Sancțiune ANSPDCP anulată de Tribunalul București - privacyon.ro

Sancțiune ANSPDCP anulată de Tribunalul București: probleme legate de încheierea procesului-verbal

O sancțiune recent aplicată în domeniul protecției datelor personale a fost anulată în instanță. Problema a fost modul ambiguu în care s-au indicat data și locul săvârșirii faptelor de încălcare GDPR, însă cazul pune mai multe întrebări legate de posibilitatea operatorilor de a se apăra eficient atunci când investigațiile se desfășoară exclusiv în scris.

Operatorul, o societate din domeniul panificației, a fost amendat de Autoritatea de protecție a datelor (ANSPDCP) în luna februarie 2021 cu echivalentul a 5.000 de euro. Sancțiunea a fost aplicată pentru faptul că operatorul ar fi instalat camere video în spații cu destinație de vestiare și în sala de servire a mesei, ceea ce a dus, în opinia autorității, la o prelucrare excesivă de date personale.

📰 Comunicatul prin care se anunța aplicarea sancțiunii poate fi accesat aici.

Extras din procesul-verbal (text inclus în Decizia Tribunalului București): „începând cu anul 2017 a prelucrat în mod excesiv, prin raportare la scopul în care sunt colectate/prelucrate, respectiv protejarea bunurilor şi a produselor societăţii, descurajarea furtului, datele cu caracter personal/imaginea angajaţilor săi prin intermediul camerelor video instalate în spaţii cu destinaţia de vestiare şi în zona destinată servirii mesei, datele astfel prelucrate nefiind adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minim a datelor”), scopul declarat de operator putându-se realiza prin mijloace mai puţin intrusive pentru viaţa privată a angajaţilor, iar consimţământul persoanelor vizate nu poate fi considerat liber exprimat având în vedere relaţia angajator-angajat şi nu a putut fi identificat alt temei legal de prelucrare, operatorul neputând demonstra respectarea principiilor de prelucrare conform art. 5 alin. (2) din RGPD.

Articole din GDPR încălcate, conform procesului-verbal: art. 5 alin 1 lit. b si c prin raportare la ar. 5 alin 2 si art. 6.

Investigația autorității a avut loc exclusiv în scris și a fost inițiată în urma unei sesizări primite în iulie 2019. Ca urmare a adresei ANSPDCP din octombrie 2019, operatorul investigat a oferit explicații exhaustive și a negat faptul că sistemul de monitorizare video ar fi fost instalat în vestiare. Referitor la sala de mese, a explicat că era vorba de un spațiu amplu, că scopul era siguranța alimentară și protejarea sănătății angajaților și că unghiul era, în opinia sa, suficient de larg pentru a nu reprezenta o măsură intruzivă. De asemenea, operatorul a trimis un pachet de documente (inclusiv planșe fotografice), pe e-mail și prin curier, prin care explica pe larg amplasarea și funcționarea sistemului CCTV, menționând și faptul că sistemul fusese instalat în anul 2017.

După primirea răspunsului și a documentelor de la operator, ANSPDCP nu a realizat o verificare la fața locului și nu a mai revenit cu un răspuns sau vreo solicitare de clarificare timp de un an și jumătate. Procesul verbal de sancționare a fost încheiat în februarie 2021 în lipsa operatorului investigat, fără ca această situație să fie confirmată de un martor și fără vreo explicație despre motivul pentru care documentul a fost întocmit în aceste circumstanțe.

În apărarea sa în instanță, operatorul a adăugat că ar fi fost imposibil ca autoritatea să fi putut constata că faptele contravenționale au fost săvârșite începând cu anul 2017, din moment ce sesizarea a fost primită în iulie 2019. Mai mult, locul contravenției a fost descris în mod ambiguu (fiind precizat în procesul-verbal că sistemul video este instalat la sediul societății, cât și în magazinele din țară). Instanța a fost de acord cu reclamantul că în procesul-verbal nu erau indicate data și locul săvârșirii faptelor contravenționale, ci doar data și locul constatării acestora (sediul ANSPDCP), ceea ce a dus la un caz de nulitate absolută.

