L’Ispettorato statale dei dati, in risposta a una domanda dei cittadini, “Esiste una base giuridica per il trattamento dei dati personali da parte del datore di lavoro per scoprire l’atteggiamento dei dipendenti sulla disponibilità a essere vaccinati contro il Covid-19?” ha spiegato che, a seguito delle domande ricevute, sono state identificate e distinte due finalità correlate ma diverse di elaborazione delle informazioni per l’indagine sui dipendenti: presentare vaccini contro Covid-19 alle autorità competenti.
Dal 5 febbraio 2021, ogni abitante della Lettonia ha potuto iniziare a richiedere un vaccino contro il Covid-19. La vaccinazione contro il Covid-19 è una scelta libera per tutti. Secondo le informazioni disponibili al pubblico, i residenti lettoni possono registrarsi per il vaccino in quattro modi e uno di questi è un elenco di dipendenti creato e presentato dal datore di lavoro, tuttavia, le autorità responsabili invitano i residenti a fare domanda individualmente – senza attendere azione del datore di lavoro.
In considerazione dell’iniziativa presa dai datori di lavoro per proteggere i propri dipendenti e clienti conducendo sondaggi tra i dipendenti al fine di preparare e presentare un elenco di dipendenti alle autorità responsabili in modo tempestivo, l’Ispettorato dei dati ha preparato una spiegazione per rispondere alla domanda posta non solo dai cittadini ma anche da loro stessi datori di lavoro:
- quale delle basi giuridiche di cui all’articolo 6, paragrafo 1, del regolamento generale sulla protezione dei dati (di seguito, il regolamento) è applicabile all’elenco dei dipendenti compilato dal datore di lavoro per presentare una richiesta alle autorità competenti per un vaccino contro il Covid-19 (vaccinazione collettiva contro il Covid -19)?
Una delle condizioni fondamentali per avviare il trattamento dei dati personali è quella di definire la finalità (goal), che nella specifica situazione è quella di organizzare la vaccinazione collettiva contro il Covid-19.
L’Ispettorato dei dati ricorda che il nome di un dipendente è dato personale ai sensi del regolamento generale sulla protezione dei dati, mentre la raccolta, l’elaborazione e la trasmissione di tali dati personali alle autorità responsabili della vaccinazione collettiva contro Covid-19 è trattamento dei dati personali.
Durante il trattamento dei dati personali da parte di un datore di lavoro, devono essere osservati i principi del trattamento dei dati personali di cui all’articolo 5 del regolamento e secondo essi i dati personali sono adeguati, pertinenti e includono solo ciò che è necessario allo scopo (“minimizzazione dei dati” ) .
Una volta determinato lo scopo (scopo) del trattamento dei dati personali e la quantità di dati necessari per raggiungere lo scopo (obiettivo), il datore di lavoro deve valutare la base giuridica applicabile al trattamento dei dati personali – il trattamento dei dati personali può essere riconosciuto come lecito solo se il trattamento dei dati personali è almeno uno dei motivi di cui all’articolo 6, paragrafo 1, del regolamento è applicabile :
- consenso, esecuzione del contratto, obbligo legale, interesse pubblico, tutela di interessi vitali e rispetto di interessi legittimi.
L’Ispettorato dei dati ricorda che il regolamento impone anche altri obblighi al datore di lavoro durante il trattamento dei dati, incluso il fatto che per impostazione predefinita i dati vengono elaborati solo per tale scopo (scopo) (ciò significa che le informazioni ottenute non vengono elaborate per un altro scopo imprevisto, devono essere garantiti requisiti tecnici e organizzativi adeguati, nonché il fatto che, per impostazione predefinita, i dati personali non sono messi a disposizione di un numero indefinito di persone fisiche senza la partecipazione di una persona.
Alla luce delle informazioni a disposizione dell’Ispettorato dei dati e di quanto sopra, il datore di lavoro, quando compila un elenco di dipendenti allo scopo di organizzare la vaccinazione collettiva contro Covid-19, elaborando così i dati personali del dipendente (nome), può applicare solo l’articolo 6 articolo 1, paragrafo 1, lettera a) – il consenso dato da ciascun dipendente al trattamento dei dati personali.
Inoltre, il datore di lavoro deve tenere conto del fatto che il dipendente può revocarlo in qualsiasi momento dopo aver dato il proprio consenso e che in nessun caso ciò può influire negativamente sul dipendente.
L’Ispettorato dei dati ricorda che, affinché il consenso di un lavoratore sia conforme al Regolamento, dovrebbe essere prestato in modo chiaramente, ovvero il consenso libero, specifico, informato su come verranno trattati i suoi dati personali, ad esempio, mediante comunicazione scritta, compresa la comunicazione elettronica o orale.
Il consenso deve essere dato volontariamente (liberamente), il che significa la decisione volontaria di un individuo di capacità illimitata, che non è influenzata da alcuna coercizione (coercizione, come un obbligo imposto dal datore di lavoro o un divieto di partecipare al lavoro se il dipendente non ha stato vaccinato contro Covid-19).
Si precisa che quando il consenso è ottenuto nel pieno rispetto delle prescrizioni del Regolamento, è uno strumento che conferisce al dipendente il diritto di controllare se i suoi dati personali saranno trattati o meno, inclusa la revoca del suo consenso in qualsiasi momento, senza influire negativamente sul dipendente.