Cum programăm angajații la vaccinul împotriva COVID-19? (model notă de informare GDPR și recomandări)
Societatea în care trăim s-a schimbat radical, fiind supusă și în prezent la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un salt mare către digitalizare. Vorbim astăzi mai mult ca niciodată despre telemuncă, telemedicină, teleeducație și mai ales despre vaccinare și știri false.
Mediul de afaceri din România, indiferent de ramura de activitate, a resimțit din plin efectele noii pandemii. Astfel, anumite companii și-au suspendat activitatea integral, în timp ce altele se află în situația de a implementa noi procese interne și modalități de lucru la distanță pentru angajați, ținând cont de regulile de izolare, instaurate prin ordonanțele militare emise. Prioritatea a fost, cum este și normal, restabilirea rapidă a funcționării companiilor și a instituțiilor publice, iar în acest context cu siguranța s-au făcut compromisuri privind protectia datelor, compromisuri ce vor trebui însă rezolvate pe masura ce situatia se îndreaptă treptat spre normalitate.
Din perspectiva de business, multe dintre companiile din România, au înțeles faptul că, pentru a reuși să treacă cu succes peste această perioadă, trebuie să își adapteze modul de lucru. Putem spune ca pandemia a acționat ca un accelerator pentru deciziile de adoptare de noi tehnologii pentru ca, în doar cateva luni, a devenit clar că digitalizarea nu mai este optionala, ci absolut necesara pentru supravietuirea companiilor pentru continuitatea serviciilor publice asigurate de autorități. Acest lucru a făcut ca proiecte care, în mod uzual ar fi luat chiar și ani de zile pentru analiză și planificare, sa se lanseze în regim de urgență, fiind practic imposibil sa se ia în considerare toate efectele “secundare”.
Trebuie să realizăm și că toată această digitalizare, pe repede înainte, vine la pachet cu asumarea unor riscuri de care mi-aș dori să fim conștienți încă de la început. Urgența nu înseamnă însă renuntarea la precauții și la analiza prealabilă. Chiar și cu timp și resurse limitate se poate acționa asupra reducerii riscului prin identificarea proceselor a căror digitalizare are impact maxim pentru funcționarea companiei și alocarea cu prioritate a resurselor de analiză și control al riscului către acestea.
Începutul anului 2021 a introdus o nouă provocare, atât pentru companii cât și pentru instituțiile publice: programarea angajaților, prin platforma www.vaccinare-covid.gov.ro, pentru vaccinarea împotriva COVID19. Trebuie menționat încă de la început că vaccinarea angajaților este gratuită, voluntară/ neobligatorie, și că adeverința doveditoare nu este eliberată cu scopul de a condiționa sau restricționa ulterior drepturile persoanelor vaccinate.
Practic, statul a introdus o nouă sarcină angajatorilor, pentru a putea fi realizate aceste programari, având la bază motivele de interes public în domeniul sănătății publice (Art.9 Alin. 2 lit.i din Regulamentul 679/2016). Astfel, angajatorul prelucrează suplimentar datele personale necesare obținerii acestei programări, după o procedură de lucru proprie, care ar trebui să respecte fidel principiile și prevederile GDPR. (vezi mai jos etapele recomandate).
Conform metodologiei de funcționare a acestei platforme, programările se fac exclusiv de către persoanele juridice pentru etapa 1 (persoanele incluse în categoria lucrătorilor din domeniile sănătății și social – sistem public și privat), cât și pentru etapa 2 (populația cu grad de risc și lucrători care desfășoară activități în domenii-cheie, esențiale). Pentru etapele 2 și 3, specialiștii precum medicii de familie sunt implicați în procesul de obținere a unei programări în baza unei solicitări din partea pacientului.
Astfel, angajații care doresc să se vaccineze pot contacta direct (prin e-mail, telefon, sms, mesagerie) un responsabil desemnat de angajator și pot să solicite obținerea unei programări care se materializează printr-un document denumit recipisă. Responsabilul desemnat de angajator are posibilitatea de a trimite această recipisă pe e-mailul angajatului, direct din platformă, fără a mai fi necesară descărcarea.
În acest caz punctual am identificat temeiul legal de prelucrare a datelor cu caracter personal ca fiind obligatia contractuala conform Art. 6 Alin. 1 lit. b) din Regulamentul 679/2016 având în vedere că prelucrarea este necesară pentru îndeplinirea de către angajator a obligațiilor trasate de autoritățile statului privind obținerea, în numele angajatului, a unei programari pentru vaccinarea împotriva COVID19.
Constatăm faptul că responsabilul desemnat de angajator obține dreptul de a prelucra datele personale în baza acordului prealabil, oferit explicit și informat de către angajat, în momentul primirii acestei solicitări și a informațiilor necesare obținerii programării. Considerăm excesivă și nepotrivită metoda aleasă de o serie de angajatori de a obține un consimțământ scris din partea angajatului privind prelucrarea datelor pentru obținerea programării și am putea vorbi chiar de un consimțământ viciat din moment ce nu este o alegere liberă autentică.
