Овладяване на разпространението на вируса Covid-19, т.нар. коронавирус е основна цел на правителствата по света в момента. Междувременно вируса оказа сериозно негативно въздействие върху икономическия, социалния и включително върху правния живот във всяка държава.
За справяне с пандемията българското правителството прие мерки, които оказаха въздействие в множество сфери на живота и въпреки, че не е видно на пръв поглед, предприетите мерки оказват въздействие при обработката на лични данни.
Във връзка с предприетите мерки за справяне с Covid-19 възникнаха множество въпроси, касаещи условията за обработка на лични данни в условията на пандемия. В поредица от няколко статии ще разгледаме най-честите въпроси свързани с обработката на лични данни в условията на пандемията от Covid-19.
В настоящата статия ще разгледаме въпроса за обработката на лични данни по повод, забраната на лица под 60 годишна възраст да посещават хранителни магазини и аптеки във времето от 08,30 до 10,30 часа всеки ден.
Според чл. 4 от GDPR „лични данни” означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. GDPR поставя различни условия за обработка на данни според обработваната категория лични данни. Категориите лични данни биват общи и специални.
Примери за общи лични данни са име, адрес, телефонен номер, ел. поща, ЕГН, номер на лична карта.
Примери за специални лични данни са данни разкриващи расов или етнически произход, и данни за здравословно състояние.
По отношение на общите лични данни чл. 6 от GDPR позволява обработката им на базата на изрично и изчерпателно изброени основания, докато за обработката на специални категории лични данни в чл. 9 от GDPR допуска по изключение в изрично регламентираните в разпоредбата хипотези.
С оглед въведената забрана на лица под 60 годишна възраст да посещават хранителни магазини и аптеки във времето от 08,30 до 10,30 часа всеки ден, възникна въпроса могат ли служители в магазини и аптеки да извършват контрол чрез проверка на личните карти на посетителите.
В настоящия случай въпросните дружества са длъжни да изпълняват разпорежданията властта и да не допускат лица под 60 годишна възраст в указания часови диапазон. За тази цел те трябва да установят възрастта на посетителя, a това може да стане чрез проверка на неговия документ за самоличност.
В случая като основание за обработка може да послужи необходимостта от спазването на законово задължение, което се прилага спрямо администратора, а именно изпълнението на заповедта на министъра на здравеопазването. Допълнителен аргумент за обработка може да се изведе и от предложение 46 от GDPR, което гласи:
„Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.”
Като се вземе предвид разгарящата се в момента пандемия смятаме, че в случая ако няма друго явно основание за обработка, като основание може да се приложи предл. 46 от GDPR. Това е така защото обработката в случая цели ограничаване на разпространението на епидемията и запазване здравето на населението. Това е в полза както на жизненоважните интереси на отделния субект на данни, така и в обществен интерес.
В случая гореописаната забрана за посещение на магазини и аптеки, предполага задължение за контрол на достъпа от страна на съответните търговски обекти. При осъществяване на контрола на достъпа съответните търговски обекти имат качеството на администратори на лични данни и за да е законосъобразна обработката освен основание са необходими и допълнителни условия.
Важно е да се отбележи, че GDPR въвежда множество задължения и ограничения с оглед осигуряване на технически и организационни мерки за защита на обработваните лични данни без значение от основанието за обработка. Мерките следва да бъдат предприети и стриктно прилагани преди началото на обработката.
В този смисъл и задълженията за спазване на конфиденциалност, криптиране на данните, анонимизация или псевдонимизация (там, където е възможно), ограничаване на достъпа и много други остават в сила и дружествата, организациите, публичните органи и всички други администратори на лични данни следва да се съобразяват с тях.
В описания по-горе случай при проверката на възрастта на посетители в магазина или аптеката следва да се осъществява от служител, на който е вменено съответното задължение за обработка на лични данни. Обработващият служител следва да спазва конфиденциалност и да не разпространява информацията.
При контрола на достъпа освен възрастта на посетителя не бива да се обработват други негови лични данни като име, адрес, ЕГН и др., тъй като такава обработка би била в разрез с принципа за свеждане на данните до минимум, уреден в чл. 5, пар. 1, б. „в” от GDPR.
Обработените в този случай лични данни не трябва да бъдат записвани и съхранявани след проверката, тъй като те се обработват само за целите на спазването на контролния в режим. Ако събраните данни се запишат и съхраняват, това би противоречало на принципите за ограничение на целите за обработване и ограничение на съхранението уредени в чл. 5, пар. 1, б. „б” и „д” от GDPR.