Изявление относно обработването на лични данни в контекста на
пандемията от COVID-19
Прието на 19 март 2020 г.
Европейският комитет по защита на данните прие следното изявление:
Правителства, публични и частни организации в цяла Европа предприемат мерки за ограничаване и смекчаване на пандемията от COVID-19. Това може да включва обработване на различни видове лични данни.
Правилата за защита на данните (като Общия регламент относно защитата на данните– ОРЗД) не възпрепятстват мерките, предприети в борбата с пандемията от коронавирус. Борбата срещу заразните болести е първостепенна цел, споделяна от всички нации и следователно трябва да бъде подкрепена по най-добрия възможен начин. В интерес на човечеството е да ограничи разпространението на болестите и да използва съвременни техники в борбата с бичовете, засягащи големи части на света. Европейският комитет по защита на данните (ЕКЗД) би искал да подчертае обаче, че дори в тези изключителни времена, администраторът и обработващият лични данни трябва да гарантират защитата на личните данни на субектите на данни. Поради това следва да се вземат предвид редица съображения, за да се гарантира законосъобразното обработване на лични данни и във всички случаи трябва да се припомни, че всяка мярка, предприета в този контекст, трябва да спазва общите принципи на правото и не трябва да бъде необратима. Спешността е правно условие, което може да легитимира ограниченията на свободите, при условие че те са пропорционални и ограничени в рамките на извънредния период.
1. Законосъобразност на обработването
ОРЗД е широкоспектърен законодателен акт, който урежда правилата, които се прилагат за обработването на лични данни в контекст като този, свързан с COVID-19. ОРЗД позволява на компетентните здравни органи и работодателите да обработват лични данни в контекста на епидемия, в съответствие с националното законодателство и в условията, определени в там. Например, когато обработването е необходимо поради причини от съществен обществен интерес в областта на общественото здраве. При тези обстоятелства не е необходимо да се разчита на съгласието на отделните лица.
1.1. По отношение на обработването на лични данни, включително специални категории данни от компетентните органи (напр. здравните органи), ЕКЗД счита, че членове 6 и 9 от ОРЗД дават възможност за обработване на лични данни, по-специално когато попада в обхвата на законовите правомощия на публичния орган, предвидени в националното законодателство и условията, залегнали в ОРЗД.
1.2. В контекста на трудовите правоотношения, обработването на лични данни може да е необходимо за спазването на правно задължение, което се прилага спрямо работодателя, като напр. задължения, свързани с осигуряването на здравословни и безопасни условия на труд или с обществен интерес, напр. контрол на заболявания и други заплахи за здравето. В ОРЗД се предвижда също законосъобразността на обработването на специални категории лични данни, напр. здравни данни, когато това е необходимо по съображения от обществен интерес (член9, параграф2, б.„и”) въз основа на правото на Съюза или националното законодателство или когато е необходимо да се защитят жизненоважните интереси на субекта на данните (член9, параграф2, б.„в”), тъй като съображение46 изрично се отнася до контрола на епидемия.
1.3. По отношение на обработването на телекомуникационни данни, като напр. данни за местонахождението, трябва да се спазват и националните закони за прилагане на Директивата за правото на неприкосновеност на личния живот и електронни комуникации. По принцип данните за местонахождението могат да се използват от оператора само когато са анонимни или със съгласието на субектите. Въпреки това, член15 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации дава възможност на държавите членки да въведат законодателни мерки за защита на обществената сигурност. Това извънредно законодателство е възможно, при условие че представлява необходима, подходяща и пропорционална мярка в рамките на едно демократично общество. Тези мерки трябва да са в съответствие с Хартата на основните права на ЕС и Европейската конвенция за защита на правата на човека и основните свободи. Освен това, то подлежи на контрол от страна на Съда на Европейския съюз и на Европейския съд по правата на човека. В случай на извънредно положение, законодателството трябва да бъде строго ограничено до неговата продължителност.
2. Основни принципи, свързани с обработването на лични данни
Личните данни, които са необходими за постигане на преследваните цели, следва да се обработват за конкретни и изрични цели.
