Официална декларация на EDPB относно обработката на лични данни в контекста на COVID-19  

На 19 март Европейският комитет по защита на данните прие официална декларация за обработването на лични данни в контекста на пандемията от коронавирус 

С подписа на Андреа Йелинек, председател на Европейския комитет за защита на данните (EDPB) разпространи декларация относно обработката на лични данни в контекста на COVID-19.

В документа се казва, че правителствата, публичните и частните организации в цяла Европа предприемат мерки за ограничаване на COVID-19. Това може да включва обработка на различни видове лични данни.

Правилата за защита на данните (като GDPR) не пречат на мерките, предприети в борбата срещу пандемия на коронавируса. Борбата срещу заразните болести е важна цел, споделяна от всички нации и следователно трябва да бъде подкрепена по най-добрия възможен начин. В интерес на човечеството е да ограничи разпространението на болестите и използването на съвременни техники в борбата с бичовете, засягащи големи части на света. Въпреки това EDPB би искал да подчертае, че дори и в тези изключителни времена, администраторите и обработващите трябва да осигуряват защитата на личните данни.

Затова трябва да се вземат предвид редица съображения, за да се гарантира законната обработка на лични данни и във всички случаи трябва да се припомни, че при всички мерки, предприети в този контекст, трябва да спазват общите принципи на правото и не трябва да бъдат необратими. Критичната ситуация е законово условие, което може да легитимира ограниченията на свободите, при условие че тези ограничения са пропорционални и ограничени до извънредния период.

  1. Законосъобразност на обработката

GDPR …и предвижда правила, които се прилагат и при обработването на лични данни в контекст като този, свързан с COVID-19. GDPR позволява на компетентната здравни власти и работодателите да обработват лични данни в контекста на епидемия, в съответствие с националното законодателство и при условията, определени в него. Например обработка, необходима поради причини от съществен обществен интерес в областта на общественото здраве. При тези обстоятелства, не е необходимо да се разчита на съгласието на хората.

1.1 По отношение на обработката на лични данни, включително специални категории данни от компетентните органи (например органите за обществено здраве), EDPB счита, че членове 6 и 9 на GDPR дават възможност за обработка на лични данни, при изпълнение на законни правомощия на обществен орган, в зависимост от националното законодателство и условията, залегнали в GDPR.

1.2 В контекста на заетостта обработката на лични данни може да е необходима за спазване на законово задължение, на което работодателят е подчинен, като задължения, свързани със здравето и безопасността на работното място или в обществен интерес, като контрол на болести и други заплахи за здравето.

GDPR също така предвижда дерогации от забраната за обработка на някои специални категории от лични данни, като здравни данни, когато това е необходимо поради причини от съществен обществен интерес областта на общественото здраве (член 9.2.д) въз основа на законодателството на Съюза или на националното законодателство или където е необходимо за защита на жизнените интереси на субекта на данните (член 9.2.в), както съображение 46 изрично се отнася до контрола на епидемия.

1.3 По отношение на обработката на телекомуникационни данни, като например данни за местоположение, националните закони, възпроизвеждащи директивата за електронната поверителност ePrivacy, също трябва да се спазват. По принцип данните за местоположението могат да се използват само от оператор, когато са анонимни или със съгласието на физическите лица. Чл. 15 от директивата за ePrivacy дава възможност на държавите-членки да въведат законодателни мерки за защита на обществената сигурност.

Такова изключително законодателство е възможно само ако представлява необходима, подходяща и пропорционална мярка в рамките на демократичното общество. Тези мерки трябва да са в съответствие с Хартата на основните права на ЕС и Конвенцията за защита на правата на човека и основните свободи. Освен това той подлежи на съдебен контрол на Европейския съд и Европейски съд по правата на човека. В случай на извънредна ситуация също трябва да бъде строго ограничена до продължителността на извънредната ситуация.

