Комисията за защита на личните данни разяснява обработването на данни за ваксинационния статус на лицата
Отговор, предоставен отдоц. д-р Андрей Александров
1. На фона на продължаващото разпространение на коронавирус (COVID-19) и все още твърде ниския брой на лицата, завършили пълния ваксинационен цикъл срещу заболяването у нас, темата за допустимите предели на обработване на лични данни, свързани със здравния статус на работниците и служителите от техните работодатели, продължава да е особено актуална.
Тя неведнъж е засягана и в правната литература, като сравнително единодушно се възприемат следните изводи:
- Работодателят не може да принуждава работниците и служителите си да се ваксинират. Ваксинирането у нас е доброволно, поради което всякакви опити за натиск от страна на работодателя и за задължаване на работниците и служителите да се ваксинират се явяват незаконни.
- Отказът за ваксиниране не може да повлече и ангажирането на дисциплинарната отговорност на работника или служителя. Предвид обстоятелството, че ваксинирането е доброволен акт на всяко лице, съобразен с цялостното му здравословно състояние, няма правно основание, предвидено в действащото ни законодателство, за налагане на дисциплинарно наказание на служител, който откаже да се ваксинира.
- Работодателят не може да поставя и като условие за назначаване вече извършена ваксинация. Подобно условие би било проява на дискриминационно третиране по отношение на кандидатите за работа и основание за налагане на санкции от Комисията за защита от дискриминация.
- Кандидатите за работа, както и вече назначените работници и служители, нямат задължение да отговарят на въпроси, касаещи ваксинация срещу COVID-19, както и въпроси дали са преболедували от заболяването. Такава информация може да се обработва от работодателя, единствено ако е предоставена доброволно. Все пак трябва да се отбележи, че по тази тема съществуват най-много спорове, доколкото и компетентните административни органи, както ще стане дума по-долу, признават допустимостта на задължителното тестване на работниците и служителите като мярка и гаранция за общата безопасност.
2. В качеството си на национален надзорен орган по спазване на законодателството за защита на личните данни, Комисията за защита на личните данни (КЗЛД) вече неколкократно е вземала отношение по въпроси, свързани с обработването на данни за здравния статус на лицата, и по-конкретно за заболяването коронавирус.
Това обяснимо, доколкото информацията, свързана със здравния статус, попада в категориите на т.нар. „чувствителни лични данни“ по смисъла на Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета на Европейския съюз (Общия регламент за защита на данните /ОРЗД/ или GDPR). Обработването на чувствителни лични данни в контекста на изпълнението на правата и задълженията на работодателя - администратор на данните - по принцип е допустимо, но трябва да се прави със съзнанието за вредите, които могат да претърпят субектите на данните от нерегламентираното им разкриване, съответно да се вземат адекватни технически и организационни мерки за обезпечаване на тяхната сигурност.
Oще миналата година КЗЛД се произнесе със свои становища по въпросите за груповото тестване на служителите за COVID-19 (Становище Рег. № НПМД-17-151/2020 г.), както и за обработването на лични данни относно здравето и степен на информиране на служителите в случай на наличие на инфектиран с COVID-19 служител (Становище Рег. № НПМД-17-114/2020 г.). Тогава Комисията достигна до извода, че българското законодателство не задължава работодателите да тестват персонала за коронавирус. Работодателите имат само правната възможност да организират изследвания, но не и да ги извършват сами. Преди да пристъпят към такива действия, те следва да извършат предварителен анализ (т.нар. тест за балансиране), в резултат на който да се установи, че легитимните интереси на работодателя (опазване на здравето и работоспособността на целия персонал и продължаване на функционирането на дейността) имат преимущество пред правата и свободите на субектите на данните (идеята за ограничаване на намесата в личното пространство на работника или служителя). В такъв случай работодателят може да издаде заповед за задължително групово тестване за установяване на заразени или приносители на COVID-19 сред своите служители. Обработването на данни за здравето и данни от пробите, съдържащи генетичен материал на изследваните лица за COVID-19 чрез групови PCR-тестове, може да се извърши само от компетентните здравни власти, които са обвързани със задължението за професионална тайна и съобразно приложимото законодателство.
