PNSA COVID-19 Legal Response Team
ENGLISH

With an increasing spread of COVID-19, companies are facing complex challenges in their businesses‘ day-to-day operation. For avoiding the risk of infection within their workforce, protecting employees and their business, companies have considered several approaches, including an active monitoring of employees (their state of health, travel or meeting plans in or outside of work and their possible contact with infected persons outside the workplace) but also of contractors or visitors entering their premises.  Implications of such monitoring and a dissemination of sensitive data from data privacy perspective are shortly addressed below. This privacy section should be read in conjunction with the employment section of this tool kit, which contains complementary information.

In these hard times, when states are closing their borders and declaring a state of emergency, when certain activities are limited or closed by law, actions that might have been rejected under other circumstances may become the best choice. Therefore, we advocate taking into consideration the greater good, consider legal obligations to comply with measures for the prevention or control of infectious diseases (failure of such, by legal or natural persons alike, being incriminated under the Romanian Criminal Code), purposes that supersede the interests or fundamental rights and freedoms of the individuals whose data are processed.

Relevant questions & answers from a data privacy perspective

1. Am I allowed to actively monitor the state of health of the employees and visitors entering the premises?

Yes. Any active collection of data (such as body temperature and information on travel patterns and possible encounters with infected persons) from employees/ visitors entering the premises is permitted, provided that such collection of data relies on a valid condition under GDPR (art. 6 letter d. and art. 9 (2) letters b., h. and i.) and is limited to what is necessary (e.g. employer must not request information about the medical history of the data subject or any medical documentation).

Please note that (a) employees are under a general obligation to immediately inform the employer about any circumstances which they believe to be a danger for health and safety at the workplace (risk of/ confirmed infection with COVID-19) and (b) employers are required to notify the medical authorities, namely the Public Health Directorate (DSP) in case of a confirmed infection with COVID-19 among its workforce [see also the employment section of this tool kit].

2. Is there any derogation from processing health data recommended by the GDPR?

YES. 

Preamble (52) in the GDPR states that “Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

Article 23 (1) letter e) in the GDPR states that “Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard […] other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security.

3. How can I monitor the state of health from a practical point of view?

For employees:

  • temperature screening at the entrance in the premises, 
  • medical checks conducted or supervised by medical professionals (medicul de medicina muncii);
  • provide remote working options;
  • insure full disinfection of all areas if becoming aware of any suspicions or confirmed COVID-19 infected individuals that entered the premises and request all members of the workforce in contact (directly or indirectly) with the infected individual to enter into self-isolation;
  • implement procedures and policies to reduce the risk of infection at work (e.g. an emergency response plan that outlines the steps to be taken by company’s personnel to ensure prevention and control of possible COVID-19 cases among employees, contractors, visitors and their families, clear procedures on self-isolation in case of contagion etc.); if such procedure is implemented, we recommend formal notification of such to the health and safety committee (comitetul de securitate si sanatate in munca) in line with art. 71 of the Norms for the application of Law no. 319/2006 regarding safety and health at work;

For visitors entering the premises

  • temperature screening at the entrance in the premises, 
  • questionnaire/ self-assessment checklist to evaluate potential exposure to the virus and therefore the potential risk of the access to the premises.

4. Can I disclose any health data and to whom?

As a general rule, as we are envisaging sensitive data (health data), avoid any public disclosures or making the identity of the infected person accessible to persons other than:

  • the staff, on a need-to-know basis; a general statement in case of a confirmed infection with COVID-19 among the workforce (avoiding the disclosure of the employee’s identity) can be considered at the workplace, if not susceptible of preventing the fight against diseases/spread of the disease. However, prevention and fight against the disease/its spread implies a obligation to investigate and identify all individuals who were in direct or indirect contact with the employee who is or may be infected with COVID-19;
  • processors authorized for and instructed by the company to the processing of personal data (e.g. security company managing the access to the premises) on the basis of pursuing the specific purpose;
  • affiliated companies and shareholders (sharing information within the same group of undertaking), only if justified by a legitimate interest superseding the interest and rights of the concerned individuals (balancing test to be taken in this particular case of disclosure);
  • reporting obligations under local laws and regulations to public authorities acting in their institutional capacity;

5. What should I consider when implementing any monitoring measures?

Privacy authorities generally recommend companies to consider:

  • whether there is a good reason to collect or disclose the personal data in question;
  • whether the specific personal data is necessary, including whether the employer’s purpose can be achieved by collecting less;
  • whether it is necessary to name names – e.g. the name of the person infected or quarantined.