⚖️ Ce alte aspecte a stabilit instanța:

  • Prin faptul că procesul-verbal a fost întocmit la sediul ANSPDCP, operatorul nu a fost lipsit de posibilitatea de a formula obiecțiuni. Odată cu comunicarea actului, operatorului i s-a adus la cunoștință dreptul de a formula obiecțiuni în scris. [Notă: conform art. 32(4) din Procedura din 2018 de efectuare a investigațiilor, „Entitatea controlată poate transmite obiecţiuni la procesul-verbal de constatare/sancţionare, care fac parte integrantă din acesta, în termen de 15 zile de la data înmânării/comunicării procesului-verbal de constatare/sancţionare.”]
  • Indicarea unui an („începând cu 2017”) nu echivalează cu o mențiune privind data comiterii faptei contraveționale, așa cum cere art. 17 din OG 2/2001. [Notă: reclamantul susține că precizarea legată de începutul anului 2017 a fost preluată din înscrisurile trimise ca răspuns la adresa autorității, prin care explica faptul că sistemul video fusese instalat începând cu anul 2017]
  • Data și locul săvârșirii faptelor contravenționale sunt elemente importante care nu pot fi deduse din cuprinsul procesului-verbal, ci trebuie să fie precizate în concret.

Deși, în acest caz, instanța s-a concentrat asupra unei probleme clare de nulitate absolută, cazul ridică o serie de întrebări esențiale despre modul în care se realizează investigațiile. În special, când este vorba de o investigație desfășurată exclusiv în scris, cum se poate respecta dreptul la apărare al operatorului, dacă acesta contestă elemente de fapt? Cine va fi crezut – petentul sau operatorul? Nu ar trebui ca, într-o asemenea situație, investigația să presupună mai multe etape de solicitări și clarificări sau să se realizeze pe teren?

 

Detalii: Decizie nr. 4076/2021 din 15-iun-2021, Tribunalul Bucuresti

Notă: Hotărârea nu este definitivă și poate fi atacată cu recurs. Textul integral al hotărârii a fost consultat prin intermediul platformei Sintact.

DPO Personal Trainer

Responsabilii cu protecția datelor din cadrul companiilor se confruntă cu numeroase provocări practice. GDPR nu conține îndrumări concrete atunci când vine vorba de arii de activitate (HR, contabilitate, marketing etc.) și de aceea este foarte important ca un DPO să înțeleagă cum să aplice regulile de protecție a datelor personale în viața de zi cu zi a organizației sale.

Pentru DPO care nu se mulțumesc cu instruiri pur teoretice despre protecția datelor și au întrebări foarte punctuale, am creat un program de training personal (1 la 1) în care vei putea:

  • Să dezbați probleme practice, cu care te confrunți zi de zi
  • Să primești ajutor în completarea documentației GDPR
  • Să găsești soluții organizaționale pentru protecția datelor personale

 

Cum funcționează?

Programul presupune sesiuni de discuții 1 la 1 cu echipa PrivacyOne. Fiecare sesiune durează 3 ore și îmbină aspecte teoretice cu probleme practice.

Tematica este flexibilă și depinde de nevoile de instruire ale participantului, pe care le vom discuta în prealabil. Însă, recomandăm acoperirea următoarelor puncte GDPR relevante:

1. Gestionarea cererilor persoanelor vizate
2. Conținutul si negocierea acordurilor de prelucrare a datelor personale (DPA)
3. Redactarea notelor de informare
4. Gestionarea politicilor si mecanismelor privind cookies
5. Efectuarea DPIA
6. Criterii și orientări pentru analiza interesului legitim (LIA)
7. Redactarea și gestionarea diferitelor politici interne privind protecția datelor personale

 

Vrei să începi antrenamentul?

Scrie-ne la contact[@]privacyone.ro pentru a afla mai multe detalii despre cum poți beneficia de programul nostru personalizat de training în domeniul protecției datelor personale.

 

Programul standard DPO Personal Trainer cuprinde 4 sesiuni de training, însă poate fi suplimentat cu noi întâlniri, în funcție de nivelul de profunzime pe care îl dorește participantul.