3. Наскоро КЗЛД публикува ново свое становище, свързано с пандемията на коронавирус, което е и непосредственият повод да се върнем на въпроса за допустимостта на обработване на данни за ваксинационния статус.
В Становище с Рег. № ПНМД-01-93/2021 г. от 06.10.2021 г. (текстът на становището е възпроизведен със съкращения) членовете на КЗЛД посочват:
На равнище ЕС европейските съзаконодатели приеха Регламента за Цифровия COVID сертификат на ЕС, който се прилага пряко във всички държави членки, считано от 1 юли 2021 г. Целта му е да улесни и направи безопасно свободното движение на граждани в рамките на ЕС по време на пандемията от COVID-19. Сертификатът разполага с оперативно съвместим и машинночетим QR код, достъпен на хартиен или цифров носител. Чрез него се удостоверява, че дадено лице е: (а) ваксинирано срещу COVID-19; (б) получило отрицателен резултат от тест; или (в) преболедувало инфекцията.
Разпоредбата на чл. 10, пар. 1 във вр. със съобр. 48 от Регламента за Цифровия COVID сертификат на ЕС дефинира ясно, че Регламент (ЕС) 2016/679 (ОРЗД) се прилага за обработването на лични данни, извършвано при неговото изпълнение. Личните данни, съдържащи се в сертификатите, се обработват единствено с цел достъп до и проверка на информацията, съдържаща се в тях, за да се улесни упражняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от регламента срок, като след това не следва да се извършва по-нататъшно обработване.
За всяка друга цел обаче, националното законодателство трябва изрично да предоставя правно основание за обработване на данните от сертификатите. В този смисъл ОРЗД е напълно приложим и по отношение на обработването на личните данни за всяка друга цел, различна от целта на Регламента за Цифровия COVID сертификат на ЕС.
Дали и как сертификатите попадат в обхвата на ОРЗД ще зависи от начина, по който администраторите възнамеряват да ги използват. В тази връзка могат да се очертаят следните хипотези:
1) Администраторът възнамерява да записва систематично сертификатите или информацията, която те съдържат, като част от регистър с лични данни;
2) Администраторът възнамерява да въведе цифрова проверка на сертификатите, включваща сканиране на техния QR код (със или без записване на данните, които съдържат);
3) Администраторът възнамерява да въведе ръчна проверка на сертификатите, включваща проверяване на отпечатани хартиени копия или ръчна проверка на цифровия сертификат (само чрез визуализиране на сертификата, без да се сканира QR кода и/или без да се записва/документира информацията, съдържаща се в него).
Хипотези (1) и (2) представляват дейности по обработване на лични данни, които попадат в материалния обхват на ОРЗД (чл. 2, пар. 1 ОРЗД) и в този смисъл трябва да отговарят на предвидените в него условия за законосъобразност.
Хипотеза (3) не попада в обхвата на ОРЗД, но въпреки това, изискването за споделяне на чувствителна медицинска информация представлява намеса в основното право на личен живот, което е защитено с чл. 7 от Хартата на основните права на ЕС (Хартата). Чрез подобна намеса могат да бъдат засегнати и други права на човека, освен неговата неприкосновеност, като напр. правото на недискриминация, правото на труд, правото на образование, права на детето и т.н. Следователно такава мярка трябва да бъде обект на условията за законосъобразност, необходимост и пропорционалност, предвидени в чл. 52, пар. 1 от Хартата и администраторът трябва да извърши внимателна преценка дали подобна намеса може да бъде законово оправдана.
Безспорно е, че сертификатите съдържат чувствителна здравна информация, която представлява специална категория данни и нейното обработване трябва да отговаря на по-завишения праг за законосъобразност, заложен в чл. 9 от ОРЗД.
Като мярка, предназначена да защити здравето и безопасността на персонала (работници/служители) чл. 9, пар. 2, б. „б” от ОРЗД може да осигури подходящо основание за законосъобразно обработване на данните от цифровите сертификати. Приложими могат да бъдат и условията за законосъобразност по чл. 9, пар. 2, б. „ж” или чл. 9, пар. 2, б. „и” ОРЗД, ако националното законодателство налага по-широко използване на сертификатите.
