Вече няколко седмици живеем в извънредна ситуация - като общество с ограничителни мерки и като държава - в извънредно положение.
Въведените мерки оказват въздействие във всички сфери на живота на всеки един от нас и имат своето въздействие и върху обработката на личните данни.
Преди два дни ви представихме анализа на "ДАТА ПРОТЕКШЪН" за обработката на лични данни по повод забраната на лица под 60 годишна възраст да посещават хранителни магазини и аптеки във времето от 08,30 до 10,30 часа всеки ден. В настоящата статия се разглежда хипотезата:
Допустимо ли е работодателите да изискват от своите служители, клиенти, посетители информация за симптоми на заболяването предизвикани от Covid-19 като болки в тялото, висока температура, кашлица, умора?
Както описахме в част първа Регламент (ЕС) 2016/679, т. нар. GDPR урежда две категории лични данни - общи и специални. В случая данните за болки в тялото, висока температура, кашлица и умора представляват данни за здравословно състояние, които от своя страна представляват специална категория лични данни съгласно чл. 9 и тяхната обработка е забранена, освен при наличието на изброените в чл. 9, пар. 2 хипотези.
Много често в практиката работодателите, в качеството им на администратори на данни, използват декларирано съгласие от страна на работниците за обработката на различни техни лични данни. Съгласно практиката на Комисията за защита на личните данни и Европейския комитет по защита на данните обаче използването на съгласието на работника за обработка на личните му данни от страна на работодателя е неприложимо в повечето хипотези на обработка на лични данни. В случая, съгласието като основание за обработка е неприложимо, тъй като е налице неравнопоставеност между работодателя администратор на данни и субекта на данните негов работник.
В условията на пандемия за обработката на лични данни, работодателите могат да използват основанието, уредено в чл. 9, пар. 2, б. "И" от GDPR, когато обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето.
С оглед конкретната обстановка в страната и света, основанието по чл. 9, пар. 2, б. "И" от GDPR следва да намери приложение в случая, тъй като предвидената обработка на данни е в обществен интерес и също така цели да запази живота и здравето на останалите работници и служителите на конкретния работодател.
Допълнителен аргумент за допустимост на обработката на лични данни в условията на пандемия може да бъде изведен от предложение 46 от GDPR, където е уредено като законосъобразно обработването на лични данни, когато е необходимо за защитата на интерес от първостепенно значение за живота на физическите лица и наблюдение на епидемии и тяхното разпространение. Такава е конкретната обстановка в страната и света в момента.
Следва да се отбележи, че работодателите са длъжни да изпълняват разпорежданията на Кризисния щаб, а също така са задължени от Кодекса на труда да осигурят здравословни и безопасни условия на труд за своите работници и служители.
Поради изброените съображения смятаме, че с оглед настоящата ситуация работодателите разполагат с надлежно основание за обработката на лични данни за наличие на симптоми на Covid-19 на своите служители. Следва да отбележим обаче, че само наличието на основание не прави обработката на данните за наличие на симптоми законосъобразна. За да бъде законосъобразна обработката на въпросните лични данни, е необходимо работодателите да изпълнят основните задължения и принципи за законосъобразна обработка на лични данни, заложени в GDPR.
При обработката трябва да бъдат съобразени принципите за ограничение на целите, свеждане на данните до минимум, ограничение на съхранението, цялостност и поверителност. Важно е да се отбележи, че не е допустимо под предлога Covid-19, работодателите да събират от работниците друга медицинска информация, различна от симптомите на вируса.
За да са спокойни работодателите, че обработката на лични данни ще бъде законосъобразна, е необходимо предварително да предприемат подходящи технически и организационни мерки. Добра практика е преди обработката на лични данни да бъдат приложени следните мерки:
- да бъде изготвена необходимата документация (политики, правилници, процедури и регистри);
- да бъдат определени лицата, отговарящи за обработката на данните (събиране, съхранение и унищожаване на данните);
- да бъдат определени местата и срокът за съхранение на лични данни;
- да бъде предоставена необходимата информация на субектите на данни;
- да бъдат предприети мерки за защита на данните (ограничаване на достъпа до помещенията и местата за съхранение на данните; защита на компютрите съхраняващи лични данни; криптиране и псевдонимизиране на данните, където е възможно и др.)
- ограничаване на съхранение (данните да не се съхраняват по-дълго от необходимото).
Ако работодател получи информация, че негов работник е заразен с Covid-19, това обстоятелство следва да бъде споделено с органите на властта и здравните власти. Това би спомогнало за справянето с пандемията и нейното ограничаване, включително във връзка с обезпечаване на задължителната карантина на заболелите лица.
Настоящата статия е изготвена от екипа на "ДАТА ПРОТЕКШЪН" ООД и не представлява консултация, свързана с обработката на лични данни. Целта на статията е да предостави обща информация и тълкуване на разпоредбите на Регламент (ЕС) 2016/679 на широк кръг български граждани. Повече информация по теми касаещи защитата на личните данни може да откриете тук.
USD
CHF
EUR
GBP
