Коронавирус. От две седмици Българската държава живее в извънредно положение. За овладяване разпространението на инфекцията правителството въведе редица мерки - из страната изникнаха КПП-та, гражданите се призовават да не излизат от домовете си, въведе се коридор за възрастните хора, които да си напазаруват без навалица в магазините.

Тези мерки оказват и ще оказват въздействие в множество сфери на живота на всеки един и въпреки, че не е видно на пръв поглед, те имат своето въздействие и върху обработката на личните данни.

Възникват и множество въпроси за условията за обработка на лични данни в условията на пандемия. А какво е добре да знаете?

В поредица от няколко статии с екипа на "ДАТА ПРОТЕКШЪН" ще разгледаме най-честите въпроси свързани с обработката на лични данни в условията на пандемията от Covid-19. Първият текст е свързан с най-ежедневното и рутинно доскоро действие - да отидеш и да си напазаруваш в магазина хляб и мляко.

Сега обаче е въведена забраната на лица под 60 годишна възраст да посещават хранителни магазини и аптеки във времето от 08,30 до 10,30 часа всеки ден. Какво обаче се случва, ако ви спрат на входа и ви поискат лични документи, за да удостоверите, че се над 60 години?

Според чл. 4 от GDPR "лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. GDPR поставя различни условия за обработка на данни според обработваната категория лични данни. Категориите лични данни биват общи и специални.

Примери за общи лични данни са име, адрес, телефонен номер, ел. поща, ЕГН, номер на лична карта.

Примери за специални лични данни са данни разкриващи расов или етнически произход, както и данни за здравословно състояние.

По отношение на общите лични данни чл. 6 от GDPR позволява обработката им на базата на изрично и изчерпателно изброени основания, докато за обработката на специални категории лични данни в чл. 9 от GDPR допуска по изключение в изрично регламентираните в разпоредбата хипотези. С оглед въведената забрана на лица под 60 годишна възраст да посещават хранителни магазини и аптеки от 08,30 до 10,30 часа всеки ден, възникна въпросът могат ли служители в магазини и аптеки да извършват контрол чрез проверка на личните карти на посетителите.

В настоящия случай въпросните дружества са длъжни да изпълняват разпорежданията на властта и да не допускат лица под 60 годишна възраст в указания часови диапазон. За тази цел те трябва да установят възрастта на посетителя, a това може да стане чрез проверка на неговия документ за самоличност.

В случая като основание за обработка може да послужи необходимостта от спазването на законово задължение, което се прилага спрямо администратора, а именно изпълнението на заповедта на министъра на здравеопазването. Допълнителен аргумент за обработка може да се изведе и от предложение 46 от GDPR, което гласи:

"Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия."

Като се вземе предвид разгарящата се в момента пандемия, смятаме, че в случая ако няма друго явно основание за обработка, като основание може да се приложи предл. 46 от GDPR. Това е така, защото обработката в случая цели ограничаване на разпространението на епидемията и запазване здравето на населението. Това е в полза както на жизненоважните интереси на отделния субект на данни, така и в обществен интерес.

В случая гореописаната забрана за посещение на магазини и аптеки, предполага задължение за контрол на достъпа от страна на съответните търговски обекти. При осъществяване на контрола на достъпа съответните търговски обекти имат качеството на администратори на лични данни и за да е законосъобразна обработката, освен основание са необходими и допълнителни условия.

Важно е да се отбележи, че GDPR въвежда множество задължения и ограничения с оглед осигуряване на технически и организационни мерки за защита на обработваните лични данни без значение от основанието за обработка. Мерките следва да бъдат предприети и стриктно прилагани преди началото на обработката. В този смисъл и задълженията за спазване на конфиденциалност, криптиране на данните, анонимизация или псевдонимизация (там, където е възможно), ограничаване на достъпа и много други остават в сила и дружествата, организациите, публичните органи и всички други администратори на лични данни следва да се съобразяват с тях.

В описания по-горе случай при проверката на възрастта на посетители в магазина или аптеката следва да се осъществява от служител, на който е вменено съответното задължение за обработка на лични данни. Обработващият служител следва да спазва конфиденциалност и да не разпространява информацията.

При контрола на достъпа освен възрастта на посетителя не бива да се обработват други негови лични данни като име, адрес, ЕГН и др., тъй като такава обработка би била в разрез с принципа за свеждане на данните до минимум, уреден в чл. 5, пар. 1, б. "в" от GDPR.

Обработените в този случай лични данни не трябва да бъдат записвани и съхранявани след проверката, тъй като те се обработват само за целите на спазването на контролния в режим. Ако събраните данни се запишат и съхраняват, това би противоречало на принципите за ограничение на целите за обработване и ограничение на съхранението уредени в чл. 5, пар. 1, б. "б" и "д" от GDPR.

Настоящата статия е изготвена от екипа на "ДАТА ПРОТЕКШЪН" ООД и не представя консултация, свързана с обработката на лични данни. Целта на статията е да предостави обща информация и тълкуване на разпоредбите на Регламент (ЕС) 2016/679 на широк кръг български граждани. Повече информация по теми касаещи защитата на личните данни може да откриете тук.