Следва да се отбележи, че някои от практическите приложенията на сертификатите могат да се квалифицират като дейности по автоматизираното вземане на индивидуални решения и профилиране, които от своя страна се регламентират от чл. 22 на ОРЗД. Такъв например може да бъде случаят, когато се използва цифрова проверка на сертификатите (чрез сканиране на QR кода) за целите на автоматизиран достъп до помещения. Тази дейност би представлявала автоматизирано вземане на индивидуално решение, което поражда неблагоприятни последствия за субекта на данни, вкл. правни такива. Към момента нито правото на ЕС, нито националното ни право, разрешават (каквото е изискването на чл. 22, пар. 2, б. „б” от ОРЗД) проверка на сертификатите, основана единствено на автоматизирано обработване, за целите на даване или отказ на достъп до помещения въз основана на съображения за безопасност на здравето. На практика това означава, че използването на сертификатите за такива цели не може да се основава единствено на автоматизирано обработване, което не включва адекватно човешко участие в процеса на тяхната проверка.
Когато обработването на данни от сертификатите отговаря на изискванията за законосъобразност, необходимост и пропорционалност, трябва да бъдат приложени подходящи технически и организационни мерки за тяхната сигурност. Администраторът следва да прецени необходимостта от извършване на оценка на въздействието върху защитата на данните по чл. 35 от ОРЗД с цел установяване на рисковете и тяхното смекчаване на всички етапи от обработването. Когато сертификатите се използват като условие и средство за получаване на достъп до помещения, такава оценка ще е почти винаги необходима, тъй като касае мащабно обработване на специални категории лични данни.
Способите за защита на данните на етапите на „проектиране” и по „подразбиране” също трябва да бъдат отчетени от администратора, гарантирайки, че се обработват само минимален обем от данни и се използват технологии, щадящи поверителността. В тази връзка следва да се предвидят процедури за проверка, чрез които да се избягва записването и запазването на лични данни в съответствие с принципа за свеждане на данните до минимум и в изпълнение на Регламента за Цифровия COVID сертификат на ЕС, който има за цел децентрализирано проверяване на сертификатите без обработване на допълнителни данни за това.
В съответствие с принципа за прозрачност, субектите на данни (служители, посетители и др.) трябва да бъдат предварително информирани за наложените от администратора мерки при проверка на сертификатите, като напр. как ще се извършва тя, какви данни ще се обработват, кой ще има достъп до тях и към кой могат да се отправят искания или възражения свързани с обработването на тези данни.
Защитата на личните данни е само един от аспектите при въвеждането и прилагането на мерки за ограничаване на разпространението на епидемията. Към настоящия момент в редица държави от ЕС са извършени или са в процес на извършване законодателни промени, които да отговорят както на наложените безпрецедентни обществени отношения, така и на действащия правопорядък, гарантиращ основните права и свободи на гражданите. Швейцария, макар и да не е държава-членка на ЕС, прие в началото на месец септември т.г. законодателство, с което въвежда задължително ползване на сертификатите за целите на посещение на ресторанти и други обществени обекти. Тъй като темата надскача пределите на компетентност на един надзорен орган по защита на личните данни, считаме, че в стратегически план тя следва да бъде дискутирана във възможно най-широк кръг от други публични органи, граждани и организации. Подобен подход би спомогнал за приемането на необходимите правно обвързващи актове на национално равнище.
В Държавен вестник бр. 44 от 13.05.2020 г. беше обнародван Закон за изменение и допълнение на Закона за здравето, който урежда правните инструменти за ограничаване на разпространението на епидемията и преодоляване на последиците от нея, които се прилагат на територията на страната след отмяната на извънредното положение, т.е. след 13 май 2020 г. Регламентирани са както изцяло нови, различни по своя характер мерки, така и промени във вече въведените такива.
Законът дава право на Министерски съвет, по предложение на министъра на здравеопазването, да обявява извънредна епидемична обстановка на територията на страната при непосредствена опасност за живота и здравето на гражданите от разпространението на заразна болест, каквато е COVID-19. Уреждат се и условията, които следва да са изпълнени, за да бъде въведена такава обстановка. Във връзка с това, със свое Решение № 325 от 14.05.2020 г. Министерският съвет обяви извънредна епидемична обстановка на територията на страната, която продължава и към настоящия момент. Противоепидемичните мерки се въвеждат със заповед на министъра на здравеопазването или на друг компетентен орган (напр. директор на съответната РЗИ).
