gdpr, data

Въвеждането на извънредното положение доведе до нови задължения към работодателите, които трябваше да въведат строги мерки, включително измерване на температурата на своите служители и посетители и недопускане на лица, които е възможно да са болни от коронавирус.
Непосредственото основание за тези мерки е заповед на министъра на здравеопазването от 13 март, според която работодателите „не допускат служители или външни лица с прояви на остри заразни заболявания“. От заповедта не става ясно се отнася до лица с безсимптомно протичане и как се установяват „проявите“.

Някои от тези мерки по установяване на състоянието на работниците може да противоречат на Общия регламент за защита на данните (GDPR). Това се отнася и за събирането на лични данни от държавните органи.

Макар да няма съмнение, че заплаха за общественото здраве, каквото е всяка пандемия, да е достатъчно основание за ограничаване на индивидуалните права, включитено правото на лична неприкосновеност, извънредното положение не отменя действието на регламента.

По този повод Европейският комитет за защита на данните побликува на 19 март становище, в което утвърждава, че:
Извънредното положение е правно условие, което може да оправдае ограниченията на свободите, при условие че тези ограничения са пропорционални и ограничени за периода на извънредна ситуация.

Законово основание

Становището на Европейския комитет посочва, че GDPR позволява на компетентните здравни органи и работодатели да обработват лични данни в контекста на епидемия в съответствие със законовите изисквания. Например, когато обработването е необходимо по причини от значителен обществен интерес, не е необходимо съгласие на лицето.

По-конкретно, обработването на лични данни от публичен орган попада в хипотезите на чл. 6 и чл. 9 от Регламента. Член 6 се отнася до общите случаи и приложимите основания са изпълнение на законово задължение на работодателя (например, по ЗУТ), изпълнение на задача в обществен интерес или за защита на жизненоважните интереси на лицето – съответно чл. 6, букви „г“, „в“ и „д“.
Що се отнася до обработването на личните данни в контекста на трудовото правоотношение обработването на лични данни може да е необходимо с оглед на законово задължение на работодателя като изискване, свързано с безопасни и здравословни условия на труда, или да е в обществен интерес – като контрол на заболяванията и заплахите за здравето. В по-редки случаи, това може да е свързано с жизненоважните интереси на лицето.

Когато обработването е в обществен интерес или в изпълнение на законово задължение, Съображение 45 от Регламента предвижда, че е възможно с един закон да се уреди правното основание за няколко операции по обработване на данни, „основаващи се на правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия. Правото на Съюза или на държава членка следва да определя също и целта на обработването. Нещо повече, в това право биха могли да се посочат общите условия на настоящия регламент, които определят законосъобразността на обработването на лични данни, да се установяват спецификациите за определянето на администратора на лични данни, видът данни, които подлежат на обработване, съответните субекти на лични данни, образуванията, пред които могат да бъдат разкривани лични данни, ограниченията по отношение на целите, периодът на съхранение и други мерки за гарантиране на законосъобразното и добросъвестно обработване. “ Администраторът на лични данни в този случай не е само публичен орган, а може да бъде физическо или юридическо лице, на което е възложена задача в обществен интерес.

Необходимо е да се прави разлика между „обикновени“ и специални категории лични данни, като например здравни данни или биометрични данни, служещи за идентифициране. Обикновени лични данни са данните за лицата, с които субектът на данни е бил в контакт, докато специалните данни по принцип могат да се събират и обработват в изключителни случаи.

GDPR  предвижда дерогации от забраната за обработка на определени специални категории лични данни когато това е необходимо поради съображения от обществен интерес в областта на общественото здраве, или когато е необходимо да се защитят жизненоважните интереси на субекта на данните (член 9.2), както съображение 46 изрично се отнася до контрола на епидемия.

Съображение 46 от ОРЗД:

Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.

Следните основание по чл. 9, пар. 2 могат да бъдат приложими:

в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

з) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;

и) обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

Законовите основание за прилагане на противоепидемични мерки от страна на работодателите се намират в чл. 63 от Закона за здравето, както и Закона за здравословни и безопасни условия на труд. Освен това съгласно чл.33 от ЗЗБУТ, всеки работник или служител е длъжен да се грижи за здравето и безопасността си, както и за здравето и безопасността и на другите лица, пряко засегнати от неговата дейност.

