Amendements n. 309 au règlement du Conseil des Ministres n. 360 du 9 juin 2020 adopté par le Conseil des Ministres le 18 mai 2021 « Mesures de sécurité épidémiologique pour limiter la diffusion de l’infection de COVID-19 » (ci-après règlement) établit que les lieux de travail, les groupes artistiques et sportifs amateurs jusqu’à 20 personnes, ainsi que les personnes participant à une transmission, ont été vaccinés ou ont contracté le COVID-19, ils peuvent également ne pas utiliser de masques et observer une distance de deux mètres quand ils sont dans la même pièce.

En ce qui concerne le traitement des données sanitaires, nous expliquons que:

Les informations sur l’état de santé d’une personne, par exemple si un employé a été infecté par le COVID-19 ou a été vacciné ou non contre le COVID-19, sont des catégories particulières de données à caractère personnel en vertu du règlement général sur la protection des données (ce qui suit – règlement), tandis que l’acquisition des informations, leur insertion dans des documents et successivement dans un système d’archivage (file) ou la conservation de ces informations dans un système électronique est un traitement de données à caractère personnel. Le traitement des informations sanitaires à caractère personnel ne peut être effectué que pour des raisons prévues aux articles 6 et 9 du règlement.

La base juridique pour obtenir des informations sur la situation vaccinale ou des informations sur le COVID-19 dans un cas particulier est l’article 6, paragraphe 1, point e), du règlement – le traitement est nécessaire à l’exécution d’un rôle d’intérêt public, la finalité du traitement est déterminée conformément à la loi et à l’article 9, paragraphe 2, point i) – ] le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité [1].

Les dispositions prévoient un certain groupe de personnes (entrepreneurs par leurs employés, groupes artistiques amateurs par leurs membres et groupes sportifs amateurs par leurs membres, émetteurs par des participants à une émission) et certaines circonstances (lieux de travail, participation à des événements collectifs (formation, essais), transmission) lorsque des informations sur les données sanitaires susmentionnées peuvent être demandées. Ce n’est que sous cette spécification personnes dans ces circonstances peuvent être appelés à produire le test du vaccin ou de l’exposition au COVID-19. Autrement, les entreprises, les institutions ou les fournisseurs de services ne peuvent pas actuellement demander des informations parce que la législation ne prévoit pas ce droit.

Étant donné que les règlements ne prévoient pas de procédure claire pour garantir que les individus satisfont aux critères énoncés dans les règlements, l’Inspection formule les recommandations suivantes en ce qui concerne le respect des principes du traitement des données à caractère personnel.

Toutefois, le fait que les lois et règlements émis après la situation épidémiologique du pays laissent à certains responsables du traitement (entrepreneur, entraîneur d’une équipe ou chef d’équipe amateur) une base juridique claire pour le traitement des données, ils doivent également respecter d’autres dispositions du règlement. Dans ce cas, l’Autorité attire l’attention sur les principes de traitement établis depuis l’article 5 du règlement, qui souligne en particulier que les données doivent être traitées de manière licite, loyale et transparente à l’égard de la personne concernée.

Étant donné les informations publiées sur le site du ministère de la Santé qu’une personne sera en mesure de prouve de vaccination et de l’exposition au COVID-19 présenté une lettre de vaccins, une presse e-health ou un certificat médical générique ou d’une autorité de vaccination, cela signifie que le responsable du traitement (employeur, entraîneur d’une équipe ou chef d’équipe amateur) [2] ne peut traiter que la quantité de données à caractère personnel nécessaire à la réalisation de la finalité, c’est-à-dire pour établir le fait que la personne remplit les conditions du règlement. Pour établir qu’une personne a été vaccinée ou a contracté le COVID-19, il n’est pas nécessaire de copier des documents justificatifs, il suffit de noter dans le système (ou dans le registre) le nom de la personne et de se conformer aux cas de l’article 6, 32 et 18 du règlement, ainsi traité les données à caractère personnel dans la mesure minimale et en même temps en atteignant la finalité.