Наред с това, Законът за мерките и действията по време на извънредното положение, обявено с решение на народното събрание от 13 март 2020 г. и за преодоляване на последиците (загл. доп. – ДВ, бр. 44 от 2020 г., в сила от 14.05.2020 г.) предвижда, че министърът на здравеопазването освен по Закона за здравето може да въвежда и други временни мерки и ограничения, определени в закон.
Преди въвеждането на интрузивни мерки като тестове (антигенен/PCR) или обработване на данни за ваксинационния статус на лицата, администраторите могат да обмислят използването на агрегирани (обобщени) данни за здравето. Агрегираните данни, които не позволяват свързването на информация за здравето с отделни лица, могат да се считат за анонимни, т.е. не попадат в обхвата на ОРЗД. Примерите за такива обобщени здравни данни включват:
- Процент на служителите, които са ваксинирани срещу COVID-19 в рамките на определен период от време;
- Процент на служителите без ваксинация срещу COVID-19 или на тези с неизвестен ваксинационен статус.
Разпоредбата на чл. 10, пар. 1 във вр. със съобр. 48 от Регламента за Цифровия COVID сертификат на ЕС дефинира ясно, че Регламент (ЕС) 2016/679 (ОРЗД) се прилага за обработването на лични данни, извършвано при неговото изпълнение. Личните данни, съдържащи се в сертификатите, се обработват единствено с цел достъп до и проверка на информацията, съдържаща се в тях, за да се улесни упражняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от регламента срок, като след това не следва да се извършва по-нататъшно обработване.
За всяка друга цел обаче, националното законодателство трябва изрично да предоставя правно основание за обработване на данните от сертификатите. В този смисъл ОРЗД е напълно приложим и по отношение на обработването на личните данни за всяка друга цел, различна от целта на Регламента за Цифровия COVID сертификат на ЕС.
Дали и как сертификатите попадат в обхвата на ОРЗД ще зависи от начина, по който администраторите възнамеряват да ги използват. В тази връзка могат да се очертаят следните хипотези:
1) Администраторът възнамерява да записва систематично сертификатите или информацията, която те съдържат, като част от регистър с лични данни;
2) Администраторът възнамерява да въведе цифрова проверка на сертификатите, включваща сканиране на техния QR код (със или без записване на данните, които съдържат);
3) Администраторът възнамерява да въведе ръчна проверка на сертификатите, включваща проверяване на отпечатани хартиени копия или ръчна проверка на цифровия сертификат (само чрез визуализиране на сертификата, без да се сканира QR кода и/или без да се записва/документира информацията, съдържаща се в него).
Хипотези (1) и (2) представляват дейности по обработване на лични данни, които попадат в материалния обхват на ОРЗД (чл. 2, пар. 1 ОРЗД) и в този смисъл трябва да отговарят на предвидените в него условия за законосъобразност.
Хипотеза (3) не попада в обхвата на ОРЗД, но въпреки това, изискването за споделяне на чувствителна медицинска информация представлява намеса в основното право на личен живот, което е защитено с чл. 7 от Хартата на основните права на ЕС (Хартата). Чрез подобна намеса могат да бъдат засегнати и други права на човека, освен неговата неприкосновеност, като напр. правото на недискриминация, правото на труд, правото на образование, права на детето и т.н. Следователно такава мярка трябва да бъде обект на условията за законосъобразност, необходимост и пропорционалност, предвидени в чл. 52, пар. 1 от Хартата и администраторът трябва да извърши внимателна преценка дали подобна намеса може да бъде законово оправдана.
Безспорно е, че сертификатите съдържат чувствителна здравна информация, която представлява специална категория данни и нейното обработване трябва да отговаря на по-завишения праг за законосъобразност, заложен в чл. 9 от ОРЗД.
Като мярка, предназначена да защити здравето и безопасността на персонала (работници/служители) чл. 9, пар. 2, б. „б” от ОРЗД може да осигури подходящо основание за законосъобразно обработване на данните от цифровите сертификати. Приложими могат да бъдат и условията за законосъобразност по чл. 9, пар. 2, б. „ж” или чл. 9, пар. 2, б. „и” ОРЗД, ако националното законодателство налага по-широко използване на сертификатите.
Следва да се отбележи, че някои от практическите приложенията на сертификатите могат да се квалифицират като дейности по автоматизираното вземане на индивидуални решения и профилиране, които от своя страна се регламентират от чл. 22 на ОРЗД. Такъв например може да бъде случаят, когато се използва цифрова проверка на сертификатите (чрез сканиране на QR кода) за целите на автоматизиран достъп до помещения. Тази дейност би представлявала автоматизирано вземане на индивидуално решение, което поражда неблагоприятни последствия за субекта на данни, вкл. правни такива. Към момента нито правото на ЕС, нито националното ни право, разрешават (каквото е изискването на чл. 22, пар. 2, б. „б” от ОРЗД) проверка на сертификатите, основана единствено на автоматизирано обработване, за целите на даване или отказ на достъп до помещения въз основана на съображения за безопасност на здравето. На практика това означава, че използването на сертификатите за такива цели не може да се основава единствено на автоматизирано обработване, което не включва адекватно човешко участие в процеса на тяхната проверка.
Когато обработването на данни от сертификатите отговаря на изискванията за законосъобразност, необходимост и пропорционалност, трябва да бъдат приложени подходящи технически и организационни мерки за тяхната сигурност. Администраторът следва да прецени необходимостта от извършване на оценка на въздействието върху защитата на данните по чл. 35 от ОРЗД с цел установяване на рисковете и тяхното смекчаване на всички етапи от обработването. Когато сертификатите се използват като условие и средство за получаване на достъп до помещения, такава оценка ще е почти винаги необходима, тъй като касае мащабно обработване на специални категории лични данни.
Способите за защита на данните на етапите на „проектиране” и по „подразбиране” също трябва да бъдат отчетени от администратора, гарантирайки, че се обработват само минимален обем от данни и се използват технологии, щадящи поверителността. В тази връзка следва да се предвидят процедури за проверка, чрез които да се избягва записването и запазването на лични данни в съответствие с принципа за свеждане на данните до минимум и в изпълнение на Регламента за Цифровия COVID сертификат на ЕС, който има за цел децентрализирано проверяване на сертификатите без обработване на допълнителни данни за това.
В съответствие с принципа за прозрачност, субектите на данни (служители, посетители и др.) трябва да бъдат предварително информирани за наложените от администратора мерки при проверка на сертификатите, като напр. как ще се извършва тя, какви данни ще се обработват, кой ще има достъп до тях и към кой могат да се отправят искания или възражения свързани с обработването на тези данни.
Защитата на личните данни е само един от аспектите при въвеждането и прилагането на мерки за ограничаване на разпространението на епидемията. Към настоящия момент в редица държави от ЕС са извършени или са в процес на извършване законодателни промени, които да отговорят както на наложените безпрецедентни обществени отношения, така и на действащия правопорядък, гарантиращ основните права и свободи на гражданите. Швейцария, макар и да не е държава-членка на ЕС, прие в началото на месец септември т.г. законодателство, с което въвежда задължително ползване на сертификатите за целите на посещение на ресторанти и други обществени обекти. Тъй като темата надскача пределите на компетентност на един надзорен орган по защита на личните данни, считаме, че в стратегически план тя следва да бъде дискутирана във възможно най-широк кръг от други публични органи, граждани и организации. Подобен подход би спомогнал за приемането на необходимите правно обвързващи актове на национално равнище.
В Държавен вестник бр. 44 от 13.05.2020 г. беше обнародван Закон за изменение и допълнение на Закона за здравето, който урежда правните инструменти за ограничаване на разпространението на епидемията и преодоляване на последиците от нея, които се прилагат на територията на страната след отмяната на извънредното положение, т.е. след 13 май 2020 г. Регламентирани са както изцяло нови, различни по своя характер мерки, така и промени във вече въведените такива.
Законът дава право на Министерски съвет, по предложение на министъра на здравеопазването, да обявява извънредна епидемична обстановка на територията на страната при непосредствена опасност за живота и здравето на гражданите от разпространението на заразна болест, каквато е COVID-19. Уреждат се и условията, които следва да са изпълнени, за да бъде въведена такава обстановка. Във връзка с това, със свое Решение № 325 от 14.05.2020 г. Министерският съвет обяви извънредна епидемична обстановка на територията на страната, която продължава и към настоящия момент. Противоепидемичните мерки се въвеждат със заповед на министъра на здравеопазването или на друг компетентен орган (напр. директор на съответната РЗИ).
Наред с това, Законът за мерките и действията по време на извънредното положение, обявено с решение на народното събрание от 13 март 2020 г. и за преодоляване на последиците (загл. доп. – ДВ, бр. 44 от 2020 г., в сила от 14.05.2020 г.) предвижда, че министърът на здравеопазването освен по Закона за здравето може да въвежда и други временни мерки и ограничения, определени в закон.
Преди въвеждането на интрузивни мерки като тестове (антигенен/PCR) или обработване на данни за ваксинационния статус на лицата, администраторите могат да обмислят използването на агрегирани (обобщени) данни за здравето. Агрегираните данни, които не позволяват свързването на информация за здравето с отделни лица, могат да се считат за анонимни, т.е. не попадат в обхвата на ОРЗД. Примерите за такива обобщени здравни данни включват:
- Процент на служителите, които са ваксинирани срещу COVID-19 в рамките на определен период от време;
- Процент на служителите без ваксинация срещу COVID-19 или на тези с неизвестен ваксинационен статус.
Службите по трудова медицина, разполагащи с ваксинационния статус на лицата, могат да бъдат натоварени с изготвянето на такива обобщени данни. За да се гарантира обаче, че обобщените данни са анонимни, те винаги трябва да се отнасят до групи от индивиди, които са достатъчно големи, за да се изключи възможността за идентифициране на конкретно лице.
Поначало службата по трудова медицина може да не разполага с тази информация (или тя да е неточна или неактуална). В тези случаи, за да получат агрегирани данни, администраторите могат да насърчават персонала си да информира службата по трудова медицина за техния ваксинационен статус, при условие че това е доброволно и се извършва само от медицинско лице.
Администраторите могат да обмислят също така използването на анкети, от които да получат представа за процента на ваксинирани и неваксинирани служители. Тези анкети следва да бъдат доброволни и анонимни. В случай че се използва електронен инструмент за провеждането им, трябва да се гарантира, че той осигурява анонимност на участващите лица (дори ако такъв инструмент не събира имена или имейл адреси, той може да събира IP адреси). Поставянето на отворени въпроси в тези анкети трябва да се избягва, тъй като чрез отговорите им може да се идентифицира конкретно лице.
На равнище ЕС изискванията на Регламента за Цифровия COVID сертификат на ЕС изключват изначално приложимостта на съгласието по отношение на обработването на данните, съдържащи се в сертификатите. Както беше посочено по-горе, обработването на данните за други цели може да се извършва единствено, ако правното основание за това е установено в националното законодателство, т.е. то трябва да има характера на законово задължение. Съгласието, като основание, предвидено в правото на ЕС (ОРЗД), не може да бъде приложимо за обработване на лични данни от Цифровия COVID сертификат на ЕС. В съображение (48) от Регламент (ЕС) 2021/953 е предвидено изрично, че държавите членки могат да въведат в националното си законодателство възможност за обработване на данните за други цели, при условие че е предвидено ясно разписано правно основание за това, което съответства на правото на ЕС за защита на данните и с принципите на ефективност, необходимост и пропорционалност, и трябва да включва разпоредби, в които ясно се посочват обхватът и степента на обработването, конкретната цел, категориите субекти, които могат да проверяват сертификата, както и съответните гаранции за предотвратяване на дискриминация и злоупотреби, като се отчитат рисковете за правата и свободите на субектите на данни. Регламент (ЕС) 2021/953 забранява изрично съхраняването на данни от сертификата, когато обработването е за немедицински цели.
За пълнота на информацията следва да се има предвид, че Министерство на здравеопазването е разработило и пуснало за употреба приложение за проверка на Цифровия COVID сертификат на ЕС – т.нар. „Covid Check BG”.