Други изисквания

Независимо от основанието субектите на данни следва да получават прозрачна информация за дейностите по обработка, които се извършват, и техните основни характеристики, включително периода на запазване на събраните данни и целите на обработката. Предоставената информация трябва да бъде лесно достъпна и предоставена на ясен език.
Важно е да се приемат мерки за неразкриване на лични данни на неоторизирани страни. Мерките, предприети при извънредна ситуация, следва да бъдат надлежно документирани, напомня европейският комитет.

Това означава, че администраторите и обработващите лични данни трябва да актуализират Уведомлението за обработване на лични данни, Регистъра по чл. 30, както и вътрешните си правила и процедури, включително срокове за съхранение на информация и мерките за неразкриване на събраната информация на трети лица.

Обработване на лични данни от работодател

EDPB отговаря на някои често поставяни въпроси:

Може ли работодателят да изисква от посетители или служители да предоставят конкретна здравна информация в контекста на COVID-19?
Тук е особено важно приложението на принципа на пропорционалност и минимизиране на данните. Работодателят трябва да изисква здравна информация само дотолкова, доколкото националното законодателство го позволява.
Възможно ли е работодател да извършва медицински преглед на служителите?
Отговорът се опира на националното законодателство, свързано със заетостта или здравето и безопасността. Работодателите трябва да имат достъп до и да обработват здравни данни само ако имат законово задължение за това.
Може ли работодател да разкрие, че служителят е заразен с COVID-19 на неговите колеги или на външни лица?
Работодателите трябва да информират персонала за случаите на COVID-19 и да предприемат защитни мерки, но не трябва да съобщават повече информация, отколкото е необходимо. В случаите, когато е необходимо да се разкрие името на служителя (служителите), които са се заразили с вируса (например в превантивен контекст) и националното законодателство го позволява, съответните служители се информират предварително и тяхното достойнство и почтеност се защитават ,
• Каква информация, обработена в контекста на COVID-19, може да бъде получена от работодателите?
Работодателите могат да получат лична информация, за да изпълнят своите задължения и да организират работата в съответствие с националното законодателство.

Бихме искали да обърнем внимание и на факта, че при дистанционна работа, когато работодателите използват информационни технологии за контрол на достъпа и трудовата дисциплина, те следва да променят правилата и процедурите по чл. 25и от ЗЗЛД.

Проследяване

По отношение на обработката на телекомуникационни данни, като например данни за местоположението, също трябва да се спазват националните закони, прилагащи директивата за електронната поверителност (ePrivacy), обръща внимания EDPB. По принцип данните за местоположение могат да се използват от оператора само когато са направени анонимни или със съгласието на хората. Чл. 15 от Директивата за електронната поверителност дава възможност на държавите-членки да въведат законодателни мерки за защита на обществената сигурност. Такова извънредно законодателство е възможно само ако представлява необходима, подходяща и пропорционална мярка в рамките на демократичното общество. Тези мерки трябва да са в съответствие с Хартата на основните права и Европейската конвенция за защита на правата на човека и основните свободи. Нещо повече, това законодателство подлежи на съдебен контрол на Европейския съд и Европейския съд по правата на човека. В случай на извънредна ситуация, тя също трябва да бъде строго ограничена по продължителност, пише в становището.

Ако бъдат въведени мерки, позволяващи обработване на неанонимни данни за местоположение, страната е длъжна да въведе адекватни защитни мерки, като например осигуряване на право на съдебна защита.

Определен интерес представлява и темата за използването на информация за поведението на лицата (по-специално контактните лица), за да се установи рискът.

В блога си адвокатът по медицинско право Мария Шаркова пише:
„При анализ на принципа за пропорционалност задължително трябва да се анализира и правото на защита на здравната информация. Необходимостта от извършване на епидемиологични проучвания и откриване на контактни лица на заразоносителя налага той да споделя информация, включително данни за други хора, местопребиваване в определен период от време, пътувания, работа, контакти, а от друга страна – контактните хора следва да бъдат уведомени за обстоятелството, че са били изложени на риск от заразяване. Изискването за пропорционалност не допуска използване на повече информация, отколкото е необходима, за да се постигнат поставените цели (идентифициране и карантиниране на потенциални заразоносители), както и не е допустимо използването й за други цели.“

Законна ли декларацията, изисквана от МВР