Личните данни по време на пандемия

Внезапно светът изпадна в застой. Това, което малцина очакваха да се случи в тези модерни времена на непрекъснато глобално пътуване и взаимосвързаност, се случи. COVID-19 накара правителствата да затворят националните граници, да отменят публични и частни групови събирания и събития, да въведат драстични мерки за борба с невидимия враг. Много компании приеха политика за работа от вкъщи.

Като че ли на заден план в сравнение с опасността от болестта остава мисълта за поверителността и защитата на данни.

Във връзка с това обаче възникват въпроси от различно естество.

  1. Какво могат да правят работодателите, за да контролират разпространението на вируса и да смекчат ефектите му, в това число какви допълнителни данни могат да обработят на служителите си?
  2.  
  3. Как работодателите да гарантират добри практики за защита на данните, когато служителите работят от дома?

Истината е, че дори във времена на криза (може би особено във времена на криза) законите все още се прилагат. В това число тези, касаещи защитата на данните. Въпреки това законът позволява на организациите да обработват допълнителни данни, за да подпомогнат усилията на общественото здравеопазване, като поддържат безопасни и здрави служители, при условие че са спазени определени предпазни мерки и изисквания.

В този смисъл е тълкуванието на Комисията за защита на личните данни по повод личните данни в декларации, които МВР събира по време на извънредното положение в Република България. Законодателството за защита на личните данни допуска възможността за ограничаване на обхвата на правата и свободите на гражданите при условията на чл. 23 от Регламент (ЕС) 2016/679. Според Комисията гражданите следва да са спокойни, че възможността за ограничаване на техните права, в т.ч. и правото на защита на личните им данни, не води до тяхното нарушаване, защото МВР може да обработва данните единствено за целите на Закона за мерките и действията по време на извънредното положение и следва да гарантира сигурността на обработването на личните данни, съдържащи се в декларациите, чрез прилагането на подходящи технически и организационни мерки. Дали и по какъв начин МВР ще изпълни това изискване на закона, предстои да видим.

В конкретния случай, наложената от МВР мярка е необходима и пропорционална с оглед гарантиране на:

 – общественото здраве;

 – предотвратяването на престъпления (каквото е деянието по чл. 355 от Наказателния кодекс), включително предпазването от и предотвратяването на заплахи за обществената сигурност, каквато несъмнено е заплахата от разпространението на вируса.

Днес, 04.04.2020, правителството представи и новото приложение Virusafe, което ще свързва пациент-лекар-болница-МВР. Чрез него потребителите  доброволно предоставят информация за здравния си статус в момента и при желание да попълват данни за хроничните си заболявания.
Информацията ще се събира в централен регистър и ще се изпраща до държавни органи като здравните инспекции по места, националния щаб, личните лекари, болниците, МВР, гранична полиция и др. До самия регистър достъп ще имат само институциите, като това ще става само с цифров сертификат. Компаниите, разработили приложението, потвърдиха, че няма да имат достъп до личните данни. Впоследствие личните лекари ще се свързват с рисковите пациенти и ще ги консултират дали те ще трябва да си останат вкъщи, или ще се наложи да бъдат приети в болница.

Ясна е целта и значимостта на правилното използване на данните за борба с пандемията. Какво обаче ще се случи с данните след отмяна на извънредното положение и по какъв начин ще продължи да функционира разработеното приложение, когато отпадне необходимостта от събиране на тези чувствителни данни?

И като говорим за защитата на обществения интерес, не може да не засегнем темата за основанията за обработка на данните от администраторите – частни субекти, когато се обработват медицински данни, свързани с епидемията от COVID-19.  

Често задаван въпрос от правителствата и работодателите е свързан със събирането и използването на медицински данни, като стойностите на телесна температура например. 

Един от основните принципи при обработка на данните допуска обработката и използването на чувствителни данни в обществен интерес. Органите за защита на данните са готови да помогнат за улесняване на бързото и безопасно споделяне на данни за борба с COVID-19.

Какво трябва да знаят работодателите:

Има няколко общи правила, които могат да се изведат от указанията на регулатора за COVID-19. Трябва да се прави разлика между данните, които правителствата могат да събират и използват, и данните, които частните субекти могат да събират и използват, в това число правното основание за отделните ситуации. По принцип правителствата ще имат повече пространство за маневриране, когато обработват лични данни в обществен интерес (например за защита на общественото здраве) или дори да обработват лични данни в жизненоважен интерес на дадено лице. Съгласно GDPR те се определят изрично като основание за обработка на лични данни. За частните субекти също може да бъде възможно събирането и използването на лични данни в обществен интерес, но трябва да има ясна, пряка и доказателствена връзка с обществения интерес. При обработка на медицински и други здравни данни, което включва отбелязване дали служителите са били диагностицирани като заразени или проявяват симптоми на COVID-19, организациите трябва да проявяват сдържаност само при обработката на минималните лични данни, необходими за изпълнение на задълженията си, свързани с безопасността на работна сила, клиенти и обществеността. Като цяло, защитата на данните и трудовото законодателство ограничават обема на детайлите относно болестите на служителите, които могат да бъдат регистрирани от работодателите. Когато е необходимо и пропорционално (т.е. ако няма друга възможност, освен да се събират данни за (подозрение) за инфекции с COVID-19 на работното място), като най-добра практика трябва да се спазват минимизирането и конфиденциалността на данните. Това означава, че трябва да се събира възможно най-малко информация и тази информация да бъде достъпна само за конкретни лица (а не за отдели от групи), които имат основателна необходимост да я знаят. Например идентифицирането на жертви на COVID-19 по име не трябва да се допуска. Компаниите също трябва да проявяват сдържаност, когато обработват данни от посетители в неговите помещения. Възможно е да има основателна причина да се измери температурата на посетителя, преди да се позволи достъп, но това не означава, че отчитането на температурата или данните, свързани с лицето, чиято температура се мери, трябва да бъдат запазени след решението за предоставяне на достъп или не.

Напълно основателно е в тази ситуация организацията да извърши оценка на въздействието върху поверителността или защитата на данните и да приложи допълнителни организационни и технически мерки в тази връзка.

С какво да Ви помогнем?

споделете вашата идея и ние ще се свържем с вас

    Открий ни в София!във Варна!в Лондон!

    бул. Черни връх 57, Energy Tower,
    етаж 7, 1407, гр. София

    ул. Прилеп 87, Бизнес център BeeGarden,
    офис 20, 9000, гр. Варна

    Flat 12, Woodland court, 12 Penn hill avenue, Poole, BH14 9LZ