În baza art. 71 alin. (2) din Legea nr. 55/2020 se instituie obligația instituțiilor și autorităților publice, operatorilor economici și profesioniștilor (persoanele vizate de lege) de a asigura la intrarea în sediu triajul epidemiologic, atât pentru personalul propriu, cât și pentru vizitatori. Măsurile aplicabile au fost  pe adoptate prin ordine ale miniștrilor de resort, la propunerea Comitetului Național pentru Situații Speciale de Urgență (CNSSU)[1].

Respectarea obligațiilor referitoare la triajul epidemiologic și observațional poate ridica probleme în ce privește protecția datelor cu caracter personal. În cele ce urmează vom face o scurtă analiză a problemelor care pot apărea și cum ar putea fi depășite.

Datele privind starea de sănătate (inclusiv temperatura corporală) reprezintă date personale în măsura în care sunt luate în evidență și, împreună cu alte date asociate persoanei fizice, permit identificarea persoanei în cauză. Datele ce privesc sănătatea sunt considerate sensibile, iar prelucrarea lor poate avea loc doar în anumite condiții, cu respectarea legii.

Noile Prevederi ale Ordinului nr. 874/81/2020 emis de Ministerul Sănătății menționează faptul că triajul epidemiologic “nu implică înregistrarea datelor cu caracter personal”. Totuși, implementarea practică a măsurilor ridică unele probleme și întrebări privind cazurile în care o evidență se impune fie ca o consecință logică a măsurilor legislative, fie pentru buna funcționare a persoanei vizate de lege. Recomandăm acordarea unei atenții sporite obligațiilor legale în cazul datelor de sănătate procesate în urma triajului epidemiologic, în măsura în care va păstra o evidență a persoanelor considerate suspecte sau a căror temperatură corporală înregistrată depășește 37,3°C, și care au primit indicația unui consult medical.

Desi legea obligă la luarea anumitor măsuri, cum ar fi luarea obligatorie a temperaturii corporale, din perspectiva respectării cerințelor Regulamentului privind protecția datelor cu caracter personal (denumit în continuare “GDPR”), persoanele vizate de lege vor fi responsabile de condițiile în care prelucrează respectivele date. Implementarea va trebui să țină cont de principiile GDPR, cum ar fi, transparența, minimizarea datelor colectate (stabilindu-se cele strict necesare desfășurarii activității și respectării prevederilor legale) reținerea acestora pe durată limitată, aplicarea unor măsuri tehnice și organizatorice adecvate pentru protecția acestor date sensibile, inclusiv prin acces restrâns la aceste date.

În primul rând, recomandăm ca persoanele vizate de lege  să informeze în prealabil angajații și vizitatorii cu privire la măsurile luate și temeiul legal, ideal și printr-un afișaj într-un loc vizibil la intrarea în incintă.

Atragem atenția că, în opinia noastră, trebuie evitată păstrarea unei evidențe a temperaturii corporale a tuturor persoanelor supuse triajului, în cazul în care nici o măsură ulterioară nu se impune cu privire la acestea.

Din punct de vedere practic, se va pune problema evidenței interne a motivelor absenței de la serviciu (respectiv înregistrarea sau nu a datelor privind sănătatea ca motivație), respectiv urmărirea concluziilor unui consult medical, acolo unde este cazul. Întrucat legea nu detaliază, în măsura în care medicul de familie nu va recomanda concediu medical, se pune întrebarea dacă angajatul va prezenta o adeverință privind faptul că este clinic sănătos pentru a reveni la locul de muncă (adăugând astfel la datele privind sănătatea procesate de către angajator).

Considerăm că prin coroborare cu alte prevederi ale legislației muncii și în mod deosebit cu privire la medicina muncii, angajatorii pot găsi fundamentul juridic pentru măsuri practice în aplicarea noilor obligatii legale, în funcție de particularitățile fiecăruia. Din punct de vedere practic, soluțiile pot diferi în cazul angajatorilor care au desemnat un medic de medicină a muncii responsabil al unității, respectiv cei fără asemenea resurse.

În ce privește aplicarea triajului epidemiologic în privința vizitatorilor, considerăm că norma citată conține o contradicție, întrucât prevede faptul ca nu se vor înregistra date cu caracter personal, iar pe de altă parte, prevede în mod expres faptul că persoanele care nu prezintă simptome suspecte (inclusiv temperatura corporală), vor fi primite în incintă “după înregistrarea biroului/camerei/departamentului unde va merge”. Din perspectiva respectării reglementărilor în materia protecției datelor cu caracter personal, trebuie analizată măsura în care o evidență se impune și motivația pentru acest lucru. Menționăm că se va prefera întotdeauna o măsură alternativă prin care se evită înregistrarea datelor personale, în mod deosebit a datelor sensibile. 

Mai menționăm faptul că măsura triajului epidemiologic este acum impusă prin lege pe durata stării de alertă. Ulterior încetării stării de alertă și în ipoteza în care vor lipsi alte prevederi legale exprese care să impună asemenea măsuri, angajatorii vor trebui să reia analiza respectării cerințelor GDPR în cazul în care doresc să continue măsurile de protecție. Menționăm și faptul că multe state UE descurajează colectarea sistematică de către angajatori de date personale cu privire la sănătatea angajaților.