Opinions Prior Check and Prior Consultations

Avis du 4 juillet 2008 sur la notification d'un contrôle préalable à propos du dossier "service conjoint médico-social" (Dossier 2007-004)
Le dossier en l'espèce concerne de différents traitements qui ont pour objet d'assurer le suivi médical des membres du personnel du CESE et du CdR respectivement et d'évaluer l'aptitude à exercer leur fonction. Leurs finalités sont les visites médicales d'embauche, les visites médicales annuelles, les consultations et urgences, le contrôle des absences, les congés spéciaux, les commissions d'invalidités, les expertises et contrôles, les questions liées à la médecine du travail, les rapports médicaux spécialisés et les factures correspondantes, l'échange des dossiers médicaux entre institutions, les certificats ou rapports médicaux demandant une traduction et enfin l'examen ophtalmologique du personnel travaillant sur écran. 

Les traitements effectués tombent sous le champ d'application de l'article 27.2 du règlement 45/2001, car les données tombent indubitablement dans le champ des "données relatives à la santé" et des données médicales.

Dans le cadre de ses recommandations, le CEPD a exigé inter alia que le nouveau questionnaire médical de la visite d'embauche approuvé par le Collège médical interinstitutionnel soit adopté, et qu'une période de conservation des données concernant les personnes externes (visiteurs, freelance, personnels de firmes externes par exemple) soit établisse à la lumière de la finalité pour laquelle leurs données ont été collectées. En outre, le CEPD a recommandé que la pratique actuelle d'envoyer la facture directement au service médical du Comité concerné soit maintenue et qu'une procédure pour les personnes non recrutées ou les personnes externes pour lesquelles des informations médicales ont été enregistrées soit mise en place afin que l'article 13 du règlement 45/2001 soit respecté. La note d'information aux personnes concernées a aussi fait l'objet d'une série des recommandations afin qu'elle soit améliorée et complétée correctement.

Opinion of 30 June 2008 on a notification for prior checking on CBIS identity and access management system (Case 2008-223)
The current prior check Opinion relates to processing of personal information carried out by OLAF, in particular the Information Services Division to ensure that only authorised persons have access to OLAF's core IT systems and to allow investigation of security incidents.

Authentication in CBIS is based on digital certificates and fingerprints. Certificates are stored on the personal OLAF badges (smartcards) of users and protected by a biometric Match-on-card authentication scheme. Each user will have three fingerprint templates stored on his/her OLAF badge, which is a contact interface used by the CBIS IT authentication system.

In his opinion, the EDPS specifically analyses the respect of the data quality principle. To do so, he made a thorough analysis of the implementation of fall back procedures in the case of failure to enrol. Moreover, he also examined the way the False Rejection Rate is defined and provided recommendations on that.

The EDPS considers that the processing operation is not in breach of Regulation 45/2001 if OLAF takes into account specific recommendations before implementing the intended processing operations and after the processing operations have started.

Opinion of 20 June 2008 on the notification for prior checking concerning the staff recruitment (Case 2008-157)

Opinion of 20 June 2008 on a notification for prior checking  on the management of leave and flexitime (Case 2008-158)
The EMCDDA records all leave taken by its staff on an in-house database "Sic Congés". The system is designed to enable every member of staff to enter, amend or cancel data necessary for a leave application as well as to enable managers (head of units, director) to monitor leave and leave administrators (HR staff) to manage leave entitlements. When doing so, personal data concerning health are revealed in order to justify medical absences. In his opinion the EDPS scrutinised the steps of the procedure which deserve close attention from a data protection point of view and made recommendations on several points, including the storage of data, handling of medical certificates, procedure for rectification of data and information of the concerned staff members.

Opinion of 20 June 2008 on a notification for prior checking on the "Day care centre" case (Case 2008-193)
CEDEFOP’s day care centre (DCC) is a facility offered by CEDEFOP to its employees. The purpose of the data processing is to admit the staff's children to the DCC and make the medical records (vaccination and allergies record) available to the DCC staff. The purpose is also to calculate each month the financial contribution to be paid by the parents of children enrolled at the DCC and to know whom to contact in case of an emergency. The DCC shall offer a safe environment and stimulating pedagogical programme to children who are attending the services of the ‘nursery’ and ‘after-school care’. 

The main recommendations issued by the EDPS in the framework of his opinion relating to DCC are dealing with quality of data, retention period, transfer and information given to data subjects.