  1. Основни принципи, свързани с обработката на лични данни

Необходимите личните данни трябва да бъдат обработвани за конкретни и изрични цели.

Субектите на данни следва да получават прозрачна информация за дейностите по обработка, която се извършва и основните характеристики, включително периодът на запазване на събраните данни и целите на обработката. Предоставената информация трябва да бъде лесно достъпна и предоставена ясно и на разбираем език.

Важно е да се приемат адекватни мерки за сигурност и политики за поверителност, гарантиращи данните не се разкриват на неоторизирани страни. Мерките, предприети за управление на текущата извънредна ситуация и основния процес на вземане на решения, следва да бъдат надлежно документирани

  1. Използване на мобилни данни за местоположението
  • Могат ли правителствата на държавите-членки да използват лични данни, свързани с мобилните телефони на хората в техните усилия за наблюдение, ограничаване или смекчаване на разпространението на COVID-19?

В някои държави-членки правителствата предвиждат използването на мобилни данни за местоположението като възможен начин да се следи, ограничава или смекчава разпространението на COVID-19. Това предполага например възможността за геолокиране на индивиди или изпращане на съобщения за общественото здраве на лица в определена област по телефон или текстово съобщение. Първо публичните органи трябва да се стремят да обработват данни за местоположение по анонимен начин (т.е. обработване на данни, обобщени по начин, който не позволява обратно идентифициране), което би могло да даде възможност за генериране на доклади за концентрацията на мобилни устройства на определено място („картография“).

Правилата за защита на личните данни не се прилагат за данни, които са анонимизирани по подходящ начин.

Когато не е възможно да се обработват само анонимни данни, Директивата за електронната поверителност дава възможност на държавите-членки да въведат законодателни мерки за защита на обществената сигурност (член 15).

Ако се въведат мерки, позволяващи обработването на данни за местоположение, които не са анонимизирани, държавата-членка е длъжна да въведе адекватни защитни мерки, като например предоставянето на лица на електронни комуникационни услуги правото на съдебна защита.

Прилага се и принципът на пропорционалност. Винаги трябва да се предпочитат най-малко натрапчивите решения, като се вземе предвид конкретната цел, която трябва да бъде постигната. Инвазивни мерки, като например „проследяване“ на индивиди (т.е. обработка на исторически неанонимизирани данни за местоположение) могат да са пропорционални при изключителни обстоятелства и в зависимост от конкретните условия на обработка. Въпреки това, той трябва да бъде обект на засилен контрол и гаранции, за да се гарантира спазването на принципите за защита на данните (пропорционалност на мярката по отношение на продължителност и обхват, ограничена запазване на данни и ограничаване на целта).

  1. Заетост
  • Може ли работодателят да изисква от посетители или служители да предоставят конкретна здравна информация в контекст на COVID-19?

Тук е особено важно приложението на принципа на пропорционалност и минимизиране на данни.

Работодателят трябва да изисква здравна информация само дотолкова, доколкото националното законодателство го позволява.

  • Разрешено ли е на работодателя да извършва медицински преглед на служителите?

Отговорът се опира на националното законодателство, свързано със заетостта или здравето и безопасността. Работодателите трябва да имат достъп и да обработват  здравни данни само ако техните собствени законови задължения го изискват.

  • Може ли работодател да разкрие, че служител е заразен с COVID-19 на своите колеги или на външни лица?

Работодателите трябва да информират персонала за случаите на COVID-19 и да предприемат защитни мерки, но не трябва съобщават повече информация, отколкото е необходимо. В случаите, когато е необходимо да се разкрие името на служителя (служителите), които са се заразили с вируса (напр. в превантивен контекст) и националното законодателство го позволява, заинтересованите служители се информират предварително със зачитане на достойнството на хората.

  • Каква информация, обработена в контекста на COVID-19, може да бъде получена от работодателите?

Работодателите могат да получат лична информация, за да изпълнят своите задължения и да организират работата в съответствие с националното законодателство.