6. What should I take into consideration from a data privacy perspective?

The following recommendations can be made in the context:

  • insure proper information of the data subjects (as per art. 13 in the GDPR) – for both employees and visitors entering the facilities in respect of any assessment questionnaires or health checks (e.g. temperature screening of employees and visitors entering the premises) the company plans to implement;
  • avoid collecting or keeping excessive data, especially health data (e.g. no records from the thermal scanner reading should be stored or archived) 
  • consider the potential involvement of a health care professional (medicul de medicina muncii) in carrying the health checks;
  • consider updating the company’s prevention and protection plan (planul de preveniresiprotectie) [see the employment section for further details]

7. Is there a retention term for any visitors/ employees’ questionnaires or records in the COVID-19 context?

NO. Retention period for questionnaires or other related records shall be set on a case by case basis, by each data controller, provided data shall not be kept for longer than necessary considering the processing purpose for which the data was collected. We recommend setting short retention periods (up to 60 days), to be extended in all cases where the data could be required for epidemiological investigations/communication with the Public Health Inspectorate (DSP).

8. Has the Romanian Data Protection Authority (ANSPDCP) issued any guidance in the COVID-19 context?

YES. Specific data protection guidance on COVID-19 situation was issued on March 18th, 2020, by Romanian Data Protection Authority (ANSPDCP) available here.

Seeing the developments, official position should be further checked constantly, here.

9. Are any exemptions from the privacy rules and obligations in the COVID-19 context?

NO. All obligations under privacy regulations should be complied with by controllers and processors alike (notification of data breaches, exercise of data subjects rights and implementing adequate technical and organizational measures for all processing activities in the COVID-19 context).In respect of investigations, Romanian Data Protection Authority (ANSPDCP) has not issued any statements related to suspension of its activities, therefore, we shall assume that investigation activities will continue, with certain limitations (limiting the presence of the investigation teams at the companies’ premises, with an accent on requesting documents and information in electronic format, method that was otherwise previously used by the authority). 

Note: This analysis is based on the legal provisions in force as of 19 March 2020, being subject to any amendments that future enactments may require. 

This document is intended for informational purposes only, does not represent legal advice and does not focus on particular cases.


ROMÂNĂ

COVID-19: Implicațiile legislației privind confidențialitatea 

Cu o răspândire din ce în ce mai mare a COVID-19, societățile se confruntă cu provocări complexe în activitatea lor de zi cu zi. Pentru evitarea riscului de infecție în cadrul forței de muncă, protejarea angajaților și activitatea lor, societățile au luat în considerare mai multe abordări, inclusiv o monitorizare activă a angajaților (starea lor de sănătate, planurile de călătorie sau de întâlnire în sau în afara locului de muncă și posibilul lor contact cu persoanele infectate în afara locului de muncă), dar și a contractanților sau vizitatorilor care intră în spațiul lor. Implicațiile unei astfel de monitorizări și diseminarea datelor sensibile din perspectiva confidențialității datelor sunt abordate pe scurt în cele ce urmează. Această secțiune de confidențialitate trebuie citită în concordanță cu secțiunea de dreptul muncii a acestui set de instrumente, care conține informații complementare.

În aceste momente grele, când statele își închid frontierele și declară stare de urgență, când anumite activități sunt limitate sau închise prin lege, acțiunile care ar fi putut fi respinse în alte circumstanțe pot deveni cea mai bună alegere. Prin urmare, pledăm pentru luarea în considerare a bunului mai mare, considerarea obligațiilor legale de a respecta măsurile pentru prevenirea sau controlul bolilor infecțioase (în caz de nerespectare de către persoane juridice sau fizice deopotrivă, fiind incriminat conform Codului Penal Român), scopuri care înlocuiesc interesele sau drepturile și libertățile fundamentale ale persoanelor fizice ale căror date sunt prelucrate.

Întrebări & răspunsuri relevante din perspectiva confidențialității

1. Îmi este permis să monitorizez în mod activ starea de sănătate a angajaților și a vizitatorilor care intră în spațiu?

