През изминалата седмица много от европейските органи по защита на данните излязоха със становища във връзка с обработването на данни, свързани с COVID-19. Тяхната позиция е, че GDPR не следва да възпрепятства мерките срещу пандемията, но обработването на данни във всеки случай трябва да е сигурно и пропорционално.
Какъв вид са личните данните, свързани с COVID-19?
Обикновено информацията, която ни интересува във връзка с COVID-19, е кои хора са пътували от/до определени държави, имат ли характерните симптоми и дали са се тествали. Може да следим също така кои служители са поставени под карантина или пък работят дистанционно.
Всичко това са лични данни и в повечето случаи данни за здравословно състояние. Данните за здравословното състояние са специална категория данни по смисъла на чл. 9 от GDPR. Това означава, че за обработването им трябва да са налице специални основания, както и да бъдат предприети конкретни и сигурни мерки за защита на правата на субектите.
Мога ли да събирам данни за здравословното състояние на служителите ми?
Лични данни, които са от значение за предприемане на мерки срещу разпространяването на пандемията, могат да бъдат събирани от работодатели и здравни органи, без GDPR да създава пречки за това. Именно това казва и Европейският комитет за защита на лични данни (EDPB) в своето становище относно COVID-19.
При събирането на данни за здравословно състояние обаче трябва да се спазват основните принципи, заложени в законодателството за защита на личните данни. Важно е да е събират само данни, които са абсолютно необходими за овладяване на разпространението на вируса и предприемането на конкретни мерки. Най-важните принципи, които трябва следваме, са пропорционалност и минимизация – да събираме само тези данни, които са ни нужни за конкретната цел, без излишно да навлизаме в личната сфера на субектите.
Мога ли да събирам данни за местоположението на служителите ми?
Това, че могат да се събират определени данни във връзка с извънредното положение не означава, че държавата и работодателите имат зелена светлина да събират всякакъв вид данни, дори и да имат връзка с разпространяването на пандемията.
Както изяснява и EDPB в своето становище, за данните относно електронната комуникация и местоположението на гражданите важат допълнителни правила. Съгласно Директива 2009/136/EC (ePrivacy Directive), която е въведена и в българското законодателство, данни за местоположение могат да се обработват или с изричното съгласие на субекта, или ако са анонимизирани.
Работодателите обаче обикновено не могат да разчитат на съгласие в контекста на обработването на данни на техните служители. Това означава, че освен ако данните не са анонимизирани, те не могат да събират и обработват данни за местоположението на служителите си.
На какво правно основание мога да разчитам?
Както беше посочено, работодателите рядко могат да разчитат на съгласие, така че правното основание за обработване на данни във връзка с COVID-19 най-вероятно ще бъде легитимен интерес или изпълнение на договор (ако разглеждаме осигуряването на безопасни условия на труд като задължение на работодателя по трудовия договор).
Тъй като данните за здравословно състояние са специална категория данни, за тяхното обработване трябва да бъде налице и някое от основанията по чл. 9 пар. 2 GDPR. В случая отново работодателите не могат да разчитат на изрично съгласие, но има няколко по-подходящи основания:
чл. 9 пар. 2 б) – обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право (задължението на работодателя да осигури здравословни и безопасни условия на труд по чл. 275 КТ);
чл. 9 пар. 2 и) – обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето (тук изглежда настоящото извънредно положение попада точно).
Независимо кое от специалните основания е приложимо, трябва да бъдат предвидени подходящи гаранции за основните права и интересите на субекта на данните.
Какви мерки трябва да предприема, ако служителите ми работят дистанционно?
Законодателството относно защита на личните данни не е пречка за различните видове работа от разстояние или надомна работа. В много случаи обаче служителите използват личните си устройства, което може да създаде риск за сигурността на данните.
Добре е да се подсигурите, че служителите предприемат същия вид мерки за сигурност, каквито използвате и в офиса. Можете да ограничите риска като осигурите начин за работа в облачно пространство като по този начин минимизирате необходимостта от свалянето и обработването на данни в локалната памет на лични устройства.
Мога ли да споделям информация за здравословното състояните на служителите ми с публични организации?
Макар и да е малко вероятно да се наложи да споделяте данни за конкретни субекти с държавата, GDPR не представлява пречка за това. Върху това акцентира и ICO в своето становище относно защитата на данните и коронавируса.
Необходимо ли е да правя промени в документацията?
Относно обработването на лични данни във връзка с COVID-19 важат всички основни правила и задължения съобразно чл. 13 от GDPR. Това означава, че трябва да информирате вашите служители и клиенти, какви данни събирате за тях, с каква цел и на какво правно основание.
Това означава, че може да се наложи да обновите декларацията си за защита на данни на служители, ако обработването на такива данни не е предвидено в нея. Ако събирате данни на други лица (напр. посетители или клиенти), трябва да ги информирате по подходящ начин, като това може да стане и чрез линк към декларацията за защита на данни на уебсайта ви.
Освен това ще се наложи да обновите и регистрите по чл. 30 на GDPR, които са задължителни за всеки администратор на лични данни, и да отразите какви данни във връзка с пандемията обработвате и на какво основание.
Един от начините да се подсигурите, че обработването да данни е законосъобразно, е да направите оценка на въздействието за върху защитата на данните (DPIA). Това може да се наложи, тъй като често се обработват рискови данни от специална категория (данни за здравословно състояние) и то за уязвима група субекти (служители). Особено важно е да направите оценка за въздействие, ако сте голяма организация, която обработва данни на много служители.
Какво да правя след като извънредното положение отмине?
Данните за здравословно състояние се събират с цел идентифициране на рискове и предприемане на конкретни мерки във връзка с пандемията. Те могат да бъдат използвани единствено за тази цел и само за периода, за който това е необходимо. След като обработването спре да бъде наложително и опасността от разпространението на вируса отмине, данните трябва да бъдат изтрити (електронен носител) или шредирани (хартиен носител).
Данните на служители, които са тествани и са с позитивен резултат могат да бъдат обработвани и за по-дълъг период, за да им бъде оказана подкрепа, да се направи преценка кога е безопасно да се върнат в офиса или пък ако бъдат въведени законодателни изисквания тази информация да се съхранява.
Значение
Нормално и очаквано предвид обстановката е работодателите да събират информация за здравословното състояние на своите служители. Важно е обаче да не забравяме, че това не трябва да става за сметка основните права на гражданите. GDPR не възпрепятства събирането на данни във връзка с COVID-19, но ако това става при предоставяне на съответните гаранции за сигурността и пропорционалността на обработването.
От значение е мерките за подсигуряване законосъобразността на обработването да бъдат предприети сега, защото данните за здравословно състояние са високорискови и потенциално нарушение в сигурността би имало сериозни последици за субектите.
Заключение:
Работодателите имат право да събират данни за здравословното състояние на служителите си, но при спазване на определени изисквания. Субектите трябва да бъдат информирани за обработването, данните следва да са в минимален обем и събирани само с оглед конкретна цел при спазване на високи мерки за сигурност.
Ако спазвате основния принцип за пропорционалност и отразите в документите си обработването на данните, то действията ви най-вероятно ще бъдат законосъобразни.