Cine suntem

PrivacyOne (GUIMAN UDUDEC – Societate Civilă de Avocați) este o societate de avocați specializată în domeniul protecției datelor cu caracter personal, cu o experiență solidă în această practică. Întrucât suntem solicitați pentru a rezolva probleme practice cu care se confruntă organizațiile, avem o perspectivă orientată către operaționalizare și simplificare.

Echipa noastră a oferit asistență juridică în legătură cu protecția datelor personale unui număr semnificativ de societăți românești și străine, dintr-o gamă largă de domenii: FMCG, telecomunicații, distribuție și vânzare de energie, bancar, imobiliar, marketing, mass-media, IT, servicii de sănătate și altele.

PrivacyOn Walters-02

PrivacyON și Wolters Kluwer România colaborează pentru creșterea expertizei GDPR

Începând din Septembrie, o nouă resursă de expertiză în domeniul protecției datelor personale va fi disponibilă în România, ca rezultat al colaborării dintre PrivacyON și Wolters Kluwer. Cunoscuta aplicație legislativă Sintact.ro va pune la dispoziție o componentă de întrebări și răspunsuri pe tema aplicării GDPR și a temelor conexe.

PrivacyOn Walters-02

În acest modul Q&A, abonații Sintact.ro vor avea la dispoziție un set inițial de 50 de răspunsuri detaliate, pentru varii probleme practice și vor avea posibilitatea de a trimite întrebări care vor fi analizate de echipa PrivacyON.

Obiectivul proiectului este de a crea o resursă de expertiză în continuă creștere, pe tema aplicării legislației privind protecția datelor personale. Elementul inovator este atenția acordată nevoilor și preocupărilor practice, din activitatea de zi-cu-zi, așa cum acestea sunt formulate de organizații.

„Ne-a bucurat invitația Wolters Kluwer de a colabora pentru acest proiect, pentru că vedem o reală utilitate practică în acest demers. Ne dorim să ajutăm responsabilii cu protecția datelor sau funcțiile similare din companii să clarifice modul în care trebuie aplicat GDPR în organizațiile lor și să depășească dificultățile unui domeniu relativ nou și atât de puțin explorat în România.”

Roxana Guiman, partener

„Ca avocați în domeniul protecției datelor personale, acordăm atenție activității clienților și încercăm să vedem lucrurile din perspectiva lor. Conformarea GDPR nu poate fi aplicată în vid. Tocmai de aceea sunt încrezătoare că dezvoltăm împreună cu Wolters Kluwer un instrument ideal pentru a explora dilemele concrete ale organizațiilor și de a veni în întâmpinarea lor într-un mod cât mai realist.” 

Dana Ududec, partener

În modulul GDPR puteți găsi explicații pentru întrebări frecvente din practică, precum:

  • Este necesară semnarea de către angajați a notei de informare despre prelucrarea datelor personale?
  • Când este obligatorie efectuarea unei analize de impact asupra protecției datelor personale (Data Protection Impact Assessment – DPIA)?
  • Care sunt situațiile de conflicte de interese pentru exercitarea funcției de DPO?
  • În ce situații nu este obligatorie informarea despre prelucrarea datelor personale?
  • Este necesar consimțământul debitorului pentru transmiterea datelor sale personale, de către creditor, către o entitate care recuperează creanțe?

.

Pentru mai multe detalii legate de accesarea modulului de întrebări GDPR, vă invităm să contactați Wolters Kluwer România.

PrivacyON Innovx_partnership

PrivacyON s-a alăturat echipei de mentori InnovX, în obiectivul de a susține start-up-urile românești

Din primăvara acestui an, PrivacyON a început o colaborare cu InnovX, prin care oferim companiilor înscrise în programele de accelerare cursuri și sesiuni de mentorat 1-la-1, pe teme ce țin de proprietate intelectuală și protecția datelor personale.

PrivacyON Innovx_partnership

InnovX este un accelerator structurat într-un mod, credem noi, unic în România, care selectează companii în diferite stadii de dezvoltare (grinders, start-ups, scale-ups) și, în cadrul unui program foarte intens de învățare, pe durata a câteva luni, aceste proiecte trec printr-un real proces de creștere. La finalul programului, companiile știu mult mai clar ce pași au de urmat, au strategii bine definite și un set de cunoștințe care le vor ajuta să își atingă mult mai ușor obiectivele.

