Covid-19 и личните данни: Практически насоки за законосъобразна обработка
Пандемията позволява работата със специални категории лични данни
Овладяване на разпространението на т.нар. коронавирус е основна цел на правителствата и обществеността в цял свят.
Междувременно той оказа вече значимо пряко въздействие върху икономическия, социалния и включително върху правния живот във всяка държава, и то по начин, по който не сме били свидетели досега.
И докато за справяне с пандемията се приемат множество законови и подзаконови актове в различни сфери на правото, една от все още не изрично доурегулираните с допълнителен закон, но значими теми, свързани със здравословното състояние на лицата, остава тази за мащабната обработка на лични данни.
Именно във връзка с обработката на лични данни в настоящата ситуация възникват множество и отворени въпроси, които търсят своя отговор.
По-долу можете да се запознаете с отговорите на най-често задаваните въпроси, свързани с обработка на лични данни на служители, клиенти и трети лица за целите на овладяване на пандемията Covid-19.
Какво забранява и позволява GDPR?
По отношение на общите категории лични данни
Общата разпоредба на чл. 6 от GDPR позволява обработка на лични данни (общи категории като имена, адрес, телефонен номер, имейл адрес и др.) на базата на дефинирани изрични основания - i) нормативно основание; ii) за целите на изпълнение на договор; iii) предоставено съгласие; iv) за защита на жизненоважни интереси и др.
По отношение на специалните категории - вкл. здравословно състояние
Член 9 от GDPR забранява обработката на т.нар специални категории лични данни, в това число и данни за здравословното състояние на лицата, с някои изключения: i) при предоставено изрично съгласие; ii) за изпълнение на задължения, произтичащи от трудовото право и др.
Обръщаме внимание на тази специфика, тъй като дори измерването на температурата например на входа на предприятието или офиса представлява обработка на "специална категория" лични данни - свързани със здравословното състояние.
В условия на ПАНДЕМИЯ
В случая с Covid-19, когато организациите/дружествата следва да се съобразяват с изрични указания на органи на публичната власт; Световната здравна организация и др., е налице възможност за обработка на специални категории лични данни (свързани със здравословно състояние, биометрични данни и др.) на основание чл. 9, параграф 2, буква И от GDPR. В този случай обработката на посочените специални категории лични данни би била необходима от съображения, свързани със защита на обществения интерес в областта на общественото здраве, включително защитата срещу сериозни трансгранични заплахи за здравето и др.
В допълнение, в т. 46 от Преамбюла на GDPR е посочено, че обработването на лични данни следва да се счита за законосъобразно, когато е необходимо, за да се защити интерес от първостепенно значение за живота на физическите лица. Именно такава е настоящата ситуация в световен мащаб. Някои видове обработка могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например "когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия".
По отношение на работодателите българското законодателство, и в частност Кодекса на труда, разпорежда задължение да осигуряват здравословни и безопасни условия на труд за своите служители. Като част от тези мерки те естествено следва да събират информация за здравословното състояние на служителите свързани с конкретното заболяване и съобразно инструкциите на Кризисния щаб. Всяка подобна обработка би могла да се извършва в контекста на настоящата ситуация и без изрично допълнително съгласие на служителите на основанието посочено по-горе. Тоест посоченото задължение за работодателите, както и разпоредбата на чл. 9, параграф 2, буква И от GDPR, тълкувани в комплексно в тяхната връзка предоставят основание за законосъобразна обработка на специални категории лични данни във време на пандемия.
Обработка само след обезпечаване на технически и организационни мерки
Независимо от горепосочената възможност не следва да се забравя, че GDPR въвежда множество задължения и ограничения с оглед осигуряване на технически и организационни мерки за защита на обработваните лични данни без значение от основанието за обработка. Цитираните мерки следва да бъдат предприети в предварителен порядък, т.е. преди началото на обработката и прилагани стриктно.
В този смисъл и задълженията за спазване на конфиденциалност, криптиране на данните, анонимизация или псевдонимизация (там, където е възможно), ограничаване на достъпа и много други остават в сила и дружествата, организациите, публичните органи и всички други администратори на лични данни следва да се съобразяват с тях.
Възможно ли е работодател да изисква от своите служители, клиенти, посетители да попълват въпросник, съдържащ информация за текущи пътувания в страни, засегнати от вируса, както и медицинска информация, в това число: симптоми на треска, болки в тялото, висока температура и др.? Възможно ли е работодател да измерва температурата на свои служители, клиенти, посещаващи офиса и др.?
