Protecția datelor personale (GDPR) nu a dispărut în perioada stării de urgență provocată de pandemia de COVID-19, în ciuda faptului că România a suspendat prevederile convenției CEDO.
Suspendarea prevederilor Convenției Drepturilor Omului nu este, de fapt, o suspendare, cu o exceptare a anumitor drepturi, explică Cristiana Deca, Managing Partner Decalex. Mai exact, drepturile prevăzute limitativ în articolul 2 din decretul de instituire a stării de urgență.
Instrumentul de suspendare a drepturilor este prevăzut de Convenție la articolul 15 și a mai fost folosit în Franța după atacurile teroriste din Nisa, ca și în Ucraina după izbucnirea războiului pentru Crimeea. Nu este un cec în alb oferit statelor.
Derogarea are loc într-un cadru creat de Convenție și, cel mai important aspect, este temporară – Cristiana Deca, Managing Partner Decalex
Limitarea dreptului la viață privată, prevăzută în decretul de instituire a stării de urgență, vizează în special situația în care autoritățile pot colecta mai multe date despre cetățenii infectați cu coronavirus sau despre cei care vin din zone roșii sau galbene și intră în carantină. Acest aspect nu are însă legătură cu aplicarea GDPR, care a rămas la fel ca până acum, spune Cristiana Deca.
De altfel, autoritatea a făcut recomandări specifice cu trebuie colectate și prelucrate datele în această perioadă. Din perspectiva obligațiilor pe care le au angajatorii, aceștia au în continuare obligația prelucrării datelor doar în contextul în care există un temei ce poate fi justificat, ori starea de urgență nu justifică orice prelucrare.
Pentru a fi în regulă în prezent, companiile trebuie să includă specialistul în protecția datelor în echipa de criză, astfel încât toate măsurile pe care le ia compania să fie analizate și prin prisma prelucrării și stocării de date personale.
Dacă, în scop de prevenție, vor să prelucreze date de sănătate despre angajați, prin declarații pe propria răspundere de exemplu, atunci aceștia vor trebui să facă testul de balanță între dreptul la viață privată al angajatului și interesele companiei. „Nu în toate cazurile se pot justifica aceste măsuri și tocmai de aceea soluțiile aplicate trebuie să fie gândite de la caz la caz”, spune Cristiana Deca.
Cel mai important lucru pe care îl pot face companiile este să gândească scenarii de criză care afectează cât mai puțin drepturile angajaților.
Costurile aferente GDPR pot fi mari pentru companiile nedigitalizate până la declanșarea pandemiei, dar fiind faptul că odată cu instaurarea stării de urgență a apărut nevoie lucrului în regim de telemuncă. Aceasta presupune investiții în sistemele de securitate și echipamente de lucru de la distanță.
„Trebuie luat în calcul și obiectul de activitate al companiei atunci când vorbim de costuri, pentru unele fiind necesare măsuri organizatorice fizice aplicabile mediilor de producție” explică Deca. Aici majoritatea măsurilor au fost pentru prevenția contaminării mediilor, deci a presupus altfel de resurse decât cele digitale.
Chiar dacă toate companiile au afectate financiar de pandemie, principiile GDPR trebuie respectate ca și până acum. „Chiar mai mult decât până acum, fiind o perioadă în care dreptul la viață privată este sub amenințare, cred că toate companiile ar trebui să prevadă măsuri suplimentare de protecție a angajaților din perspectiva GDPR”, arată Cristiana Deca.
Vezi aici interviul cu Cristiana Deca pentru Adevărul financiar live:
