СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №НДМСПО-01-32/17.01.2019г.
гр. София, 06.02.2019г.
ОТНОСНО: Приложение на Регламент(ЕС) 2016/679 при събирането на дарения за лечение посредством групи във „Фейсбук”
Комисията за защита на личните данни (КЗЛД) в състав: Членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 30.01.2019г., разгледа искане за становище с вх. №НДМСПО-01-32/17.01.2019г.от г-н С.Х., председател на УС на фондация „Граждани срещу бюрокрацията”, с което информира, че основна цел на представляваната от него организация е намаляването на бюрократичната тежест в администрацията. Основен проект на фондацията е **** – платформа за безплатни документи в Европа.
Във фондацията са постъпили сигнали, свързани със събирането на дарения за лечение на хора посредством групи във „Фейсбук”. В тях се публикуват медицински документи, съдържащи данни за здравословно състояние. Добавя, че въпреки забраната, визирана в чл.9 от Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните), в коментари под постовете потребители изрично настояват лицата или техните родители да публикуват тези документи, често без заличени лични данни.
С оглед на горното, г-н С.Х. счита, че тази практика създава предпоставка за измами и поставя въпроса дали е редно да бъдат публикувани в интернет медицински документи, съдържащи данни за здравното състояние на физическите лица.
Правен анализ
Законът за здравето (ЗЗдр) е нормативният акт, уреждащ обществените отношения, свързани с опазването на здравето на гражданите. Съгласно чл.27 от ЗЗдр, здравна информация са личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация.
Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните), който се прилага от 25май 2018г., е нормативният акт, определящ правилата, свързани със защитата на личните данни на физическите лица при тяхното обработване. Общият регламент надгражда предишния режим за защита на данните, въведен от Директива95/46/ЕО, транспонирана в българскияЗакон за защита на личните данни от 2002г., като в същото време отчита динамиката на развитието на новите технологии и на дейностите по обработка на лични данни.
В конкретния случай, искането за становище е свързано с обработванетона данни, които попадат в обхвата на легалната дефиниция по чл.4, §1, т.15 от Общия регламент, а именно „данни за здравословното състояние“ на субекта на данни, които са свързани пряко с физическото и психическото здраве на физическото лице и/или с предоставянето на здравни услуги, които дават информация за здравословното му състояние.
Публикуването на медицински документи от страна на физическите лица или от техни близки– родители на деца и др., представлява обработване на лични данни по смисъла на легалната дефиниция, визиранав чл.4, т.2 от Регламент(ЕС) 2016/679. Трябва да се има предвид, че Общият регламент, в чл.9, §1, въвежда забрана за обработване на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
Данните за здравословното състояние се явяват специална категория лични данни по чл.9 от Общия регламент и изискват засилена защита на правата и свободите на съответните субекти на данни. Разпоредбата на чл.9, §2 от Общия регламент допуска законосъобразна обработка на подобни специални категории лични данни при определени условия, визирани в букви „а” до „й” от същия текст.
Съобразно изложената по казуса фактическа обстановка, даренията за лечение се събират посредством групи във „Фейсбук”. Социалната мрежа „Фейсбук” също има достъп до лични данни на своите потребители. Възможни са три хипотези на законосъобразно обработване на чувствителни лични данни в конкретния случай:
На първо място, това са случаите, при които администраторът на сайта е този, който извършва самото публикуване на документите, съдържащи здравна информация. В тази хипотеза, единственото приложимо основание за законосъобразното обработване на лични данни е чл.9, §2, буква„а” от Общия регламент– субектът на данните е дал своето изрично съгласие.
На второ място е случаят, когато лицето само публикува медицинската документация, отнасяща се до неговото заболяване. Тогава се прилага хипотезата на чл.9, §2, буква„д” – чувствителните лични данни са направени обществено достояние от субекта на данните.
На последно място, можем да очертаем хипотезата, в която здравната информация е публикувана от роднини на болното лице. Последното е свързано със защитата на неговите жизненоважни интереси, обусловена от непосредствената заплаха за живота му и реалната заплаха, която съществува, ако не се окаже навременна медицинска помощ.Приложимото основание за обработване на лични данни тогава е чл.9, §2, буква„в” – обработването е необходимо, за да се защитят жизненоважните интереси на субекта на данните, когато той е физически или юридически неспособен да даде съгласието си.
Във всички случаи, независимо от това коя от трите хипотези се разглежда, трябва да бъде отчетен фактът, че става въпрос за данни, които са особено чувствителни и за които се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителен риск за основните права и свободи на засегнатото физическо лице. Администраторът на лични данни трябва да предприеме подходящи технически и организационни мерки, отчитайки техническия прогрес, обхватът, контекстът и целите на обработването, както и рисковете, които могат да произтекат. Той следва също така да е в състояние да докаже, че обработването е в съответствие с Общия регламент.
С оглед на гореизложеното и на основание чл.58, пар.3, буква„б” от Регламент(ЕС) 2016/679, Комисията за защита на лични данни прие следното
СТАНОВИЩЕ
Публикуването на здравна информация, съдържаща се в медицинска документация, с цел набиране на средства за лечение чрез групи във „Фейсбук”, съставляваща специални категории данни по смисъла на чл.9, §1 от Регламент(ЕС) 2016/679 е законосъобразно, ако се осъществява при хипотезите на чл.9, §2, букви „а” (наличие на изрично съгласие на субекта на данните), „в” (защита на жизненоважните интереси на субекта на данните, в случаите на обективна невъзможност от негова страна да даде съгласието си) или „д” (личните данни са направени обществено достояние от субекта на данните).
| ЧЛЕНОВЕ: | ||
| |
Цанко Цолов /п/ | |
| Цветелин Софрониев /п/ | ||
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
