Правда в том, что даже во время кризиса (возможно, особенно во время кризиса) законы продолжают действовать. В том числе касающиеся защиты данных. Однако закон позволяет организациям обрабатывать дополнительные данные для поддержки усилий в области общественного здравоохранения, обеспечивая безопасность и здоровье сотрудников, при условии соблюдения определенных мер безопасности и требований.

Это толкование Комиссии по защите персональных данных в отношении персональных данных в декларациях, которые Министерство внутренних дел собирает во время чрезвычайного положения в Республике Болгарии. Законодательство о защите персональных данных допускает возможность ограничения объема прав и свобод граждан на условиях ст. 23 Регламента (ЕС) 2016/679. По мнению Комиссии, граждан следует заверить в том, что возможность ограничения их прав, в том числе и права на защиту своих персональных данных, не приводит к их нарушению, поскольку МВД может обрабатывать данные только для целей Закона о мерах и действиях в условиях чрезвычайного положения и должно гарантировать безопасность обработка персональных данных, содержащихся в декларациях, путем применения соответствующих технических и организационных мер. Выполнит ли и каким образом МВД это требование закона, пока неясно.

В конкретном случае мера, налагаемая Министерством внутренних дел, необходима и соразмерна, чтобы гарантировать:

– здравоохранение;

– предупреждение преступлений (что является деянием, предусмотренным статьей 355 УК РФ), в том числе предупреждение и предупреждение угрозы общественной безопасности, что, несомненно, является угрозой распространения вируса.

Сегодня, 04.04.2020, правительство также представило новое приложение Virusafe, которое свяжет пациента-врача-больницу-Министерство внутренних дел. Через него пользователи добровольно предоставляют информацию о своем текущем состоянии здоровья и при желании заполняют данные о своих хронических заболеваниях.
Информация будет собираться в центральном реестре и отправляться в государственные органы, такие как местные санитарные инспекции, национальные штабы, частные врачи, больницы, МВД, пограничная полиция и т. д. Только учреждения будут иметь доступ к самому реестру, и это будет сделано только с цифровым сертификатом. Компании, разработавшие приложение, подтвердили, что у них не будет доступа к персональным данным. Затем врачи общей практики свяжутся с пациентами из группы риска и посоветуют им, нужно ли им оставаться дома или их нужно госпитализировать.

Цель и важность надлежащего использования данных для борьбы с пандемией очевидны. Но что будет с данными после снятия чрезвычайного положения и как продолжит функционировать разработанное приложение, когда отпадет необходимость собирать эти конфиденциальные данные?

И говоря о защите общественных интересов, нельзя не затронуть тему оснований для обработки данных контролерами – частными лицами при обработке медицинских данных, связанных со вспышкой COVID-19.

Часто задаваемый правительствами и работодателями вопрос связан со сбором и использованием медицинских данных, таких как показания температуры тела.

Один из основных принципов обработки данных позволяет обрабатывать и использовать конфиденциальные данные в общественных интересах. Органы по защите данных готовы помочь обеспечить быстрый и безопасный обмен данными для борьбы с COVID-19.

Что нужно знать работодателям:

Есть несколько общих правил, которые можно почерпнуть из руководства регулятора по COVID-19. Необходимо проводить различие между данными, которые могут собирать и использовать правительства, и данными, которые могут собирать и использовать частные лица, включая правовую основу для отдельных ситуаций. В целом у правительств будет больше возможностей для маневра при обработке персональных данных в общественных интересах (например, для защиты общественного здоровья) или даже при обработке персональных данных в жизненно важных интересах человека. Согласно GDPR, они прямо определены как основа для обработки персональных данных. Частные лица также могут собирать и использовать персональные данные в общественных интересах, но должна быть четкая, прямая и доказуемая связь с общественными интересами. При обработке медицинских и других данных о состоянии здоровья, включая отмечание того, были ли сотрудники диагностированы как инфицированные или проявляются симптомы COVID-19, организации должны проявлять сдержанность в обработке только минимального количества персональных данных, необходимых для выполнения своих обязательств, связанных с безопасностью персонала, клиентов и общественный. Как правило, законы о защите данных и занятости ограничивают количество сведений о заболеваниях сотрудников, которые могут быть зарегистрированы работодателями. Когда это необходимо и соразмерно (т. е. если нет другого выхода, кроме как собирать данные о (подозрениях).

COVID-19 на рабочем месте), минимизация данных и конфиденциальность должны соблюдаться в качестве передовой практики. Это означает, что следует собирать как можно меньше информации, и эта информация должна быть доступна только конкретным лицам (а не группам отделов), у которых есть разумная потребность в ней. Например, нельзя допускать идентификации жертв COVID-19 по имени. Компании также должны проявлять сдержанность при обработке данных от посетителей своих помещений. Может быть веская причина измерять температуру посетителя перед тем, как разрешить доступ, но это не означает, что показания температуры или данные, относящиеся к человеку, у которого измеряется температура, должны сохраняться после принятия решения о предоставлении доступа или отказе.

В этой ситуации вполне разумно, чтобы организация провела оценку воздействия на конфиденциальность или защиту данных и внедрила дополнительные организационные и технические меры в этом отношении.