Prin cursurile și sesiunile noastre de mentorat dorim să împărtășim din expertiza noastră și să ajutăm companiile care încă sunt la început de drum să înțeleagă care sunt nevoile și vulnerabilitățile lor în legătură cu prelucrarea de date personale sau cu protejarea drepturilor de proprietate intelectuală. Fiind domenii în care realmente este mult mai ușor să previi decât să repari, încercăm să sprijinim start-up-urile să își structureze proiectele astfel încât să aibă în vedere încă de la început și aceste aspecte. Nu e tot timpul ușor, mai ales pentru că resursele limitate la startul proiectului și focusul pe aspectele operaționale lasă puțin loc pentru griji ce țin de GDPR sau drepturi de autor. Tocmai de aceea, ne bucurăm să putem ajuta prin implicarea noastră în cadrul proiectului InnovX.

În plus, expunerea la proiectele din cadrul acceleratorului este și pentru noi o bună ocazie de a învăța și de a ne păstra la curent cu ce se întâmplă nou în lumea tehnologiei, mai ales că echipa InnoxV face o treabă foarte bună în a selecta în accelerator proiecte realmente interesante și inovative.  

În caz că participarea la un astfel de program de accelerare este de interes pentru voi, tocmai încep selecțiile pentru o nouă grupă de scale-ups în cadrul InnovX, cu termen pe 2 octombrie. Puteți găsi detalii aici.

Cookie walls si swipe-scroll

Cookie walls și swipe/scroll – noi orientări EDPB referitoare la consimțământ ca temei de prelucrare a datelor personale

În data de 4 mai 2020, Comitetul European pentru Protecția Datelor („EDPB”) a adoptat „Orientările 05/2020 cu privire la consimțământ în temeiul Regulamentului 2016/679 (versiunea 1.1)” („Orientările 05/2020”), prin care actualizează opiniile emise anterior pe aceeași temă de către Grupul de Lucru „Articolul 29” („GL Art. 29”).

Cookie walls si swipe-scroll

Intenția EDPB este ca noul document de referință pentru temeiul legal al consimțământului să îl înlocuiască pe cel precedent, fără a afecta însă alte orientări punctuale pe tema consimțământului prezente în documentele GL Art. 29.

Deși conținutul orientărilor anterioare rămâne în mare parte identic (cu modificări formale, cum ar fi cele legate de înlocuirea GL Art. 29), EDPB a folosit această ocazie pentru a aduce o serie de noi clarificări legate de interpretarea prevederilor aplicabile consimțământului pentru prelucrarea datelor cu caracter personal conform GDPR.

Noutățile aduse de EDPB se referă la următoarele două tematici principale:

(a) Condiționarea accesului la conținutul unui website de acceptarea plasării cookies

Utilizarea de „cookie walls”, ca mecanism pentru a stimula consimțământul utilizatorilor a fost intens dezbătută. Principalele contraargumente au fost legate de caracterul inechitabil al alegerii prezentate utilizatorilor, lipsa de control asupra informației sau lipsa unei alegeri reale (mai ales în situații de monopol asupra unui anumit tip de informație, care ajunge să fie inaccesibilă).

EDPB a tranșat problema valabilității consimțământului influențat prin „cookie walls”, plasând acest mecanism în lista exemplelor de încălcare a caracterului liber al consimțământului pentru prelucrarea datelor cu caracter personal.

(b) Deducerea consimțământului din diferite acțiuni ale utilizatorilor pe un website (scroll/swipe)

O altă practică des întâlnită este informarea utilizatorilor care accesează un website despre faptul că o acțiune a lor de tipul scroll sau swipe va fi asimilată acordului pentru plasarea de cookies sau tehnologii similare. În acest caz, nu sunt întrunite condițiile de valabilitate a consimțământului referitoare la claritate, la lipsa de echivoc a acțiunii  și la lipsa de ambiguitate. În al doilea rând, mecanismul va face practic dificilă respectarea art. 7(3) din GDPR, care stabilește dreptul de retragere a consimțământului și creează o simetrie cu simplitatea modalității de transmitere a acordului pentru prelucrarea datelor personale.