Дружествата/организациите имат правна възможност да изискват от своите служители, клиенти, посетители информация за тяхното здравословно състояние, но само доколкото тази информация съдържа данни за наличие на симптоми, предшестващи Covid-19 инфекция, така например данни за висока температура, кашлица, болки в тялото и симптоми на треска.
Добра европейска практика е обработваната информация да бъде псевдонимизирана и съхранявана във файлове с кодирани/криптирани имена, които не могат да бъдат свързани с конкретно физическо лице при осъществяване на неоторизиран достъп отвън.
Най-удачният и сигурен подход, който може да бъде предприет от работодателите както по отношение на своите служители, така и по отношение на посетители, клиенти и др., е горепосочената информация да бъде събирана чрез анонимни въпросници (т.е. да бъде анонимизирана), включително да се извършва измерване на температура, без да е налице връзка на резултата с конкретно физическо лице.
По този начин преценката дали едно физическо лице следва да бъде допуснато на територията на дружеството/организацията се извършва на момента, като не се обработват лични данни за неговото състояние, телесна температура и други по смисъла на GDPR. При тази хипотеза няма да е налице и необходимост от съхраняване на събраната информация, освен ако дружеството/организацията не желае да я използва за чисто статистически цели.
За какъв срок следва да бъдат съхранени събраните лични данни?
Законът за защита на личните данни и GDPR не съдържат конкретни срокове за съхранение на специални категории лични данни, обработвани за целите, посочени по-горе.
Предоставената информация следва да бъде съхранявана за кратки периоди от време, например 30 дни или до отминаване на пандемията, според поставените цели за обработка и използване на информацията. Разбира се, в случай на изрични инструкции от страна на кризисния щаб или при законова промяна това следва да бъде съобразено.
След изтичане на определените срокове на съхранение данните трябва да бъдат унищожавани, като при необходимост, включително наличие на правно основание, информацията може да бъде обновявана и събирана отново от физическите лица.
Какви мерки за защита на данните следва да бъдат предприети?
Дружествата/организациите следва да се придържат към основните принципи за законосъобразна обработка на лични данни, заложени в GDPR, така например пропорционалност, минимализация на данните, прозрачност и др.
В тази връзка, трябва да:
- бъдат определени помещенията, софтуерите и т.н., където ще бъдат съхранявани личните данни;
- бъде определено лице (или няколко, в зависимост от мащаба на обработката), отговорно за спазване задълженията за законосъобразност на обработването, включително за осигуряване на достъп до данните при необходимост, навременно унищожаване на данните след изтичане на срокът на съхранение и др.;
- бъдат уведомени лицата, чиито лични данни ще бъдат обработвани;
- когато е възможно - информацията да бъде криптирана, псевдонимизирана, а дори и анонимизирана и др.
Важно е да се отбележи, че общите задължения, свързани с докладване на пробиви в сигурността на данните (до 72 часа след узнаването), изпращане на отговори на запитвания от субектите на данни и други следва да бъдат спазвани, както до момента.
Възможно ли е информация за потвърдени случаи на Covid-19 да бъде споделяна с трети лица?
Този въпрос следва да бъде изследван на "case by case" принцип от гледна точка на конкретните трети лица, на които предстои да бъде предоставена информацията.
Все пак такъв тип информация следва да бъде предоставяна на органите на публичната власт и здравните власти, което би спомогнало справянето с пандемията и нейното ограничаване, включително във връзка с обезпечаване на задължителната 14-дневна карантина на заболелите лица. Още повече в настоящата ситуация, ако служителят е посещавал работното си място в карантинния период за защита на обществения интерес и живота и здравето на останалите служители здравните власти могат да намерят за необходимо да поставят под карантина както всички останали служители, така и самите работни помещения.
Споделяне на информация за потвърдени случаи на Covid-19 с други служители следва да бъде избягвано, като би могло да е възможно единствено ако е абсолютно необходимо, за да се прецени дали и други служители не са били в контакт с конкретното лице и съответно са заразени. Удачен вариант според обстоятелствата би бил също информацията да бъде комуникирана анонимно - без да се идентифицира конкретното физическо лице.
Този текст предоставя обща информация, свързана с обработката на лични данни по време на пандемията Covid-19, като не е изчерпателен и представлява тълкуване на правните норми и практиката на регулаторните органи в Европейския съюз от Екип "Защита на личните данни" в Адвокатско дружество "Пенков, Марков и партньори".
