Home » Prezentarea dovezii vaccinarii sau a testarii. Riscuri si conformitati privind GDPR
Comunicate

Prezentarea dovezii vaccinarii sau a testarii. Riscuri si conformitati privind GDPR

Pe parcursul verii am putut vedea si lua parte la o multime de evenimente – familiale (ex. nunti, botezuri), profesionale (ex. cursuri, conferinte) sau publice (ex. concerte, meciuri de fotbal), care insa, spre deosebire de anii trecuti au fost mai deosebite deoarece au presupus prelucrarea unor date cu caracter special ale noastre (dovada starii de sanatate sau a vaccinarii).
Astfel, potrivit expertului in GDPR, Ionel Orza, antreprenor si fondator GDPR Complet, numerosi terti (diverse institutii publice sau firme), care in alte contexte nu ar fi avut ocazia sa cunoasca aspecte din viata noastra personala (precum este cel al starii de sanatate sau al vaccinarii), vara aceasta au indosariat multe documente privind date cu caracter personal.
Pentru multe persoane aceste prelucrari au ridicat nelamuriri, indoieli sau chiar nemultumiri. Cat sunt de conforme aceste tipuri de prelucrari si ce presupun? Deci haideti sa vedem!
“Ei bine, raspunsul poate parea simplu: „unde-i lege, nu-i tocmeala!” – fiindca exista o hotarare a C.N.S.U. (Hotararea nr. 50) care ne spune ca pot participa la evenimente doar:
– persoanele vaccinate impotriva virusului SARS-CoV-2 si pentru care au trecut 10 zile de la finalizarea schemei complete de imunizare,
– persoane care prezinta rezultatul negativ al unui test RT-PCR nu mai vechi de 72 de ore sau rezultatul negativ certificat al unui test antigen rapid nu mai vechi de 24 de ore,
– respectiv persoane care se afla in perioada cuprinsa intre a 15-a zi si a 180-a zi ulterioara confirmarii cu COVID-19.
In sensul strict al intelesului, da, GDPR-ul (Regulamentul General privind Protectia Datelor) ne spune ca atat timp cat exista o lege nationala care stabileste ca anumite prelucrari trebuie efectuate, aceasta va fi temeiul legal al prelucrarii”, Ionel Orza, antreprenor si fondator GDPR Complet.

Lucrurile insa se complica pentru ca existenta unui temei legal al prelucrarii, nu ne scapa in mod direct de o amenda! De ce? Deoarece odata ce este efectuata prelucrarea, institutia publica sau firma care organizeaza evenimentul are de a face cu prelucrari secundare, asupra careia hotararea mai sus amintita nu ne spune nimic:
– Se pastreaza dovezile vaccinarii sau ale testarii?
– Cat timp se pastreaza?
– Cine le pastreaza si cine are acces la ele?
– Cum vor fi pastrate?
– Ce masuri trebuie sa iau pentru a imi proteja compania..? pentru ca un furt al unor asemenea informatii ar constitui o bresa serioasa de securitate care mi-ar putea atrage o amenda mare
– Trebuie sa imi numesc acum un Responsabil cu Protectia Datelor?
Orice persoana vizata se poate adresa cu o cerere de acces catre institutie sau companie prin care sa ceara lamuriri asupra acestor aspecte, iar operatorul de date este obligat sa ii ofere un raspuns! Cum va da curs acestei solicitari?
Ei bine, multe persoane au cautat raspunsuri la aceste intrebari prin apelarea la profesionisti care ofera consultanta GDPR. Cu toate acestea, raspunsurile nu pot fi in nici un caz generice, aplicate standardizat ci se analizeaza de la caz la caz!
Astfel, spre exemplu daca pana acum poate societatea pe care o detii sau la care lucrezi detine o sala de sport sau un stadion unde se organizeaza evenimente (ex. meciuri) si pana acum, nu existau prelucrari de date, acum in mod constant, lunar te poti trezi ca prelucrezi date cu privire la starea de sanatate a mii si mii de persoane. In acest caz ai nevoie spre exemplu de un Responsabil cu protectia datelor – servicii de DPO externalizat sau sa gasesti o persoana pregatita, intern sau pe care sa o angajezi pentru a putea face fata acestor schimbari si volumului de munca.
“Pentru a ne putea asigura ca ne aflam intr-o situatie de conformitate, trebuie pe de o parte sa avem temei legal si de asemenea sa tratam orice risc ar putea aparea cu privire la colectarea de date (ex. a dovezii vaccinarii). Cum tratam riscurile? In primul rand constientizandu-le! Cea mai utila metoda este instruirea tuturor angajatilor, prin cursuri GDPR generale sau tematice. Din pacate legislatia actuala nu ofera un cadru suficient de clar cu privire la aceste aspecte, astfel ca operatorii sunt nevoiti sa invete pe propria piele si sa dezvolte bune practici. Nu de putine ori si persoanele ale caror date sunt prelucrate sunt nemultumite cu privire la felul in care acestea sunt gestionate. Astfel vedem un conflict care apare deseori in discutiile noastre de zi cu zi, in mass media sau ajung chiar si la ANSPDCP. De oricare latura ne-am afla, a operatorilor sau a persoanelor vizate este bine sa intelegem ca protectia vietii private si a datelor cu caracter personal nu este data la o parte pe perioada pandemiei. Chiar daca prin lege se permit anumite exceptii de la neprelucrarea unor date, trebuie respectate principiile de baza ale R.G.P.D. de fiecare data cand intram in contact cu datele. Astfel, este bine sa tratam datele celor din jurul nostru cu un maxim de responsabilitate si seriozitate, in caz contrar, putand fi trasi la raspundere”, declara Ionel Orza, antreprenor si fondator GDPR Complet.