Aceste noutăți sunt discutate pe larg în articolul GDPR: Noi orientări privind valabilitatea consimțământului în cazul „cookie walls” și al acțiunilor swipe/scroll în cadrul unui website, scris de către Dana Ududec, partener PrivacyON și publicat în numărul 2/2020 al Revistei Române de Drept al Afacerilor.

GDPR issues for Body temperature readingsBody temperature readings

Body temperature readings

Some organizations are taking into consideration installing temperature scanners or other means of verifying the body temperature of staff and visitors, in their effort to protect the workplace against the spread of COVID-19.

This is a sensitive topic which needs careful analysis by each company, especially with regard to the effectiveness of the devices used for this purpose, setting up records of such data, who has access to the data and what are the consequences for the data subjects – to name just a few issues.

GDPR issues for Body temperature readingsBody temperature readings

 

Below is a short outline of certain guidance and opinions from European Data Protection Authorities on the topic of reading body temperature, to help organizations decide on the lawfulness of such a measure in their case.

Belgium

The updated guidance from the Belgian Data Protection Authority (APD) specifically refers to measuring the body temperature of workers and visitors. According to the APD, the mere measurement, without recording the data, does not constitute per se processing of personal data. However, the guidance does not discuss the case when organizations might actually register a high temperature during such checks, and take certain measures. For example, if the thermal scanner placed at the entrance of a factory reads a temperature above the set threshold and the worker is isolated from the rest of the staff.

Spain

In its FAQs, the Spanish authority (AEPD) refers to national prevention of occupation risks legislation which obliges employers to verify if the health status of workers represents a danger – however, it indicates that such verification must be carried out by medical staff. The AEPD states that in any case, the processing of health data obtained from temperature measurements must be limited to the purpose of combating the spread of COVID-19 and respect all other GDPR principles.

France

The French authority (CNIL) strongly advises organizations against „mandatory readings of the body temperatures of each employee / agent / visitor to be sent daily to their hierarchy”. From the wording o the guidance, it seems that checking symptoms might be allowed if done in a confidential manner – for example, by the occupational doctor or a member of the staff who must observe the secrecy of the data.

Romania

The Romanian authority (ANSPDCP) is silent on this matter and instead indicates the general GDPR legal exemptions for processing health data. This means that data controllers must make their own (documented) assessments and decide

EDPB

The initial statement of the European Data Protection Board does not cover this specific topic. However, the EU body has recently announced that it is speeding up the publication of more detailed guidance.

Collecting health data through questionnaires

Collecting health data through questionnaires

The issue of implementing questionnaires which gather health data and other information about the existence of risk factors, to both employees, collaborators and visitors, does not have a unified approach by the European Data Protection Authorities.

Collecting health data through questionnaires

While some authorities expressly prohibit such methods of systematic and general data collection, others allow organizations to make their own assessment and to decide whether imposing on staff and visitors to fill in questionnaires or to sign statements about risk factors (including symptoms) is necessary and proportional.

EDPB

The EDPB, in its Statement on the processing of personal data in the context of the COVID-19outbreak, adopts an open perspective, expressing the following view:

“Can an employer require visitors or employees to provide specific health information in the context of COVID-19?

The application of the principle of proportionality and data minimisation is particularly relevant here. The employer should only require health information to the extent that national law allows it.”

Ireland

The Irish DPC has analyzed this issue in great detail. The PDC says that “employers would be justified in asking employees and visitors to inform them if they have visited an affected area and/or are experiencing symptoms”, considering the legal obligations to ensure workplace safety. However, if organizations wish to implement these checks through the means of questionnaires, the Irish authority indicates the following:

“Implementation of more stringent requirements, such as a questionnaire, would have to have a strong justification based on necessity and proportionality and on an assessment of risk. This should take into consideration specific organisational factors such as the travel activities of staff attached to their duties, the presence of vulnerable persons in the workplace, and any directions or guidance of the public health authorities.”

In addition, considering health and safety duties, employers would also be justified to ask employees to inform them if they have a medical diagnosis of COVID-19.

Hungary

NAIH has a permissive approach to using risk factor questionnaires, with some caveats. Employers must, first of all, decide if this method is necessary and proportionate and ensure that questionnaires do not include questions relating to medical history or requirements to attach medical documents.