Комисията за защита на личните данни изразява следното СТАНОВИЩЕ:
Към настоящия момент националното ни законодателство не регламентира разширеното използване на лични данни от Цифровия COVID сертификат на ЕС за цели, различни от улесняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от Регламент (ЕС) 2021/953 срок.
Въпреки това и с оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, администраторите на лични данни могат да обработват агрегирани (обобщени) данни за ваксинационния статус на лицата, които да ги подпомогнат при извършване на оценката на риска при осигуряването на здравословни и безопасни условия на труд.
Единствената правна възможност за администраторите, извън посочената в параграф втори, да осигурят баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни, е да извършват проверка на Цифровия COVID сертификат на ЕС, без да съхраняват резултатите от нея. Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица.
Поначало службата по трудова медицина може да не разполага с тази информация (или тя да е неточна или неактуална). В тези случаи, за да получат агрегирани данни, администраторите могат да насърчават персонала си да информира службата по трудова медицина за техния ваксинационен статус, при условие че това е доброволно и се извършва само от медицинско лице.
Администраторите могат да обмислят също така използването на анкети, от които да получат представа за процента на ваксинирани и неваксинирани служители. Тези анкети следва да бъдат доброволни и анонимни. В случай че се използва електронен инструмент за провеждането им, трябва да се гарантира, че той осигурява анонимност на участващите лица (дори ако такъв инструмент не събира имена или имейл адреси, той може да събира IP адреси). Поставянето на отворени въпроси в тези анкети трябва да се избягва, тъй като чрез отговорите им може да се идентифицира конкретно лице.
На равнище ЕС изискванията на Регламента за Цифровия COVID сертификат на ЕС изключват изначално приложимостта на съгласието по отношение на обработването на данните, съдържащи се в сертификатите. Както беше посочено по-горе, обработването на данните за други цели може да се извършва единствено, ако правното основание за това е установено в националното законодателство, т.е. то трябва да има характера на законово задължение. Съгласието, като основание, предвидено в правото на ЕС (ОРЗД), не може да бъде приложимо за обработване на лични данни от Цифровия COVID сертификат на ЕС. В съображение (48) от Регламент (ЕС) 2021/953 е предвидено изрично, че държавите членки могат да въведат в националното си законодателство възможност за обработване на данните за други цели, при условие че е предвидено ясно разписано правно основание за това, което съответства на правото на ЕС за защита на данните и с принципите на ефективност, необходимост и пропорционалност, и трябва да включва разпоредби, в които ясно се посочват обхватът и степента на обработването, конкретната цел, категориите субекти, които могат да проверяват сертификата, както и съответните гаранции за предотвратяване на дискриминация и злоупотреби, като се отчитат рисковете за правата и свободите на субектите на данни. Регламент (ЕС) 2021/953 забранява изрично съхраняването на данни от сертификата, когато обработването е за немедицински цели.
За пълнота на информацията следва да се има предвид, че Министерство на здравеопазването е разработило и пуснало за употреба приложение за проверка на Цифровия COVID сертификат на ЕС – т.нар. „Covid Check BG”.
Комисията за защита на личните данни изразява следното СТАНОВИЩЕ:
Към настоящия момент националното ни законодателство не регламентира разширеното използване на лични данни от Цифровия COVID сертификат на ЕС за цели, различни от улесняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от Регламент (ЕС) 2021/953 срок.
Въпреки това и с оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, администраторите на лични данни могат да обработват агрегирани (обобщени) данни за ваксинационния статус на лицата, които да ги подпомогнат при извършване на оценката на риска при осигуряването на здравословни и безопасни условия на труд.
Единствената правна възможност за администраторите, извън посочената в параграф втори, да осигурят баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни, е да извършват проверка на Цифровия COVID сертификат на ЕС, без да съхраняват резултатите от нея. Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица.
Прави впечатление, че КЗЛД подхожда доста „плахо“ към темата за обработването на данните за ваксинационния статус, което като че ли е в съзвучие с моментните обществени нагласи у нас. Същевременно обаче Комисията, в досегашната си практика, е застъпвала и тезата за по-сериозна намеса на работодателя в личната сфера на работника или служителя, легитимирана от законовите задължения на работодателя да осигурява здравословни и безопасни условия на труд и обществения интерес.
