Condițiile specifice de prelucrare a datelor cu caracter personal privind starea de sănătate în Republica Moldova în contextul Covid-19

  • 28.05.2020

Starea de urgență generală a încetat în Republica Moldova, de drept, dar nu și de fapt. Pentru perioada 16 mai 2020 – 30 iunie 2020 a fost instituită starea de urgență în sănătate[1], ceea ce presupune anumite măsuri de relaxare, în același timp fiind păstrate unele restricții anterioare sau chiar impuse cerințe suplimentare. Cert este un singur fapt: că atât Republica Moldova, cât și în țările din întreaga lume continuă să depună eforturi de prevenire a răspândirii pandemiei Covid-19.

În întreaga lume statele au intervenit cu diferite măsuri preventive, uneori intrând în sfera vieții private. În unele țări, autoritățile au impus restricții de circulație sau obligația prezentării unor informații personale prin completarea unor chestionare (de exemplu, la trecerea frontierei). Totodată, în cazul salariaților, pentru asigurarea unui mediu de muncă sigur și sănătos, în unele cazuri au fost impuse controale ale stării de sănătate la sosirea la muncă, folosind dispozitive medicale (de exemplu, termometre), informații ce în fond constituie date cu caracter personal.

Legislația națională în domeniul protecției datelor cu caracter personal nu pune obstacole în calea combaterii pandemiei Covid-19, întrucât este în interesul tuturor să fie utilizate toate mijloacele posibile pentru a opri răspândirea acesteia. Cu toate acestea, în procesul implementării unor măsuri, operatorii de date, indiferent de domeniul de activitate, urmează să asigure protecția datelor cu caracter personal ale subiecților, chiar și în aceste situații atipice[2].

Datele despre starea de sănătate pentru simptomatologia Covid-19

Conform Legii privind protecția datelor cu caracter personal și Instrucțiunilor în legătură cu prelucrarea datelor cu caracter personal privind starea de sănătate, emise de Centrul Național pentru Protecția Datelor cu Caracter Personal[3] (”CNPDCP”), datele cu privire la starea de sănătate urmează a fi interpretate în sens larg. Prin urmare, orice date personale care indică starea de sănătate, generală sau specifică, cum ar fi temperatura corpului, simptome asociate sau nu cu Covid-19, reprezintă date privind starea de sănătate și li se aplică cerințele pentru categoriile speciale de date.

Totuși, nu orice informații cu privire la starea de sănătate constituie date cu caracter personal. Doar datele care sunt referitoare la o persoană fizică identificată sau care permit identificarea acesteia vor cădea sub incidența prevederilor legale. Astfel, legea nu se aplică la colectarea de date cu privire la starea de sănătate (de exemplu, temperatura corpului sau alte simptome Covid-19) fără a identifica subiectul datelor, fără documentarea rezultatelor și fără posibilitatea identificării acestuia.

În același timp, în situația în care operatorii de date identifică o persoană și colectează date despre starea ei de sănătate, fie prin completarea de chestionare, fie prin alte mijloace de monitorizare sau citire a datelor (de exemplu, cartele/carduri de acces sau fidelitate), ceea ce ar permite identificarea subiectului datelor și a stării de sănătate a acestuia, vor fi incidente prevederile Legii privind protecția datelor cu caracter personal.

Potrivit deciziilor emise de autoritățile special instituite pe perioada stării de urgență, unii operatori de date (hipermarketurile, supermarketurile și magazinele de cartier din municipiul Chișinău[4]) au fost obligați să măsoare temperatura clienților și salariaților la intrarea în unitățile de comerț, cu ajutorul instrumentelor de termoscanare, controlând și starea generală de sănătate a fiecărui salariat în momentul sosirii la muncă.

