Европейският комитет по защита на данните (ЕКЗД) прие следното изявление относно обработването на лични данни в условията на разпространение на заразата от COVID-19:
Правителствата, публичните и частните организации в цяла Европа предприемат мерки за овладяване и смекчаване на въздействието на COVID-19. Това може да включва обработването на различни видове лични данни.
Правилата за защита на данните (като Общия регламент относно защитата на данните) не възпрепятстват мерките, предприети в борбата с пандемията от коронавирус. Борбата със заразните болести е съществена цел, която се споделя от всички нации и поради това следва да бъде подкрепена по най-добрия възможен начин.
В интерес на човечеството е разпространението на болестите да се ограничава и да се използват съвременни техники в борбата с епидемиите, засягащи големи части от света. Макар и това да е така, ЕКЗД би искал да подчертае, че дори в тези изключителни времена администраторът и обработващият лични данни трябва да гарантират защитата на личните данни на субектите на данни.
Поради това, следва да се вземат предвид редица съображения, за да се гарантира законосъобразното обработване на лични данни и при всички положения следва да се припомни, че всяка мярка, предприета в тази връзка, трябва да зачита общите принципи на правото, както и да не е необратима.
Извънредното положение е правно основание, което може да легитимира ограниченията на свободите, при условие че тези ограничения са пропорционални и че важат за периода на извънредното положение.
Законосъобразност на обработването
ОРЗД е широкообхватен законодателен акт и предвижда правила, които се прилагат и за обработването на лични данни в ситуации като тази с COVID-19.
ОРЗД позволява на компетентните органи в областта на общественото здравеопазване и на работодателите да обработват лични данни във връзка с епидемия, в съответствие с националното законодателство, и при спазване на определените в него условия. Например, когато обработването е необходимо по причини от важен обществен интерес в областта на общественото здраве. При тези обстоятелства не е необходимо да се иска съгласието на отделните лица.
- По отношение на обработването на лични данни, включително специални категории данни от компетентните публични органи (напр. органите в областта на общественото здравеопазване), ЕКЗД счита, че членове 6 и 9 от ОРЗД дават възможност за обработването на лични данни, по-специално, когато те попадат в обхвата на законовите правомощия на публичния орган, предвидени в националното законодателство, и условията, залегнали в ОРЗД.
- В контекста на трудовите правоотношения обработването на лични данни може да е необходимо за спазването на правно задължение, приложимо спрямо работодателя, като например задължения, свързани със здравето и безопасността на работното място или с обществения интерес, като контрола на заболяванията, и други заплахи за здравето. В ОРЗД се предвиждат и дерогации от забраната за обработване на някои специални категории лични данни, като например данни за здравословното състояние, когато това е необходимо от съображения от важен обществен интерес в областта на общественото здраве (член 9, параграф 2, буква и), въз основа на правото на Съюза или националното право, или когато е необходимо да се защитят жизненоважните интереси на субекта на данните (член9, параграф 2, буква в), тъй като съображение 46 изрично се отнася до контрола на епидемия.
- По отношение на обработването на данни в областта на далекосъобщенията, като например данни за местонахождението, трябва да се спазват също така националните закони за прилагане на Директивата за правото на неприкосновеност на личния живот и електронни комуникации. По принцип, данните за местонахождението могат да се използват от оператора само когато са анонимизирани или със съгласието на отделните лица. Член 15 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации обаче дава възможност на държавите членки да въвеждат законодателни мерки за защита на обществената сигурност. Наличието на такова изключително законодателство е възможно само ако представлява необходима, подходяща и пропорционална мярка в демократично общество. Тези мерки трябва да бъдат в съответствие с Хартата на основните права и Европейската конвенция за защита на правата на човека и основните свободи. Освен това законодателството подлежи на съдебен контрол от страна на Съда на Европейския съюз и Европейския съд по правата на човека. В случай на извънредна ситуация, то следва също да бъде строго ограничено до времетраенето на въпросната извънредна ситуация.