Din punct de vedere al securității și acurateței datelor, pentru a evita tentativele de fraudă, toate documentele încărcate pe Platforma națională de programare cu privire la vaccinarea împotriva COVID-19 sunt asumate prin semnarea cu un certificat digital calificat deținut de reprezentantul societății. După verificarea identității reprezentantului, acesta semnează electronic și încarcă documentul denumit “Declarație privind reprezentarea persoanei juridice” care prevede printre altele că
- este reprezentantul legal al persoanei juridice
- asumarea categoriei de risc din care face parte persoana juridică
- declarația că programarea se efectuează în baza acordului prealabil al angajatului, datele completate sunt corecte și corespund realității, iar persoanele programate se află într-o relație de colaborare cu persoana juridică menționată.
Suplimentar, pe lângă această declarație a reprezentantului persoanei juridice, responsabilul cu introducerea acestor date în platformă, își asumă următoarea declarație, printr-o bifă obligatorie,de fiecare dată când validează o nouă programare:
- “Cunoscând prevederile art. 326 din Codul penal privind falsul în declarații, declar pe propria răspundere faptul că am dreptul de a programa o persoană în vederea efectuării vaccinului împotriva COVID19, ale cărei date le-am completat mai sus, în baza acordului prealabil al acesteia, iar datele completata sunt corecte și corespund realității.”
ETAPELE RECOMANDATE
- Desemnarea unui responsabil la nivelul societății/instituției privind operarea datelor angajatilor în Platforma națională de programare cu privire la vaccinarea împotriva COVID-19 – www.vaccinare-covid.gov.ro. Asigurați-vă că responsabilul cu gestionarea platformei de programare la vaccinare are semnat un acord de confidențialitate privind protecția datelor personale și ca a fost instruit referitor la protectia datelor personale.
- Crearea contului în platformă
- Transmiterea/Afișarea către toți angajații a unei note de informare privind prelucrarea datelor în situația în care aceștia doresc și solicită să se vaccineze (vezi model mai jos)
- Primirea unei solicitări din partea angajatului de a fi programat la vaccinare
- Prelucrarea datelor personale prin introducerea informațiilor solicitate direct în platformă cu scopul de a obține o programare. Dovada acestei programări este un document denumit “confirmare programare” (recipisă).
- Transmiterea recipisei prin email sau înmânarea unui exemplar tipărit către angajat
- Accesarea platformei pentru gestionarea și evidenta programarilor (reprogramare în cazul respingerii la triaj sau ștergerea programarilor în cazul în care angajații se răzgândesc).
SFATURI ȘI RECOMANDĂRI
- Nu întocmiți tabele nominale care să circule printre angajați. Aceste documente pot fi fotocopiate sau pierdute și pot conduce astfel la incidente de securitate a datelor cu caracter personal
- Eliminați orice documentele inutile (principiul minimizării) și stabiliti o procedura prin care angajatul sa contacteze direct responsabilul cu programarile pentru vaccinare
- Asigurați-vă că toți angajații au acces la nota de informare și că nu depind de colegi pentru a obține aceste informații
- Asigurați-vă că angajatul care dorește să se vaccineze împotriva COVID-19 trimite o solicitare responsabilului cu introducerea datelor în platforma, numai după ce citește nota de informare
- Pentru o perioadă scurtă, până la obținerea statusului de programare “finalizat”, puteți păstra dovada solicitării din partea angajatului. După primirea statusului “finalizat” din platformă, solicitarea salariatului pentru programare va fi distrusă ireversibil (fizic, dacă este pe hârtie, prin ștergerea e-mailului și golirea “coșului de gunoi” sau prin ștergerea SMS-ului sau a oricărui tip de mesaj prin care s-a transmis această solicitare etc.).
- Afișați nota de informare ca sa poată fi citită și de personalul care nu are o adresa de email proprie.
- Nu înregistrați în platformă toți angajații. Înregistrați doar pe cei care doresc să se vaccineze și care au transmis o solicitare de programare.
- Nu colectați solicitări de programari de pe adrese de email care nu identifică o singură persoană. Exemplu: o solicitare de pe adresa secretariat@firma.ro, office@firma.ro sau contact@firma.ro va putea fi citită de toți angajații care au acces la respectiva adresă de e-mail. Utilizati în schimb adresele nume@firma.ro. Prin excepție, se pot folosi aceste adrese de e-mail doar dacă la nivelul entității există un singur angajat care are acces la acestea, iar respectivul salariat este desemnat și responsabil cu programările pentru vaccinare.
- Instruiți responsabilul cu introducerea programarilor în platformă din punct de vedere al protectiei datelor personale (modul de stocare a parolei de acces în platforma, securizarea echipamentului de pe care se face accesul în platformă, ștergerea documentelor salvate din platformă sau a solicitărilor primite de la angajați, trimiterea recipiselor pe adresele de e-mail corecte ale angajaților etc.)
- Pentru introducerea unei programări este nevoie de CNP-ul persoanei și date din actul de identitate. NU solicitați copii după actul de identitate să va fie trimise pe rețele de socializare sau mesagerie. Aceste date necesare pentru programare se vor transmite exclusiv prin email pe adresa profesională a responsabilului cu programările, nu pe adresa de e-mail personală a acestuia.