Позволявам си да припомня част от анализа в цитираното по-горе Становище с Рег. № НПМД-17-151/2020 г.: „… Тъй като към момента на вземането на решение за тестване, работодателят не обработва данни за здравето или друг вид специални категории данни, може да се направи обосновано предположение, че воден от своите легитимни интереси да планира и да осигурява непрекъснатост на трудовия процес, работодателят предприема мерки за запазването на здравето на своите служители в условията на здравна криза, като осигурява тяхното тестване. В този смисъл, може да се търси приложение на хипотезата на чл. 6, пар. 1, б. „е“ от Регламент (ЕС) 2016/679 - обработването е необходимо за целите на легитимните интереси на администратора …, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни. Когато се позовава на това основание за обработване на лични данни, администраторът (в случая работодателят) следва да извърши тест за балансиране, за да прецени доколко интересите му биха имали преимущество пред правата и свободите на субектите на данни – негови служители. С оглед специфичния характер на ситуацията, в която се намираме, при извършването на теста за балансиране следва да се отчетат и рисковете, произтичащи от икономическата дейност, възможността за по-голямо взривно разпространение на заразата, ако не се приложат планираните мерки и т.н.
Само след като тестът за балансиране установи, че преимущество имат легитимните интереси на работодателя, същият би могъл да пристъпи към издаване на акт, с който да задължи служителите си да се подложат на PCR-тест за COVID-19. …
Обработването на данни за здравето (дали едно лице е заразено или не, изследване на генетичния материал, съдържащ се във взетите проби и т.н.) се извършва от лицензирани лаборатории, които при наличие на положителна проба, макар и при групово изследване, имат протоколи за откриване на заразеното лице и уведомяване на властите за последващи мерки. В този смисъл не може да се разчита на съгласието за последващо изследване, поради високия риск от разпространението на болестта. За съответните лаборатории, както и за здравните власти, като администратори на лични данни, се прилагат подходящите основанията на чл. 9, пар. 2 от Регламент (ЕС) 2016/679, включително обществения интерес, който е присъщ обикновено на публичните органи.“
Трудно може да се обясни как КЗЛД признава(ше) правото на работодателите (разбира се, само при определени предпоставки и с ясно очертани ограничения) да подлагат работниците и служителите на задължително тестване за коронавирус, но им забранява изискването на COVID сертификати, освен ако същите не са представени доброволно. Оказва се, че на този етап само законодателни промени могат да регламентират ясно правата и задълженията на работодателите за изискване на информация за ваксинационния статус на персонала. Административната практика все още е колеблива, а изводите, до които достига по тълкувателен път, ясно показват опасенията на органа да не бъде обвинен в пристрастия по една силно политизирана тема. За съжаление, новата вълна на пандемията няма подобни скрупули, а за овладяването (или поне ограничаването ѝ) продължава да не се прави достатъчно.
доц. д-р Андрей Александров
Оценете отговора на експерта
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
Съдържанието, дизайнът и публикуваните статии в portaltrznormativi.bg подлежат на РС Издателство и Бизнес Консултации и са защитени по смисъла на закона за авторското право и сродните му права. Копирането и разпространението на съдържанието е забранено! Общи условия
Подобни статии
04Ноем2021
Комисията за защита от дискриминация също взе отношение по темата за третирането на лицата във връзка с ваксинационния им статус
от доц. д-р Андрей Александров
04 Ноем 2021
23Юли2020
Допустимо ли е задължителното подлагане на тестове на персонала за COVID-19 и за чия сметка трябва да се провежда?
от доц. д-р Андрей Александров
23 Юли 2020
21Апр2020
Граници на допустимото вмешателство в личното пространство в условия на извънредно положение
от доц. д-р Андрей Александров
21 Апр 2020
12Февр2020
Може ли работодателят да обработва лични данни на деца без изричното съгласие на упражняващите родителски права?
от доц. д-р Андрей Александров
12 Февр 2020
20Ян2020
Изисквания към валидността на даденото съгласие като условие за законосъобразно обработване на личните данни
от доц. д-р Андрей Александров
20 Ян 2020
17Септ2019
Допустимост на използването на техническите способи за контрол над персонала
от доц. д-р Андрей Александров
17 Септ 2019