Pe parcursul verii am putut vedea și lua parte la o mulțime de evenimente – familiale (ex. nunți, botezuri), profesionale (ex. cursuri, conferințe) sau publice (ex. concerte, meciuri de fotbal), care însă, spre deosebire de anii trecuți au fost mai deosebite deoarece au presupus prelucrarea unor date cu caracter special ale noastre (dovada stării de sănătate sau a vaccinării).
Astfel, potrivit expertului în GDPR, Ionel Orza, antreprenor și fondator GDPR Complet, numeroși terți (diverse instituții publice sau firme), care în alte contexte nu ar fi avut ocazia să cunoască aspecte din viața noastră personală (precum este cel al stării de sănătate sau al vaccinării), vara aceasta au îndosariat multe documente privind date cu caracter personal.
Pentru multe persoane aceste prelucrări au ridicat nelămuriri, îndoieli sau chiar nemulțumiri. Cât sunt de conforme aceste tipuri de prelucrări și ce presupun? Deci haideți să vedem!
“Ei bine, răspunsul poate părea simplu: „unde-i lege, nu-i tocmeală!” – fiindcă există o hotărâre a C.N.S.U. (Hotărârea nr. 50) care ne spune că pot participa la evenimente doar:
- persoanele vaccinate împotriva virusului SARS-CoV-2 şi pentru care au trecut 10 zile de la finalizarea schemei complete de imunizare,
- persoane care prezintă rezultatul negativ al unui test RT-PCR nu mai vechi de 72 de ore sau rezultatul negativ certificat al unui test antigen rapid nu mai vechi de 24 de ore,
- respectiv persoane care se află în perioada cuprinsă între a 15-a zi şi a 180-a zi ulterioară confirmării cu COVID-19.
În sensul strict al înțelesului, da, GDPR-ul (Regulamentul General privind Protecția Datelor) ne spune că atât timp cât există o lege națională care stabilește că anumite prelucrări trebuie efectuate, aceasta va fi temeiul legal al prelucrării”, Ionel Orza, antreprenor și fondator GDPR Complet.
Lucrurile însă se complică pentru că existența unui temei legal al prelucrării, nu ne scapă în mod direct de o amendă! De ce? Deoarece odată ce este efectuată prelucrarea, instituția publică sau firma care organizează evenimentul are de a face cu prelucrări secundare, asupra căreia hotărârea mai sus amintită nu ne spune nimic:
- Se păstrează dovezile vaccinării sau ale testării?
- Cât timp se păstrează?
- Cine le păstrează și cine are acces la ele?
- Cum vor fi păstrate?
- Ce măsuri trebuie să iau pentru a îmi proteja compania..? pentru că un furt al unor asemenea informații ar constitui o breșă serioasă de securitate care mi-ar putea atrage o amendă mare
- Trebuie să îmi numesc acum un Responsabil cu Protecția Datelor?
Orice persoană vizată se poate adresa cu o cerere de acces către instituție sau companie prin care să ceară lămuriri asupra acestor aspecte, iar operatorul de date este obligat să îi ofere un răspuns! Cum va da curs acestei solicitări?
Ei bine, multe persoane au căutat răspunsuri la aceste întrebări prin apelarea la profesioniști care oferă consultanță GDPR. Cu toate acestea, răspunsurile nu pot fi în nici un caz generice, aplicate standardizat ci se analizează de la caz la caz!
Astfel, spre exemplu dacă până acum poate societatea pe care o deții sau la care lucrezi deține o sala de sport sau un stadion unde se organizează evenimente (ex. meciuri) și până acum, nu existau prelucrări de date, acum în mod constant, lunar te poți trezi că prelucrezi date cu privire la starea de sănătate a mii și mii de persoane. În acest caz ai nevoie spre exemplu de un Responsabil cu protecția datelor – servicii de DPO externalizat sau să găsești o persoană pregătită, intern sau pe care să o angajezi pentru a putea face față acestor schimbări și volumului de muncă.
“Pentru a ne putea asigura că ne aflăm într-o situație de conformitate, trebuie pe de o parte să avem temei legal și de asemenea să tratăm orice risc ar putea apărea cu privire la colectarea de date (ex. a dovezii vaccinării). Cum tratăm riscurile? În primul rând conștientizându-le! Cea mai utilă metodă este instruirea tuturor angajaților, prin cursuri GDPR generale sau tematice. Din păcate legislația actuală nu oferă un cadru suficient de clar cu privire la aceste aspecte, astfel că operatorii sunt nevoiți să învețe pe propria piele și să dezvolte bune practici. Nu de puține ori și persoanele ale căror date sunt prelucrate sunt nemulțumite cu privire la felul în care acestea sunt gestionate. Astfel vedem un conflict care apare deseori în discuțiile noastre de zi cu zi, în mass media sau ajung chiar și la ANSPDCP. De oricare latură ne-am afla, a operatorilor sau a persoanelor vizate este bine să înțelegem că protecția vieții private și a datelor cu caracter personal nu este dată la o parte pe perioada pandemiei. Chiar dacă prin lege se permit anumite excepții de la neprelucrarea unor date, trebuie respectate principiile de bază ale R.G.P.D. de fiecare dată când intrăm în contact cu datele. Astfel, este bine să tratăm datele celor din jurul nostru cu un maxim de responsabilitate și seriozitate, în caz contrar, putând fi trași la răspundere”, declară Ionel Orza, antreprenor și fondator GDPR Complet.