Във връзка с разгарящата се в момента пандемия породена от вируса Covid-19, т.нар. коронавирус правителството прие мерки целящи ограничаване на разпространението на вируса. Предприетите мерки за справяне с Covid-19 предизвикаха негативно въздействие върху обществения живот и същевременно повдигнаха множество въпроси, касаещи обработването на лични данни в условията на пандемия.
В първата част от поредицата разгледахме въпроса за обработката на лични данни по повод, забраната на лица под 60 годишна възраст да посещават хранителни магазини и аптеки във времето от 08,30 до 10,30 часа всеки ден. В настоящата статия ще разгледаме хипотезата:
Допустимо ли е работодателите да изискват от своите служители, клиенти, посетители информация за симптоми на заболяването предизвикани от Covid-19 като болки в тялото, висока температура, кашлица, умора?
Както описахме в част първа Регламент (ЕС) 2016/679, т. нар. GDPR урежда две категории лични данни – общи и специални. В случая данните за болки в тялото, висока температура, кашлица и умора представляват данни за здравословно състояние, които от своя страна представляват специална категория лични данни съгласно чл. 9 от GDPR и тяхната обработка е забранена, освен при наличието на изброените в чл. 9, пар. 2 хипотези.
Много често в практиката работодателите, в качеството им на администратори на данни, използват декларирано съгласие от страна на работниците за обработката на различни техни лични данни. Съгласно практиката на Комисията за защита на личните данни и Европейският комитет по защита на данните обаче, използването на съгласието на работника за обработка на личните му данни от страна на работодателя е неприложимо в повечето хипотези на обработка на лични данни. В случая, съгласието като основание за обработка е неприложимо, тъй като е налице неравнопоставеност между работодателя администратор на данни и субекта на данните негов работник.
В условията на пандемия за обработката на лични данни, работодателите могат да използват основанието, уредено в чл. 9, пар. 2, б. „И” от GDPR, когато обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето.
С оглед конкретната обстановка в страна и света, основанието по чл. 9, пар. 2, б. „И” от GDPR следва да намери приложение в случая, тъй като предвидената обработка на данни е в обществен интерес и също така цели да запази живота и здравето на останалите работници и служителите на конкретния работодател.
Допълнителен аргумент за допустимост на обработката на лични данни в условията на пандемия, може да бъде изведен от предложение 46 от GDPR, където е уредено като законосъобразно обработването на лични данни когато е необходимо за защитата на интерес от първостепенно значение за живота на физическите лица и наблюдение на епидемии и тяхното разпространение. Такава е конкретната обстановка в страната и света в момента.
Следва да се отбележи, че работодателите са длъжни да изпълняват разпорежданията на Кризисния щаб, а също така са задължени от Кодекса на труда да осигурят здравословни и безопасни условия на труд за своите работници и служители.
Поради изброените съображения смятаме, че с оглед настоящата ситуация работодателите разполагат с надлежно основание за обработката на лични данни за наличие на симптоми на Covid-19 на своите служители. Следва да отбележим обаче, че само наличието на основание не прави обработката на данните за наличие на симптоми законосъобразна. За да бъде законосъобразна обработката на въпросните лични данни е необходимо работодателите да изпълнят основните задължения и принципи за законосъобразна обработка на лични данни, заложени в GDPR.
При обработката трябва да бъдат съобразени принципите за ограничение на целите, свеждане на данните до минимум, ограничение на съхранението, цялостност и поверителност. Важно е да се отбележи, че не е допустимо под предлога Covid-19, работодателите да събират от работниците друга медицинска информация, различна от симптомите на вируса.
За да са спокойни работодателите, че обработката на лични данни ще бъде законосъобразна, е необходимо предварително да предприемат подходящи технически и организационни мерки. Добра практика е преди обработката на лични данни да бъдат приложени следните мерки:
– да бъдат изготвените необходимата документация (политики, правилници, процедури и регистри);
– да бъдат определени лицата, отговарящи за обработката на данните (събиране, съхранение и унищожаване на данните);
– да бъдат определени местата и срока за съхранение на лични данни;
– да бъде предоставена необходимата информация на субектите на данни;
– да бъдат предприети мерки за защита на данните (ограничаване на достъпа до помещенията и местата за съхранение на данните; защита на компютрите съхраняващи лични данни; криптиране и псевдонимизиране на данните където е възможно и др.)
– ограничаване на съхранение (данните да не се съхраняват по-дълго от необходимото).
Ако работодател получи информация, че негов работник е заразен с Covid-19, това обстоятелство следва да бъде споделено с органите на властта и здравните власти. Това би спомогнало за справянето с пандемията и нейното ограничаване, включително във връзка с обезпечаване на задължителната карантина на заболелите лица.