France, Belgium and Luxembourg

In this case, the authorities are more conservative. The CNIL states that “employers must refrain from collecting in a systematic and generalized manner, or through individual inquiries and requests, information relating to the search for possible symptoms presented by an employee / agent and their relatives”. CNIL prohibits to implement the collection of medical sheets or questionnaires from all employees / agents.

The Belgian APD prohibits the application of medical questionnaires, stating:

“The employer cannot compel workers to complete such questionnaires. It is recommended to encourage workers to spontaneously report risky travel or symptoms. In this case too, the role of the occupational physician must be emphasized.”

In Luxembourg, the authority also included questionnaires on the “What not to do” list. Employers should not require employees to fill in medical forms or questionnaires and should not require visitors to provide standardized statements about the absence of symptoms and travels to risk areas.

Romania

The Romanian authority (ANSPDCP) is silent on this specific matter and indicates certain possible legal grounds and exemptions which allow processing of health data.

What to consider

In any case, the collection of health data must be legal under the GDPR, which means that it must be allowed under an Art. 9(2) exemption -> read more on this topic.

If an organization decides to implement questionnaires and statements (provided that their national DPA did not explicitly prohibit it), this should be done with the observance of the data protection legal framework, including he essential GDPR principles – fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, integrity and confidentiality and, of course, accountability.

Disclosing COVID-19 diagnosis

Disclosing COVID-19 diagnosis

Companies explore whether they can disclose that someone has been diagnosed with COVID-19, in their efforts to protect staff and the general public. This article describes recent opinions published by EU Data Protection Authorities on the issue.

Disclosing COVID-19 diagnosis

Statement of the European Data Protection Board

The EDPB, in its Statement on the processing of personal data in the context of the COVID-19outbreak, specifically tackles the question of disclosing that an employee has been diagnosed:

“Can an employer disclose that an employee is infected withCOVID-19 to his colleagues or to externals?

Employers should inform staff about COVID-19 cases and take protective measures, but should not communicate more information than necessary. In cases where it is necessary to reveal the name of the employee(s) who contracted the virus (e.g. in a preventive context)and the national law allows it,the concerned employees shall be informed in advance and their dignity and integrity shall be protected.”

What are the EU national DPAs saying?

The Irish DPC does not institute a general prohibition, but states that “any communications to staff about the possible presence of Coronavirus in the workplace should not generally identify any individual employees” and that the “identity of affected individuals should not be disclosed to any third parties or to their colleagues without a clear justification“. Moreover, the authority’s FAQ section provides a concrete example:

“Can an employer disclose that an employee has the virus to their colleagues?

This should be avoided, in the interests of maintaining the confidentiality of the employee’s personal data. For example, an employer would be justified in informing staff that there has been a case, or suspected case, of COVID-19 in the organization and requesting them to work from home. This communication should not name the affected individual.

Disclosure of this information may be required by the public health authorities in order to carry out their functions.”

Italy’s Garante only mentions that, in the context of specific and detailed legislation passed at the national level:

“Where an employee performing duties that entail contact with the public (e.g. at a front office, at a service desk) encounters a suspected Coronavirus case in the course of their work, that employee will ensure that the competent health services are informed – including through the employer – and will follow the preventive instructions provided by the healthcare professionals consulted.”

The Hungarian Data Protection Authority (NAIH) indicated that organizations should inform employees that they must report any suspected contact with the virus, and that such information can be recorded by the employer. Specifically, the NAIH mentioned that the Police are authorised to use CCTV footage to investigate those who do not observe the legislation for preventing the spread of COVID-19.

Belgium’s APD takes a restrictive stand and states that:

“Under the principle of confidentiality (Article 5.1, f) of the GDPR) and the principle of data minimization (Article 5.1, c) of the GDPR), an employer cannot reveal the names of the persons concerned. The employer can only inform other workers of the situation without mentioning the identity of the person (s) concerned.”

The Danish DPA indicated that, within the framework of data protection law, an employer can, to a large extent, disclose non-specific information (even health information) when the necessity of the situation would thus require, for example: that an employee has returned from a so-called “risk area”; that an employee is in the home quarantine (without stating the reason); that an employee is ill (without stating the reason). The authority recognised that in some situations (e.g. to allow management and colleagues to take precautions) it might become necessary to disclose that an employee has been diagnosed with the Coronavirus. Even if information is disclosed, it should be factual and kept to the minimum necessary (including by avoiding to name the person infected).