DA. Orice colectare activă de date (cum ar fi temperatura corpului și informații despre modelele de călătorie și posibile întâlniri cu persoane infectate) de la angajații/vizitatorii care intră în spațiu este permisă, cu condiția ca această colectare de date să se bazeze pe o condiție valabilă potrivit RGPD (art. 6 lit. d. și art. 9 (2) literele b., h. și i) și este limitată la ceea ce este necesar (de exemplu, angajatorul nu trebuie să solicite informații despre istoricul medical al persoanei vizate sau orice documentație medicală).Vă rugăm să rețineți că (a) angajații au obligația generală de a informa imediat angajatorul cu privire la orice circumstanțe care cred că sunt un pericol pentru sănătatea și siguranța la locul de muncă (risc de/ infectare confirmată cu COVID-19) și (b) angajatorii trebuie să anunțe autoritățile medicale, și anume Direcția de Sănătate Publică (DSP) în cazul unei infecții confirmate cu COVID-19 printre forța sa de muncă [a se vedea șisecțiunea de dreptul muncii a acestui set de instrumente].

2. Există vreo derogare de la prelucrarea datelor de sănătate recomandată de RGPD?

DA. 

Preambulul (52) din RGPD prevede că “Derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru și ar trebui să facă obiectul unor garanții adecvate, astfel încât să fie protejate datele cu caracter personal și alte drepturi fundamentale, atunci când acest lucru se justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter personal în domeniul legislației privind ocuparea forței de muncă, protecția socială, inclusiv pensiile, precum și în scopuri de securitate, supraveghere și alertă în materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile și a altor amenințări grave la adresa sănătății. Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică și gestionarea serviciilor de asistență medicală, în special în vederea asigurării calității și eficienței din punctul de vedere al costurilor ale procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisă, printr-o derogare, atunci când este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție, indiferent dacă are loc în cadrul unei proceduri în fața unei instanțe sau în cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.

Articolul 23 (1) litera e) din RGPD prevede că „Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a asigura: […]alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale.

3. Cum pot monitoriza starea de sănătate din punct de vedere practic?

Pentru angajați:

  • screening-ul temperaturii la intrarea în spațiu;
  • controale medicale efectuate sau supravegheate de medicul de medicina muncii;
  • oferiți opțiuni de muncă la distanță;
  • asigurați dezinfectarea completă a tuturor zonelor dacă luați cunoștință de orice persoane suspecte de sau infectate cu COVID-19 confirmate care au intrat în spațiu și solicitați tuturor membrilor forței de muncă care au intrat în contact (direct sau indirect) cu persoana infectată să se autoizoleze;
  • implementați proceduri și politici pentru reducerea riscului de infecție la locul de muncă (e.g., un plan de intervenție în caz de urgență care evidențiază măsurile care trebuie luate de personalul societății pentru a asigura prevenirea și controlul posibilelor cazuri de COVID-19 în rândul angajaților, contractanților, vizitatorilor și familiilor acestora, proceduri clare de autoizolare în caz de contaminare etc.); în cazul în care o astfel de procedură este pusă în aplicare, recomandăm notificarea oficială a acesteia comitetului de securitate și sănătate în muncă, în conformitate cu art. 71 din Normele de aplicare a Legii nr. 319/2006 privind securitatea și sănătatea în muncă;

Pentru vizitatorii care intră în spațiu

  • screening-ul temperaturii la intrarea în spațiu, 
  • chestionar/ lista de verificare pentru autoevaluare pentru a evalua expunerea potențială la virus și, prin urmare, riscul potențial al accesului în spațiu.

