Orice operator de date este obligat să acorde o protecție sporită datelor care au caracter sensibil, întrucât prelucrarea acestora prezintă un risc ridicat de a fi încălcate drepturile și libertățile persoanei fizice. Spre exemplu, atunci când un angajator solicită date precum originea etnică sau date privind sănătatea salariatului, acesta prelucrează date cu caracter sensibil, care sunt susceptibile de a conduce la discriminarea nelegală a salariatului. Categorii speciale de date prelucrează și operatori precum școlile și gradinițele, asociațiile și fundațiile, furnizorii de servicii medicale etc.
Prelucrarea acestor date poate intra în conflict cu drepturile și libertățile persoanei vizate, motiv pentru care GDPR impune condiții mai stricte ce trebuie respectate de operator în activitatea de prelucrare.
Care sunt categoriile speciale de date cu caracter personal
Originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea sau datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice sunt date cu caracter sensibil, ce necesită o protecție sporită, GDPR referindu-se la acestea ca fiind categorii speciale de date cu caracter personal.
Interdicție
De principiu, art. 9 alin. (1) din GDPR interzice prelucrarea acestui tip de date, însă în alin. (2) se regăsesc enumerate situațiile în care interdicția nu se aplică.
Legalitatea prelucrării
Pentru ca prelucrarea să fie legală, operatorul trebuie să identifice atât unul dintre temeiurile legale prevăzute de art. 6, însă și una dintre condițiile specifice prevăzute de art. 9 alin. (2) din GDPR.
GDPR prevede 10 cazuri specifice, însă permite ca în legislația națională să se regăsească restricții sau condiții suplimentare referitor la prelucrarea acestor date. Operatorul este obligat să determine pe care condiție specifică se justifică prelucrarea datelor înainte de începerea prelucrării și ar trebui să o documenteze.
De asemenea, dacă operatorul prelucrează date din categoriile speciale, în temeiul art. 30 alin. (5) din GDPR, trebuie să păstreze evidența activităților de prelucrare (cartografierea).
În plus, orice operator este obligat să informeze persoanele vizate în conformitate cu art. 13 și/sau 14 din GDPR. Pentru îndeplinirea acestei obligații se poate apela la informarea prin intermediul unei politici de confidențialitate.
Analizăm, în continuare, câteva situații din activitatea de prelucrare a unui angajator.
Originea rasială → Pentru angajatori nu este deloc neobișnuit să solicite viitorului angajat informații privind originea etnică sau rasială, însă este posibil ca prelucrarea acestor date să nu se încadreze în niciuna dintre situațiile de excepție prevăzute de GDPR, caz în care nu este legală.
Confesiunea religioasă → Punerea în aplicare a numitor prevederi din legislația muncii care prevăd drepturi pentru salariați presupune dezvăluirea de către aceștia a confesiunii religioase. Ne referim la zilele libere de sărbătoare legală, care, potrivit art. 139 din Codul muncii, se acordă diferit salariaților, în funcție de cultul religios.
Date privind sănătatea → Spre exemplu, angajatorul solicită certificatul medical la angajare, în temeiul art. 27 alin. (1) din Codul muncii. De asemenea, art. 28 din Codul muncii reglementează și alte situații în care certificatul medical este obligatoriu. Acest document va atesta doar dacă salariatul este apt sau nu pentru prestarea muncii, fără a conține date privind sănătatea. Totuși, la baza emiterii fișei de aptitudine se află întregul dosar medical. Se poate observa că angajatorul împuternicește medicul de medicina muncii să prelucreze datele privind sănătatea salariaților, acesta din urmă fiind cel care asigură potrivit legii supravegherea lucrătorilor.[1] Angajatorul trebuie să recurgă doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.
Cele 10 cazuri în care este permisă prelucrarea
Se pot prelucra date din categoriile speciale doar în următoarele cazuri:
a) persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care interdicţia nu poată fi ridicată prin consimţământul persoanei vizate;
b) prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate;
c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
d) prelucrarea este efectuată în cadrul activităţilor lor legitime şi cu garanţii adecvate de către o fundaţie, o asociaţie sau orice alt organism fără scop lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale şi ca datele cu caracter personal să nu fie comunicate terţilor fără consimţământul persoanelor vizate;
e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;
f)prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau ori de câte ori instanţele acţionează în exerciţiul funcţiei lor judiciare;
g)prelucrarea este necesară din motive de interes public major;
h)prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute la alineatul (3);
i) prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice;
j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice.
Restricții naționale
GDPR permite statelor membre să introducă sau să mențină cerințe suplimentare sau restricții în privința prelucrării categoriilor speciale de date cu caracter personal.
În prezent, în procedura legislativă se află proiectul privind măsurile de aplicare a GDPR, care conține reguli speciale de prelucrare a acestui tip de date.[2]
Proiectul propune ca prelucrarea datelor biometrice, genetice sau a datelor privind sănătatea să fie în mod expres interzisă dacă prelucrarea este în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri. Consimțământul persoanei vizate nu va putea înlătura această interdicție legală.
Vor putea constitui excepție doar prelucrările efectuate de către sau sub controlul autorităților publice, în condițile stabilite de legile speciale și cu respectarea garanțiilor necesare și adecvate pentru persoana vizată.
Aplicabilă, în prezent, este Decizia ANSPDCP nr. 200/2015 care impune drept cerință suplimentară notificarea prelucrării dacă aceasta vizează categorii speciale de date, în situația în care prelucrarea nu este prevăzută de lege.
Controlul activității de prelucrare
Odată cu aplicarea în mod direct a GDPR de la 25 mai 2018, vom avea parte de noutăți legislative pe planul activității de control, atribuțiile ANSPDCP urmând să fie actualizate pentru a putea satisface scopul reglementării.
Prerogativele de control vor fi cu siguranță extinse, ceea ce constituie un argument în plus pentru ca operatorii să fie deschiși față de prevederile GDPR și să ia măsurile de conformare corespunzătoare.
Activitatea de prelucrare a categoriilor speciale de date cu caracter personal va putea face obiectul unui control din partea ANSPDCP. Potrivit proiectului privind modificarea Legii nr. 102/2005, operatorul poate fi supus chiar unei investigații inopinate din partea autorității.[3]
Personalul de control va fi îndreptățit să ceară și să obțină de la operator, la fața locului și/sau în termenul stabilit, orice informaţii și documente indiferent de suportul de stocare, să ridice copii de pe acestea. În cadrul investigației, personalul de control va avea acces la oricare dintre incintele operatorului, va putea verifica orice echipament, mijloc sau suport de stocare a datelor, necesare desfășurării investigației, în condițiile legii.
Pentru efectuarea investigației, conform noului proiect, ANSPDCP nu are obligația de a obține autorizarea prealabilă a instanței în acest sens. Totuși, dacă personalul de control este împiedicat să efectueze investigația, acesta va trebui să solicite autorizarea judiciară în fața Curții de Apel București.
[1] Art. 4 alin. (1) din H.G. nr. 355/2007 privind supravegherea lucrătorilor.
[2] http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2&idp=16976. Proiectul se află în prezent înregistrat la Camera Deputaților.
[3] http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2&idp=17000. Proiect de lege înregistrat la Camera Deputaților în data de 10.04.2018.