- Dacă prelucrați datele de identificare dintr-o bază de date existentă, asigurați-vă că datele sunt corecte și corespund realității
- Nu salvați local pe calculator documente de confirmare privind programarea la vaccinul împotriva COVID-19. Trimiteți aceste documente direct pe email angajatului, direct din platformă. Dacă nu este posibil acest lucru, înmânați un exemplar tipărit, într-un singur exemplar, direct angajatului, nu prin intermediari.
- Luați toate măsurile tehnice și organizatorice necesare pentru protectia datelor personale ale angajatilor care optează pentru vaccinare.
SALVEAZĂ DOCUMENT ÎN FORMAT EDITABIL
MODEL
NOTA DE INFORMARE a angajatilor Societatii/ Instituției ___________
în contextul prelucrării datelor prin intermediul Platformei naționale de programare cu privire la vaccinarea împotriva COVID-19
-
- Identitatea și datele de contact ale operatorului: completati
- Datele de contact ale responsabilului cu protecția datelor: completați sau precizați că nu vă încadrați în prevederile GDPR privind desemnarea unui DPO, dar persoanele vizate se pot adresa entității dvs. pentru probleme ce privesc prelucrarea datelor personale la datele de contact ale operatorului.
- Datele de contact ale responsabilului cu introducerea datelor în platforma www.vaccinare-covid.gov.ro : completati
- Tipul de date cu caracter personal prelucrate: numele și prenumele, CNP, seria și numărul actului de identitate, telefon mobil, adresa de email, județul și localitatea de rezidență, detaliile programării la vaccin (dată, oră, centru de vaccinare, status programare – programat, finalizat, ratat, anulat).
- Scopul în care sunt prelucrate datele cu caracter personal: obținerea unei programari pentru angajat în vederea vaccinării împotriva COVID19. Nu exista alte scopuri privind prelucrarea datelor cu caracter personal.
- Temeiul juridic al prelucrări este obligația contractuala conform Art. 6 Alin. 1 lit. b) din Regulamentul 679/2016 având în vedere faptul că prelucrarea datelor se face în baza solicitării salariatului și este necesară pentru îndeplinirea de către angajator a obligațiilor trasate de autoritățile statului privind obținerea în numele angajatului a unei programari pentru vaccinarea împotriva COVID19. Simpla solicitare din partea salariatului pentru programarea la vaccinare este asimilabilă acordului acestuia, oferit prealabil, așa cum se solicită pe platforma de programări. Responsabilul desemnat de angajator obține dreptul de a prelucra datele personale în baza acordului prealabil, oferit explicit și informat de către angajat, în momentul primirii acestei solicitări și a informațiilor necesare obținerii programării. Datele personale nu se prelucrează în baza Art. 6 Alin. 1 lit. a) din Regulamentul 679/2016 și toate activitățile de prelucrare a datelor cu caracter personal desfășurate în cadrul sau în legătură cu site-ului www.vaccinare-covid.gov.ro sunt în acord cu prevederile Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulatie a acestor date şi cu Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016
- Destinatarii datelor cu caracter personal: Platforma www.vaccinare-covid.gov.ro este administrată de către Ministerul Sănătății și dezvoltată de către Serviciul de Telecomunicații Speciale. Angajatorul nu are intenția de a transfera date cu caracter personal către o țară terță sau o organizație internațională
- Perioada pentru care vor fi stocate datele cu caracter personal: La nivelul angajatorului nu se ține o evidență privind angajații care au solicitat programarea pentru vaccinarea împotriva COVID-19 sau a celor cărora li s-a administrat acest vaccin. Datele programărilor sunt stocate exclusiv în platforma www.vaccinare-covid.gov.ro care prevede în politica de confidențialitate că “Datele cu caracter personal sunt păstrate într-o formă care permite identificarea numai pentru perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele.”
- Angajatul are dreptul de a solicita angajatorului, în ceea ce privește datele cu caracter personal, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor. Chiar dacă datele personale nu se prelucrează în baza consimtamantului angajatului, având în vedere că vaccinarea este gratuită, voluntară/ neobligatorie, acesta are dreptul de a se răzgândi și să solicite ștergerea programarilor și a datelor din lista de beneficiari înainte de a i se administra vaccinul și nu există repercusiuni de ordin administrativ din partea angajatorului. După marcarea statusului programării ca “finalizat”, angajatorul nu mai poate anula programarea sau șterge persoana din baza de date.
- Nu există la nivelul angajatorului un proces decizional automatizat pe baza acestor date personale, incluzând crearea de profiluri.
Numai după parcurgerea informațiilor de mai sus, în cazul în care angajatul dorește să se vaccineze împotriva COVID-19, aceasta va transmite o solicitare de programare către responsabilul desemnat de angajator, care are dreptul de a face programarea în baza acordului prealabil oferit prin această solicitare.
Numele și Prenumele responsabil programare: completati
Email: completati
Telefon: completati