Totodată, după instituirea stării de urgență în sănătate, unele persoane juridice de drept privat urmează în continuare să asigure respectarea unor măsuri de control și combatere a Covid-19, prin monitorizarea stării de sănătate a persoanelor fizice. Unitățile comerciale și prestatorii de servicii de coafură trebuie să implementeze măsuri de triaj al salariaților și clienților[5], iar în sarcina instituțiilor medico-sanitare publice și a prestatorilor de servicii de sănătate a fost impusă suplimentar și efectuarea triajului pacienților. Totodată, operatorii de transport feroviar și rutier de persoane în trafic internațional pot restricționa ambarcarea pasagerilor temperatura corpului a cărora depășește 370 grade[6].

În același context, Ministerul Sănătății, Muncii și Protecției Sociale, în etapa incipientă a Covid-19, a venit cu unele sugestii pentru asigurarea protecției social-economice și a securității și sănătății în muncă a salariaților în contextul situației epidemiologice din țară[7], și a aprobat Ghidul practic „Măsuri cheie pentru prevenirea infecției Covid-19 la locul de muncă[8]. Ambele documente stabilesc recomandări ce țin de respectarea generală a normelor de securitate și sănătate în muncă, fără detalii cu privire la acțiunile necesare pentru verificarea stării de sănătate a salariaților.

Până la data acestei analize nu au fost emise alte decizii sau recomandări exprese cu privire la monitorizarea stării de sănătate sau măsurarea temperaturii corpului în contextul stării de urgență în sănătate. Prin urmare, toți operatorii de date au obligația de a respecta cerințele de prevenție în muncă stabilite prin Legea securității și sănătății în muncă, în calitate de angajatori, și/sau obligații specifice ce țin de termometrie sau triaj, în funcție de domeniul de activitate. În plus, operatorii urmează să țină cont și de recomandările generale instituite pentru combaterea răspândirii pandemiei Covid-19, emise de autorități.  

Condiții și principii de prelucrare a datelor privind starea de sănătate

Indiferent dacă măsurile de securitate și sănătate sunt impuse prin legislație sau recomandate de autorități, operatorii de date urmează să respecte prevederile legislației și să asigure protecția datelor cu caracter personal colectate.

În acest context, la prelucrarea datelor cu caracter personal, inclusiv a datelor despre starea de sănătate, trebuie respectate o serie de principii, și anume:

  • prelucrarea corectă și conform prevederilor legale („legalitatea prelucrării”);
  • colectarea datelor în scopuri determinate, explicite şi legitime („limitări legate de scop”) și prelucrarea ulterioară compatibilă cu aceste scopuri;
  • date adecvate, pertinente și neexcesive la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („proporționalitatea și reducerea la minimum a datelor”);
  • date exacte și actualizate („exactitatea datelor”);
  • stocare într-o formă care permite identificarea subiecților datelor pe o perioadă care nu depășește perioada necesară atingerii scopurilor în care sunt prelucrate datele („limitări legate de stocare”);
  • prelucrare într-un mod care asigură securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidențialitate”).

Potrivit prevederilor Legii privind protecția datelor cu caracter personal, legiuitorul a instituit o interdicție de prelucrare a datelor privind starea de sănătate a subiectului datelor. Totuși, există și excepții. Acest tip de date poate fi prelucrat în următoarele cazuri:

  • dacă prelucrarea este necesară pentru îndeplinirea obligațiilor sau drepturilor specifice ale operatorului  în domeniul dreptului muncii;
  • prelucrarea este necesară pentru protecția vieții, integrității fizice sau sănătății subiectului datelor cu caracter personal ori a altei persoane;
  • prelucrarea este necesară în scopul asigurării securității statului, al reducerii riscului de declanșare sau în cazul declanșării urgențelor de sănătate publică, cu condiția ca aceasta să se efectueze cu respectarea drepturilor subiectului datelor cu caracter personal şi a celorlalte garanții prevăzute de lege;
  • în baza consimțământul subiectului pentru prelucrarea acestor date cu caracter personal.