Основни принципи, свързани с обработването на лични данни
Личните данни, които са необходими за постигане на преследваните цели, следва да бъдат обработвани за конкретни и ясно формулирани цели.
Освен това, субектите на данни следва да получават прозрачна информация относно извършваните дейности по обработване и техните основни характеристики, включително срока на съхранение на събраните данни и целите на обработването. Предоставената информация следва да бъде лесно достъпна и представена на ясен и разбираем език.
Важно е да се приемат подходящи мерки за сигурност и политики за поверителност, които да гарантират, че личните данни не се разкриват на неупълномощени лица. Мерките, предприети за управление на настоящата извънредна ситуация и на свързания с това процес на вземане на решения, следва да бъдат надлежно документирани.
Използване на мобилни данни за местонахождение
Могат ли правителствата на държавите членки да използват лични данни, свързани с мобилните телефони на отделни лица, в техните усилия за наблюдение, овладяване или смекчаване на разпространението на COVID-19?
В някои държави членки правителствата предвиждат използването на мобилни данни за определяне на местонахождението като възможен начин за наблюдение, овладяване или смекчаване на разпространението на COVID-19. Това би означавало например възможността отделни лица да бъдат позиционирани географски или органите да изпращат съобщения във връзка с общественото здраве на отделни лица в конкретна област по телефона или чрез текстово съобщение. Публичните органи следва първоначално да се опитат да обработят данните за местонахождението по анонимен начин, което би могло да даде възможност за изготвяне на доклади относно концентрацията на мобилни устройства на определено местонахождение („картография“).
Правилата за защита на личните данни не се прилагат за данни, които са били надлежно анонимизирани.
Когато не е възможно да се обработват само анонимни данни, Директивата за правото на неприкосновеност на личния живот и електронни комуникации дава възможност на държавите членки да въведат законодателни мерки за защита на обществената сигурност (член 15).
Ако се въведат мерки, позволяващи обработването на данни за местонахождението, които не са анонимизирани, съответната държава членка е длъжна да въведе подходящи гаранции, като например да предостави право на съдебна защита на отделните лица, използващи електронни съобщителни услуги.
Прилага се и принципът на пропорционалност. Винаги следва да се предпочитат решенията, предвиждащи най-малка намеса, като се отчита целта, която трябва да бъде постигната. Инвазивните мерки, като например „проследяването“ на отделни лица (т.е. обработването на предишни данни за местонахождението, които не са анонимизирани), биха могли да се считат за пропорционални при изключителни обстоятелства и в зависимост от конкретните условия на обработването. Това обаче следва да подлежи на засилен контрол и мерки, за да се гарантира спазването на принципите за защита на данните.
Заетост
Може ли работодателят да изисква от посетителите или служителите да предоставят специфична здравна информация във връзка с COVID-19?
В този случай от особено значение е прилагането на принципа на пропорционалност и свеждането на данните до минимум. Работодателят следва да изисква здравна информация само дотолкова, доколкото националното законодателство го позволява.
Позволено ли е работодателят да извършва медицински прегледи на служителите?
Отговорът зависи от националните закони в областта на заетостта или здравето и безопасността. Работодателите следва да имат достъп до здравни данни и да обработват такива само, ако техните собствени законови задължения го изискват.
Може ли работодател да разкрие, че даден служител е заразен с COVID-19 на колегите му или на външни лица?
Работодателите следва да информират служителите за случаите на COVID-19 и да предприемат защитни мерки, но те не трябва да предоставят повече информация от необходимото. В случаите, когато е необходимо да се разкрие името на служител, заразен с вируса – с цел превантивни действия – и националното законодателство го позволява, засегнатите служители се информират предварително, като се защитават тяхното достойнство и неприкосновеност.
Каква информация, обработена в контекста на COVID-19, може да бъде получена от работодателите?
Работодателите могат да получат лична информация, за да изпълнят своите задължения и да организират работата в съответствие с националното законодателство.
Източник: Официален уебсайт на Европейския съюз