Освен това, субектите на данни следва да получават прозрачна информация за дейностите по обработване, които се извършват, и техните основни характеристики, включително периода на съхранение на събраните данни и целите на тяхното обработване. За тази цел предоставената информация следва да е лесно достъпна и на ясен и разбираем език.
Важно е да се приемат адекватни мерки за сигурност и политики за поверителност, които да гарантират, че личните данни не се разкриват на неоторизирани страни. Мерките, предприети за управление на текущата извънредна ситуация и основния процес на вземане на решения, следва да бъдат надлежно документирани.
3. Използване на данни за местоположението на мобилни устройства
• Могат ли правителствата на държавите членки да използват лични данни, свързани с мобилните телефони на физически лица, в усилията си да осъществяват наблюдение, ограничение или смекчаване разпространението на COVID-19?
В някои държави членки правителствата предвиждат използването на данни за местонахождението на мобилни устройства като възможен начин за наблюдение, ограничаване или смекчаване на разпространението на COVID-19. Това би означавало, например, възможността да се определи местонахождението на физически лица или да се изпращат съобщения относно общественото здраве до съответните лица по телефона или с текстово съобщение. На първо място, публичните органи следва да се стремят да обработват данните за местонахождението по анонимизиран начин (т.е. данни, обобщени по такъв начин, че субектите на данни да не могат да бъдат повторно идентифицирани), който позволява да се използват за изготвяне на доклади относно концентрацията на мобилни устройства на определено място („картографиране”).
Правилата за защита на личните данни не се прилагат за данни, които са анонимизирани по подходящ начин.
Когато е невъзможно да се обработват само анонимни данни, Директивата за правото на неприкосновеност на личния живот и електронните комуникации дава възможност на държавите членки да въведат законодателни мерки, гарантиращи обществената сигурност (член15).
Ако бъдат въведени такива мерки, съответната държава членка е длъжна да установи подходящи гаранции, като напр. предоставяне на право на съдебна защита на абонати и потребители на електронни комуникационни услуги.
Прилага се и принципът на пропорционалност. Следва да се прилагат най-малко интрузивните решения, като се отчита конкретната цел, която трябва да се постигне. Инвазивните мерки, като напр. „проследяване” на лица (т.е. обработването на данни за местонахождение за минал период, които не са анонимизирани), могат да се считат за пропорционални при изключителни обстоятелства и в зависимост от конкретните модалности на обработването. Въпреки това, те следва да бъдат обект на засилен контрол и предпазни мерки, за да се гарантира спазването на принципите за защита на данните (пропорционалност на мярката по отношение на продължителност и обхват, ограничено съхранение на данни и ограничение на целта).
4. Специфични насоки, свързани с трудовата заетост
• Може ли работодателят да изисква от посетителите или служителите да предоставят конкретна здравна информация в контекста на COVID-19?
От особено значение е прилагането на принципа на пропорционалност и на свеждане на данните до минимум. Работодателят трябва да изисква здравна информация само дотолкова, доколкото националното законодателство го позволява.
• Може ли работодателят да извършва медицински прегледи на служителите?
Възможността работодателите да извършват медицински прегледи на служителите си като цяло зависи от уредбата в националните законодателства в областта на трудовата заетост или здравето и безопасността.
• Може ли работодател да разкрие пред служителите или пред външни лица, че негов служител е заразен с COVID-19?
Работодателите следва да информират служителите си за случаите на зараза с COVID-19 и да предприемат защитни мерки, но не следва да предоставят повече информация от необходимото. В случаите, когато е необходимо да се разкрие името на заразения с вируса служител(и) (напр., с цел превенция) и националното законодателство го позволява, той трябва да бъде информиран предварително и личното му достойнство и добро име трябва да бъдат защитени.
• Каква информация, обработвана в контекста на COVID-19, може да бъде изисквана от работодателите?
Работодателите могат да събират лична информация, за да изпълняват задълженията си и да организират работния процес в съответствие с разпоредбите на националното право.
За Европейския комитет по защита на данните
Председател
(Андреа Йелинек)