Legiuitorul din Republica Moldova nu a instituit reguli speciale de prelucrare a datelor despre sănătate, specifice pandemiei Covid-19. Contextul pandemic a stat la baza modificării Legii privind protecția datelor cu caracter personal și a suplimentării situațiilor în care prelucrarea categoriilor speciale este permisă, în vederea reducerii riscului de declanșare a urgențelor de sănătate publică. În acest sens, CNPDCP a emis o opinie[9] și a atenționat operatorii asupra riscurilor și provocărilor în domeniul protecției persoanelor pe aspectele ce vizează aceste tipuri de date în contextul combaterii pandemiei de coronavirus (Covid-19).

CNPDCP a reiterat că nu orice operațiune de prelucrare a datelor cu caracter personal privind starea de sănătate poate fi justificată prin necesitatea statală de menținere a sănătății publice. Astfel, ”păstrarea și implementarea unui mecanism fundamentat pe conceptul de echilibru între sănătatea/securitatea publică și dreptul la protecția datelor cu caracter personal” sunt inerente pentru operatorii de date.

Totodată, CNPDCP a invocat un temei suplimentar pentru prelucrarea datelor privind starea de sănătate, și anume realizarea unui interes legitim al operatorului, cu condiția ca acest interes să nu prejudicieze interesele sau drepturile și libertățile fundamentale ale subiectului datelor cu caracter personal. CNPDCP nu a făcut referire la prelucrarea datelor în baza consimțământului subiectului datelor, însă tocmai o astfel de prelucrare în relația angajator-salariat ar putea fi prezumată viciată pe motiv de inegalitate a poziției salariatului, angajatorul în acest caz având o poziție superioară și pârghii de influență și condiționare.

Nu este clar dacă referirea la temeiul legal de prelucrare este aplicabilă tuturor operatorilor indiferent de sfera de activitate sau se referă doar la operatorii care prestează servicii în domeniul medicinei preventive, de stabilire a diagnosticelor medicale sau aferente serviciilor de sănătate. Potrivit Legii, prelucrarea datelor cu caracter personal privind starea de sănătate este permisă operatorilor care nu sunt instituții medicale doar dacă prelucrarea este necesară pentru protecția sănătății publice. Această prelucrare poate fi realizată de către sau sub supravegherea unui cadru medical supus secretului profesional sau de o persoană cu obligații echivalente secretului profesional. Este de menționat și recomandarea Ministerului Sănătății, Muncii și Protecției Sociale din Republica Moldova[10] pentru angajatorii cu minimum 50 de salariați, de a angaja un lucrător medical care va monitoriza starea de sănătate a personalului.

Angajatorul, în baza obligației de asigurare a securității și sănătății în muncă, ar putea fi tentat să prelucreze în mod activ datele salariaților (de exemplu, referitor la destinațiile de călătorie, interacțiunea cu persoane suspecte sau confirmate cu Covid-19), însă acest lucru ar trebui justificat din perspectiva Legii privind protecția datelor cu caracter personal, mai ales în lipsa unor indicații exprese din partea autorităților.

Prin urmare, în contextul prevederilor Legii și al opiniei CNPDCP, operatorii de date, înainte de a prelucra date despre starea de sănătate a persoanelor, urmează să analizeze individual necesitatea prelucrării și să asigure prelucrarea temeinică și justificată a datelor acestora, aplicând principiul proporționalității și reducerii la minimum a datelor.

Totodată, indiferent de temeiul pentru prelucrarea datelor, informarea subiectului datelor este o obligație a operatorului. Astfel, operatorii de date urmează să ofere subiecților informații transparente cu privire la identitatea operatorului, scopurile și temeiul prelucrării, destinatarii vizați, precum și drepturile pe care aceștia le au: dreptul la informare, acces la date, intervenție asupra datelor, opoziție și acces la justiție.

De reținut

Operatorii de date trebuie să urmărească atent orice decizie a autorităților ce impune obligații exprese de prevenție a răspândirii pandemiei Covid-19 și implică prelucrarea de date cu caracter personal. Emiterea unor recomandări cu privire la prelucrarea datelor despre sănătatea persoanei nu acordă operatorilor dreptul absolut de a prelucra asemenea date.

