Dans le contexte du déconfinement visant à assouplir les restrictions et à reprendre les activités professionnelles et commerciales habituelles, en adaptant les méthodes de télétravail conformément aux protocoles d’hygiène relatives au COVID-19 (publiés sur le portail e-albania), le Commissaire au droit à l’information et à la protection des données personnelles a décidé de mettre en évidence et clarifier certains aspects de ces protocoles impliquant le traitement de données personnelles (en particulier ceux liés à la santé), sur une base spécifique de questions/réponses.
Cette communication hypothétique vise en outre à répondre aux préoccupations des parties, qui ont été exprimées au bureau du Commissaire, ainsi qu’à servir de lignes directrices pour les employeurs, les employés, les clients, etc., concernant les droits et obligations découlant de la législation relative à la protection des données personnelles, dans le cadre des traitements qui seront effectués sur la base des protocoles pertinents.
Question 1: Puis-je collecter des données de santé concernant des employés ou visiteurs qui accèdent aux locaux de mon entreprise afin de COVID-19?
Oui. En vertu du Protocole d’hygiène COVID-19, vous devez collecter des informations personnelles et de santé sur les symptômes liés à COVID-19.
Il est clair que chaque employeur a l’obligation de protéger la santé et la vie des employés, ainsi que de toute autre partie qui leur est liée (par exemple, les visiteurs).
En revanche, cela ne signifie pas que vous avez le droit de traiter (collecter, stocker, transmettre, etc.) des données personnelles et sensibles au-delà de ce qui est nécessaire pour détecter les symptômes relatives au coronavirus.
Par conséquent, il est légitime d’interroger les employés et les visiteurs sur les symptômes du COVID-19, ou s’ils ont eu des contacts antérieurs avec des personnes contaminées (ou exposées à des personnes contaminées) ainsi que d’enregistrer ces données, comme spécifié dans les protocoles pertinents. Cependant, un traitement ultérieur des données personnelles et de santé, autre que les exigences de ces protocoles, n’est pas autorisé.
Question 2. Quelles mesures l’employeur devrait-il adopter dans le cadre de la protection des données personnelles?
En votre qualité de responsable du traitement, vous avez l’obligation d’appliquer les principes et obligations définis par la législation relative à la protection des données personnelles, y compris la loi relative à la protection des données personnelles et les instructions adoptés par le Commissaire (en particulier, les instructions n ° 3, 11, 22, 24 et 47-19). Tous ces actes sont publiés, tels que mis à jour, sur le site officiel du bureau du Commissaire (www.idp.al).
De plus, vous devez enregistrer et documenter la transmission de données personnelles et des données sensibles aux institutions d’application de la loi, qui sont chargées d’émettre et d’appliquer les mesures COVID-19.
Question 3. Qui peut être chargé par l’employeur pour le traitement des données personnelles et quelle responsabilité a-t-il dans ce cas?
Vous pouvez trouver la réponse à cette question dans chacun des protocoles sanitaires COVID-19 (vous pouvez vous référer aux protocoles vert, jaune et rouge).
Les personnes chargées de la mise en œuvre des mesures spécifiées dans les protocoles respectifs, y compris la tenue des registres des symptômes relatives au COVID-19, doivent signer une déclaration de confidentialité sur le traitement des données personnelles.
Il convient noter qu’en tout état de cause, les responsables du traitement (employeurs) sont, en principe, responsables des atteintes potentielles à la vie privée des personnes concernées, d’où la législation sur la protection des données personnelles.
Question 4. Le salarié ou le visiteur doit-il être informé du traitement de ses données personnelles le concernant, et si oui, comment?
Les responsables du traitement sont tenus d’informer les catégories concernées de personnes concernées (employé, visiteur, etc.), entre autres, de la finalité du traitement des données à caractère personnel, des catégories de données à caractère personnel en cours de traitement (par exemple symptômes relatives au COVID-19), des personnes effectuant la/les activités de traitement, les destinataires éventuels des données traitées, ainsi que le fait que le traitement des données soit essentiel ou non.
