Внезапно светът изпадна в застой. Това, което малцина очакваха да се случи в тези модерни времена на непрекъснато глобално пътуване и взаимосвързаност, се случи. COVID-19 накара правителствата да затворят националните граници, да отменят публични и частни групови събирания и събития, да въведат драстични мерки за борба с невидимия враг. Много компании приеха политика за работа от вкъщи.
Като че ли на заден план в сравнение с опасността от болестта остава мисълта за поверителността и защитата на данни.
Във връзка с това обаче възникват въпроси от различно естество.
Истината е, че дори във времена на криза (може би особено във времена на криза) законите все още се прилагат. В това число тези, касаещи защитата на данните. Въпреки това законът позволява на организациите да обработват допълнителни данни, за да подпомогнат усилията на общественото здравеопазване, като поддържат безопасни и здрави служители, при условие че са спазени определени предпазни мерки и изисквания.
В този смисъл е тълкуванието на Комисията за защита на личните данни по повод личните данни в декларации, които МВР събира по време на извънредното положение в Република България. Законодателството за защита на личните данни допуска възможността за ограничаване на обхвата на правата и свободите на гражданите при условията на чл. 23 от Регламент (ЕС) 2016/679. Според Комисията гражданите следва да са спокойни, че възможността за ограничаване на техните права, в т.ч. и правото на защита на личните им данни, не води до тяхното нарушаване, защото МВР може да обработва данните единствено за целите на Закона за мерките и действията по време на извънредното положение и следва да гарантира сигурността на обработването на личните данни, съдържащи се в декларациите, чрез прилагането на подходящи технически и организационни мерки. Дали и по какъв начин МВР ще изпълни това изискване на закона, предстои да видим.
В конкретния случай, наложената от МВР мярка е необходима и пропорционална с оглед гарантиране на:
– общественото здраве;
– предотвратяването на престъпления (каквото е деянието по чл. 355 от Наказателния кодекс), включително предпазването от и предотвратяването на заплахи за обществената сигурност, каквато несъмнено е заплахата от разпространението на вируса.
Днес, 04.04.2020, правителството представи и новото приложение Virusafe, което ще свързва пациент-лекар-болница-МВР. Чрез него потребителите доброволно предоставят информация за здравния си статус в момента и при желание да попълват данни за хроничните си заболявания.
Информацията ще се събира в централен регистър и ще се изпраща до държавни органи като здравните инспекции по места, националния щаб, личните лекари, болниците, МВР, гранична полиция и др. До самия регистър достъп ще имат само институциите, като това ще става само с цифров сертификат. Компаниите, разработили приложението, потвърдиха, че няма да имат достъп до личните данни. Впоследствие личните лекари ще се свързват с рисковите пациенти и ще ги консултират дали те ще трябва да си останат вкъщи, или ще се наложи да бъдат приети в болница.
Ясна е целта и значимостта на правилното използване на данните за борба с пандемията. Какво обаче ще се случи с данните след отмяна на извънредното положение и по какъв начин ще продължи да функционира разработеното приложение, когато отпадне необходимостта от събиране на тези чувствителни данни?
И като говорим за защитата на обществения интерес, не може да не засегнем темата за основанията за обработка на данните от администраторите – частни субекти, когато се обработват медицински данни, свързани с епидемията от COVID-19.
Често задаван въпрос от правителствата и работодателите е свързан със събирането и използването на медицински данни, като стойностите на телесна температура например.
Един от основните принципи при обработка на данните допуска обработката и използването на чувствителни данни в обществен интерес. Органите за защита на данните са готови да помогнат за улесняване на бързото и безопасно споделяне на данни за борба с COVID-19.
Какво трябва да знаят работодателите:
Има няколко общи правила, които могат да се изведат от указанията на регулатора за COVID-19. Трябва да се прави разлика между данните, които правителствата могат да събират и използват, и данните, които частните субекти могат да събират и използват, в това число правното основание за отделните ситуации. По принцип правителствата ще имат повече пространство за маневриране, когато обработват лични данни в обществен интерес (например за защита на общественото здраве) или дори да обработват лични данни в жизненоважен интерес на дадено лице. Съгласно GDPR те се определят изрично като основание за обработка на лични данни. За частните субекти също може да бъде възможно събирането и използването на лични данни в обществен интерес, но трябва да има ясна, пряка и доказателствена връзка с обществения интерес. При обработка на медицински и други здравни данни, което включва отбелязване дали служителите са били диагностицирани като заразени или проявяват симптоми на COVID-19, организациите трябва да проявяват сдържаност само при обработката на минималните лични данни, необходими за изпълнение на задълженията си, свързани с безопасността на работна сила, клиенти и обществеността. Като цяло, защитата на данните и трудовото законодателство ограничават обема на детайлите относно болестите на служителите, които могат да бъдат регистрирани от работодателите. Когато е необходимо и пропорционално (т.е. ако няма друга възможност, освен да се събират данни за (подозрение) за инфекции с COVID-19 на работното място), като най-добра практика трябва да се спазват минимизирането и конфиденциалността на данните. Това означава, че трябва да се събира възможно най-малко информация и тази информация да бъде достъпна само за конкретни лица (а не за отдели от групи), които имат основателна необходимост да я знаят. Например идентифицирането на жертви на COVID-19 по име не трябва да се допуска. Компаниите също трябва да проявяват сдържаност, когато обработват данни от посетители в неговите помещения. Възможно е да има основателна причина да се измери температурата на посетителя, преди да се позволи достъп, но това не означава, че отчитането на температурата или данните, свързани с лицето, чиято температура се мери, трябва да бъдат запазени след решението за предоставяне на достъп или не.
Напълно основателно е в тази ситуация организацията да извърши оценка на въздействието върху поверителността или защитата на данните и да приложи допълнителни организационни и технически мерки в тази връзка.
Ние ще ти помогнем с най-доброто решение за твоя бизнес!
бул. Черни връх 57, Energy Tower,
етаж 7,
1407
+359 2 4475 124
ул. Прилеп 87, Бизнес център BeeGarden,
офис 20, 9000
+359 882 011 010
Flat 12, Woodland court, 12 Penn hill avenue,
Poole, BH14 9LZ
+447738 080638
©2015- 2024 ALL RIGHTS RESERVED.