot fi aplicate pentru nerespectarea dispozițiilor GDPR, respectiv amendă de până la 4% din cifra de afaceri globală sau 20.000.000 EUR, recomandăm tuturor companiilor care doresc să faciliteze programarea angajaților/colaboratorilor în vederea efectuării vaccinului împotriva COVID-19, să contacteze departamentul juridic/consultanții externi în vederea redactării documentelor necesare (notă de informare, declarație de consimțământ, proceduri, etc.) și implementării proceselor necesare pentru a se asigura că respectă cerințele GDPR și nu se expun la amenzi usturătoare.

Articol semnat de Andrei Hancu, Senior Associate, act Botezatu Estrade Partners

ARHIVĂ COMENTARII