4. Pot dezvălui  date personale și cui?

Ca regulă generală, întrucât avem în vedere date sensibile (date despre sănătate), evităm dezvăluirea publică sau ca identitatea persoanei infectate să fie accesibilă altor persoane decât:

  • personalul, în măsura în care trebuie să le cunoască; o declarație generală în cazul unei infecții confirmate cu COVID-19 în cadrul forței de muncă (evitarea dezvăluirii identității angajatului) poate fi luată în calcul la locul de muncă, dacă nu este susceptibilă de a preveni lupta împotriva bolilor/răspândirea bolii. Cu toate acestea, prevenirea și lupta împotriva bolii/răspândirii acesteia implică o obligație de a investiga și identifica toate persoanele care au fost în contact direct sau indirect cu angajatul care este sau poate fi infectat cu COVID-19. 
  • împuterniciții autorizați pentru sau instruiți de societate în vederea prelucrării datelor cu caracter personal (e.g., compania de securitate care gestionează accesul în spațiu) pe baza urmăririi scopului specific;
  • societățile afiliate și asociații (schimbul de informații în cadrul aceluiași grup de întreprinderi), numai dacă este justificat de un interes legitim care înlocuiește interesul și drepturile persoanelor în cauză (test de echilibrare care trebuie dat în acest caz particular de divulgare); 
  • obligații de raportare în conformitate cu legile și reglementările locale către autoritățile publice care acționează în calitatea lor instituțională.

5. Ce trebuie să iau în calcul când pun în aplicare orice măsuri de monitorizare?

  • Autoritățile în materie de confidențialitate recomandă în general societăților să ia în considerare:
  • dacă există un motiv întemeiat pentru a colecta sau dezvălui datele cu caracter personal în cauză;
  • dacă datele cu caracter personal specifice sunt necesare, inclusiv dacă scopul angajatorului poate fi atins prin colectarea a puține date;
  • dacă este necesar să se spună nume – e.g. numele persoanei infectate sau în carantină.

6. Ce trebuie să iau în calcul din punct de vedere al confidențialității datelor?

  • Următoarele recomandări pot fi făcute în context:
  • asigurați informarea adecvată a persoanelor vizate (conform art. 13 din RGPD) – atât pentru angajații cât și pentru vizitatorii care intră în spații cu privire la orice chestionare de evaluare sau verificări de sănătate (e.g., screening-ul de temperatură al angajaților și vizitatorilor care intră în spațiu) pe care societatea intenționează să le implementeze;
  • evitați colectarea sau păstrarea de date excesive, în special datele de sănătate (e.g., nu trebuie înregistrate sau arhivate înregistrări din memoria scanerului termic);
  • luați în considerare implicarea potențială a unui medic de medicina muncii pentru efectuarea controalelor de sănătate;
  • luați în considerare actualizarea planului de prevenire și protecție al societății  [vezi secțiunea dreptul muncii pentru detalii suplimentare].

7. Există un termen de retenție pentru orice chestionare sau înregistrări ale vizitatorilor/angajaților în contextul COVID-19?

NU. Perioada de retenție a chestionarelor sau a altor înregistrări aferente este stabilită de la caz la caz de fiecare operator de date, cu condiția ca datele să nu fie păstrate mai mult decât este necesar, având în vedere scopul de prelucrare pentru care au fost colectate datele. Vă recomandăm să setați perioade scurte de retenție (până la 60 de zile), care să fie prelungite în toate cazurile în care datele ar putea fi necesare pentru investigații epidemiologice/comunicarea cu Direcția de Sănătate Publică (DSP).

8. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis orientări în contextul COVID-19?

DA. Orientări specifice privind protecția datelor în cazul COVID-19 au fost emise la data de 18 martie 2020 de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și sunt disponibile aici.

Având în vedere dezvoltările, poziția oficială trebuie verificată constant, aici.

9. Există excepții de la regulile și obligațiile de confidențialitate în contextul COVID-19?

NU. Toate obligațiile care se supun reglementărilor de confidențialitate trebuie respectate de operatori și persoanele împuternicite de operatori deopotrivă (notificarea încălcărilor securității datelor, exercitarea drepturilor persoanelor vizate și implementarea de măsuri tehnice și organizatorice adecvate pentru toate activitățile de procesare în contextul COVID-19).În ceea ce privește investigațiile, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nu a dat declarații cu privire la suspendarea activităților sale, prin urmare, vom presupune că activitățile de investigare vor continua, cu anumite limitări (limitând prezența echipelor de investigație la sediul societăților, cu accent pe solicitarea documentelor și informațiilor în format electronic, metodă care a fost utilizată și anterior de autoritate). 

Notă: Această analiză este bazată pe prevederile legale în vigoare la 19 martie 2020, fiind supusă oricăror modificări impuse de reglementări viitoare.


By Mihaela Ion and Luana Dragomirescu