Pour plus de détails, nous vous invitons à consulter les dispositions de la loi relative à la protection des données personnelles (article 18), ainsi que les actes adoptés par le Commissaire, comme expliqué ci-dessus.
Les informations fournies aux personnes concernées doivent être claires, précises et facilement accessibles.
Question 5. Puis-je dire à mon personnel qu’un collègue peut avoir contracté COVID-19?
Il est clair que vous devez tenir le personnel informé de tout cas de COVID-19 identifié dans votre organisation. Il est de votre responsabilité de protéger la santé et la sécurité de vos employés ainsi qu’une obligation de diligence.
Cependant, vous devez faire tout le possible pour éviter de nommer les personnes contaminées et vous ne devez pas fournir plus d’informations que nécessaire. Il devient maintenant clair que l’identification ne serait autorisée que dans les cas où les circonstances pertinentes la rendent inévitable. La charge de la preuve à cet effet incombe au responsable du traitement.
En outre, vous devez également informer les services d’application de la loi, y compris ceux chargés de l’enquête épidémiologique, comme indiqué dans le protocole applicable à votre organisation.
Question 6. Puis-je publier ou divulguer des données personnelles collectées dans le cadre du Protocole sanitaire COVID-19 ?
En principe, les données personnelles ne peuvent pas être rendues publiques, car cela serait considéré comme un traitement illicite.
Cependant, comme indiqué ci-dessus, la divulgation de données personnelles et celles relatives à la santé des salariés/visiteurs, dans le cadre des mesures adoptées pour le confinement du coronavirus, pourrait être autorisée lorsque ces informations personnelles sont partagées avec les institutions chargées de l’application des lois, en charge de la maîtrise de la pandémie conformément à la loi et au protocole en vigueur.
Question 7. Combien de temps dois-je conserver les données relatives à la santé des employés et des visiteurs?
Vous devez prendre en considération que ces informations doivent être conservées aussi longtemps qu’elles sont nécessaires pour répondre aux exigences légales dans le cadre des mesures relatives au confinement du COVID-19.
En tout état de cause, nous considérons que la période de conservation des données ne doit pas dépasser la période d’incubation du virus. Cependant, des délais de traitement plus longs peuvent être légitimes sous réserve d’une disposition légale spécifique (par exemple la législation sur la prévention des infections et des maladies infectieuses).
Une fois l’objectif de traitement atteint, les données utilisées dans ce cadre doivent être supprimées/détruites de manière sécurisé, confidentielle et irréversible. La délégation de cette opération à des tiers ne sera autorisée que si les dispositions de la législation relative à la protection des données personnelles régissant la relation responsable de traitement-sous-traitant sont pleinement observées.
La suppression / destruction des données personnelles doit être correctement documentée.
Question 8. Notre personnel poursuivra ses activités par télétravail pendant l’épidémie. Quelles mesures de sécurité devraient être mises en place à cet effet?
La législation relative à la protection des données personnelles n’entrave pas les différents types d’activités ou de tâches effectuées à travers le télétravail. En conséquence, ces salaries peuvent utiliser des outils de communication personnels ou fournis par l’employeur.
Cependant, les employeurs doivent mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles.
Une attention particulière doit être accordée à l’utilisation de diverses plateformes de communication en ligne (par exemple, des visioconférences), afin d’empêcher tout accès non autorisé aux données personnelles (images vidéo, etc.).
Le taux de violation de la vie privée à la suite d’un traitement non autorisé (comprenez: illégal) de données personnelles lorsque on télétravail est plus élevé et potentiellement plus dangereux que dans des circonstances normales (sur le lieu de travail).
***
Pour plus d’informations sur ce qui précède, vous êtes cordialement invités à consulter les lignes directrices sur les principes et les critères juridiques du traitement des données à caractère personnel dans le cadre des mesures de confinement du COVID-19 publiées précédemment sur notre site officiel (www.idp.al).
Vous êtes également invité à envoyer toute question ou préoccupation concernant le traitement des données personnelles conformément aux protocoles sanitaires relatives au COVID-19 en nous envoyant un courriel à l‘adresse suivante: info@idp.al.