The DPA from Luxembourg does not institute a strict prohibition, but it does state that “The identity of the data subjects can therefore not be disclosed to third parties or the data subjects’ colleagues without clear justification.

The UK’s ICO expressly answered that an organization can tell their staff that a colleague may have potentially contracted COVID-19, but they should assess whether they can name individuals and should not provide more information than necessary.

Lastly, neither DPA sees any impediment to report cases to health authorities or other public bodies who have legal competences to manage the epidemic.

Romanian DPA’s point of view

The Romanian DPA issued a press statement about the legal conditions of processing data in the current health crisis. The authority expressly stated the following:

“As regards the disclosure in the public sphere of the name and health status of a physical person, we underline that the processing (the disclosure) of such data can only be done based on the consent of the concerned person.”

The specific point of view is welcome – however it does raise questions about the theoretical applicability of other exemptions allowed by Art. 9(2) of the GDPR. Moreover, this opinion should not prejudice journalistic activities which fall under the journalistic exemption provided by the Romanian GDPR Application Law (no. 190/2018), as long as these activities observe human rights privacy standards and ethical guidelines.

Legal basis for processing health data

Legal basis for processing health data

Because health data represents a special category of data, the GDPR allows processing only in exceptional situations indicated in Art. 9(2).

In the context of measures aimed at containing the spread of COVID-19, organizations are asking which is the correct basis (the exemption) which would allow them to collect data about the health situation of employees. This article sums up certain opinions published by Data Protection Authorities from the EU on this issue.

Legal basis for processing health data

Processing necessary for complying with employment law

GDPR Art. 9(2)(b) – processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

Several EU authorities have validated Art. 9(2)(b) as a basis for employers who need to process health information about their employees and people who visit their premises, as long as there are obligations in employment and occupational safety laws which apply to organisations. See, for example, the opinions from Ireland, Spain and Hungary.

For instance, national employment or occupational safety law might provide that the employer has obligations to protect employees from  health risks. Some laws also indicate the obligations of employees to report any health risk factors identified at the workplace and to protect their colleagues (for example, to report immediately if they believe that certain COVID-19 risk factors apply to them).

Even if this provision is invoked for processing health data for managing COVID-19 risks at the workplace, the processing activities must be accompanied by the implementation of all other GDPR principles – fairness, transparency, purpose limitation, data minimisation, accuracy, storage limitation, integrity and confidentiality and, of course, accountability.

Depending on the case, there might be other Art. 9(2) exemptions applicable.

GDPR Art. 9(2)(h) – processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

This basis applies, for example, when an occupational health physician would ascertain the conditions of the employees. However, it is important to point out that relying on this exemption to process health data must be accompanied by suitable safeguards applied to the data processing – e.g. security, restricted access, strict retention periods, staff training.

GDPR Art. 9(2)(c) – processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

GDPR Art. 9(2)(g) – processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

GDPR Art. 9(2)(i) – processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

The Irish DPC indicated that Art. 9(2)(i) might be applicable where organisations are acting on the guidance or directions of public health authorities, or other relevant authorities. The EDPB, in its Statement on the processing of personal data in the context of the COVID-19outbreak, validates the possibility to rely on art. 9(2)(c) and 9(2)(i).

Although some might be quick to rely on the provision in letter (c), please note that the exemption only applies when the data subject is physically or legally incapable of giving consent.

Could explicit consent be relied on?

GDPR Art. 9(2)(a) – the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

Although, theoretically, obtaining the explicit consent of the data subject allows the processing of health data, remember that in the context of employment consent is rarely an appropriate basis for data processing.

Data Protection Newsletter – no.22020 February

Data Protection Newsletter – no.2/2020 February

This month in data protection news: ● See guidance from EU data protection authorities on how to process personal data in the context of COVID-19 ● Read about recent GDPR sanctions, including in the filed of telecoms ● Find out the recent guidelines from data protection authorities ● More GDPR news and further readings.