În cazul în care prelucrarea informațiilor anonimizate nu este posibilă și se justifică prelucrarea de date cu privire la starea de sănătate a persoanei în contextul pandemiei Covid-19, în funcție de fiecare caz, se pot avea în vedere următorii pași:

  1. analiza datelor despre starea de sănătate prelucrate și posibilitatea ca acestea să se refere la un anumit subiect al datelor care poate fi identificat prin orice mijloace;
  2. prelucrarea doar a datelor necesare și proporționale cu scopul prelucrării;
  3. identificarea concretă a scopului și a temeiului pentru prelucrare;
  4. prelucrarea datelor cu privire la starea de sănătate de către persoane supuse secretului profesional sau cu obligații echivalente secretului profesional;
  5. informarea transparentă a subiectului datelor cu privire la identitatea operatorului, scopurile prelucrării, destinatarii vizați, precum și drepturile pe care subiectul le are;
  6. asigurarea securității datelor cu caracter personal prin măsuri tehnice și organizatorice corespunzătoare;
  7. dezvăluirea datelor doar în condițiile legii.
Resurse
  1. https://gov.md/sites/default/files/hotarirea_cnesp_nr.10_15.05.2020.pdf
  2. Pentru detalii cu privire la poziția autorităților publice cu privire la prelucrarea datelor personale aferente stării de sănătate în Republica Moldova și România comparativ cu alte state europene, puteți consulta următorul articol – (https://blog.pwc.ro/2020/05/13/prelucrarea-datelor-privind-sanatatea-in-contextul-covid-19-romania-si-republica-moldova-comparativ-cu-alte-state-europene/).
  3. http://datepersonale.md/wp-content/uploads/2020/01/INSTRUCTIUNI-HELTH.pdf
  4. https://www.chisinau.md/public/files/deciza-CSE29611.pdf
  5. https://gov.md/sites/default/files/hotarirea_cnesp_nr.11_15.05.2020.pdf
  6. https://gov.md/sites/default/files/hotarirea_cnesp_nr.12_25.05.2020.pdf
  7. https://msmps.gov.md/ro/content/recomandarile-ministerului-sanatatii-muncii-si-protectiei-sociale-vederea-asigurarii
  8. https://msmps.gov.md/sites/default/files/ordin_315_ghid_practic_masurile_de_prevenire_a_infectiei_covid_-19_la_locul_de_munca_1.pdf
  9. https://datepersonale.md/wp-content/uploads/2020/04/Opinie-institu%C8%9Bional%C4%83-privind-protec%C8%9Bia-datelor-cu-caracter-personal-privind-starea-de-s%C4%83n%C4%83tate-%C3%AEn-Republica-Moldova-pe-perioada-existen%C8%9Bei-Coronavirusului-2.pdf
  10. https://msmps.gov.md/sites/default/files/ordin_315_ghid_practic_masurile_de_prevenire_a_infectiei_covid_-19_la_locul_de_munca_1.pdf

PricewaterhouseCoopers (PwC) Moldova
PricewaterhouseCoopers (PwC) Moldova

PwC helps organisations and individuals create the value they’re looking for. We’re a network of firms in 157 countries with more than 208,000 people who are committed to delivering quality in assurance, tax and advisory services. This network structure provides PwC member firms with the flexibility to operate simultaneously as local businesses, but also on a global scale, creating a platform through which member firms share knowledge, skills and resources and delivery services of consistently high quality to international and local clients. PwC started operations in Moldova in 1996. It has continuously expanded the scope of its services and currently offers a full range of professional services to both international and Moldovan enterprises. Overseen by 16 partners and employing over 600 specialists and support staff, PwC operates in Romania and Moldova from a network of four offices in Bucharest, Timisoara, Cluj-Napoca, Constanta and Chisinau.

Latest Members & Partners News