De plus, nous devons nous rappeler que, toutefois, l’existence d’un cadre législatif clair pour le traitement de données à caractère personnel dans un but spécifique doit permettre d’assurer la destruction opportune et correcte des données à l’expiration de leur période d’annulation, qui demande une meilleure évaluation pour garantir les contrôles afin de s’assurer que les données ne sont pas conservées au-delà de ce qui est nécessaire.

Afin de garantir que le traitement des données à caractère personnel est conforme au règlement européen m. 2016/679:

Vous n’avez pas à :

1. Copier le test de vaccination ou d’exposition au COVID-19
2. Écraser tout le contenu des informations contenues dans les documents de vaccination contre le COVID-19. Par exemple, l’organisation n’a pas besoin d’enregistrer la date de la vaccination, le vaccin spécifique, ou si la personne a eu le vaccin ou la maladie;
3. Conserver les informations sur une personne le plus nécessaire pour atteindre le but. Par exemple, comme les informations changent, une organisation peut mettre à jour les informations mensuellement, en supprimant la liste préalable et en annulant la dernière liste lorsque ces dispositions n’existent plus;
4. Obtenir et transférer des informations à des tiers. Par exemple, il n’y a aucune raison légitime pour que l’employeur demande à un centre de vaccination des informations sur les employés vaccinés, et il n’y a aucune raison de transmettre ces informations à ses partenaires commerciaux ou à d’autres clubs amateurs ou sportifs.

Il peut :

1. Tenir un registre des personnes qui ont été vaccinées ou qui ont contracté le COVID-19, avec le nom et une note indiquant que la personne répond aux critères énoncés dans les règlements;
2. Former le personnel en poste à informer les personnes responsables si le statut d’un membre du personnel (membre du club) change et ne répond pas aux critères du règlement;
3. Tenir un registre des employés qui travaillent à temps plein. Si un employé travaille à distance, il n’y a aucune raison d’exiger qu’il remplisse les critères des règles.

L’inspection note que les règlements ne demandent pas l’enregistrement de l’admissibilité (dans un registre ou dans un système d’information). Il est possible d’effectuer un contrôle fou du respect des critères d’admissibilité, chaque fois, sur la base d’un certificat, sans aucun traitement écrit de données personnelles.

Dans ces cas, ce traitement de données à caractère personnel ne sera pas soumis aux exigences du règlement, dans la mesure où aucun enregistrement sous forme de fichier ou électronique ne sera conservé.

Si l’employeur, l’entraîneur de l’équipe ou le responsable d’une équipe amateur n’enregistre pas d’informations sur une personne spécifique pour une certaine période de temps, mais chaque fois qu’il organise un événement, une rencontre, une épreuve, un entraînement dans un cadre spécifique de maximum 20 personnes, contrefait un document certifiant que la personne a été vaccinée ou a contracté le COVID-19, ce traitement de données à caractère personnel ne relève pas du règlement général sur la protection des données et des dispositions applicables.

Dans les cas où les collectifs n’ont pas été importants et où il est possible d’identifier 20 individus spécifiques, l’Inspection ne voit pas la nécessité d’un enregistrement écrit spécifique, parce que la vérification des critères du règlement peut également être assurée par la vérification en fou des certificats, en réduisant au minimum le traitement des données personnelles, sans devoir appliquer les exigences du règlement de l’activité spécifique. Par exemple, si une équipe sportive compte 20 membres (une équipe) qui s’entraînent chaque semaine, un entraîneur qui connaît tous les membres de l’équipe et a contrôlé une fois que tous les membres de l’équipe ont été vaccinés n’aurait pas besoin de demander l’essai de chaque session d’entraînement, parce que dans ce cas le respect du critère ne peut pas changer. Cela s’appliquerait également dans le cas d’une personne participant à une transmission.

[1] le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA LETTONIA