Становище на Комисията за защита на личните данни за обработването на данни за ваксинационния статус

„…недопускането в детска градина на деца на неваксинирани родители, може да доведе до нарушаване и на конкретни права и интереси и на децата“, пише в текста

Комисията за защита на личните данни публикува вчера становище по повод обработването на данни за ваксинационния статус. В съобщението на надзорния орган се казва: „Водена от значимия обществен интерес, както на гражданите, така и на организациите, КЗЛД изрази становище по въпросите, свързани с допустимостта на обработване на данни за ваксинационния статус на лицата, като отчита насоките и принципните позиции на Европейския комитет по защита на данните (ЕКЗД) и Европейския надзорен орган по защита на данните (ЕНОЗД) по темата до момента.“

СТАНОВИЩЕ НА КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

рег. № ПНМД-01-93/2021 г.

гр. София, 06.10.2021 г.

ОТНОСНО: Обработване на данни за ваксинационния статус

Комисията за защита на личните данни (КЗЛД) в състав – председател: Венцислав Караджов и членове: Цанко Цолов, Мария Матева и Веселин Целков, на заседание, проведено на 29.09.2021 г., разгледа редица писма от организации и граждани относно законосъобразното обработване на данни за ваксинационния статус.

Анализът на горепосочените писма показва, че както гражданите, така и бизнесът, имат нужда от разяснения и насоки във връзка с допустимостта на обработване на данни за ваксинационния статус.

Настоящото становище има за цел да отговори на исканията, като отчита насоките и принципните позиции на Европейския комитет по защита на данните (ЕКЗД) и Европейския надзорен орган по защита на данните (ЕНОЗД), изразени по същите въпроси.

Правен анализ:

На равнище ЕС европейските съзаконодатели приеха Регламента за Цифровия COVID сертификат на ЕС1, който се прилага пряко във всички държави членки считано от 1 юли 2021 г. (в него е заложено да се прилага до 30 юни 2022 г.). Целта му е да улесни и направи безопасно свободното движение на граждани в рамките на ЕС по време на пандемията от COVID-19.

Сертификатът разполага с оперативно съвместим и машинночетим QR код, достъпен на хартиен или цифров носител.

Чрез него се удостоверява, че дадено лице е:

  • ваксинирано срещу COVID-19;
  • получило отрицателен резултат от тест; или
  • преболедувало инфекцията.

Разпоредбата на чл. 10, пар. 1 във вр. със съобр. 48 от Регламента за Цифровия COVID сертификат на ЕС дефинира ясно, че Регламент (ЕС) 2016/679 (ОРЗД) се прилага за обработването на лични данни, извършвано при неговото изпълнение.

Съгласно чл. 10, пар. 2 от Регламент (ЕС) 2021/953 (който е lex specialis по отношение на ОРЗД) личните данни, съдържащи се в сертификатите, се обработват единствено с цел достъп до и проверка на информацията, съдържаща се в тях, за да се улесни упражняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от регламента срок, като след това не следва да се извършва по-нататъшно обработване.

Допълнителен правно обвързващ аргумент в полза на заложения в Регламент (ЕС) 2021/953 подход е и съображение (54) от Регламент (ЕС) 2016/679, което гласи:

(54) Обработването на специални категории лични данни може да е необходимо по съображения от обществен интерес в областта на общественото здраве, без съгласието на субекта на данните. Такова обработване следва да бъде предмет на подходящи и конкретни мерки с оглед защита на правата и свободите на физическите лица. В този контекст понятието „обществено здраве” следва да се тълкува по смисъла на Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета и означава всички елементи, свързани със здравето, а именно здравословно състояние, включително заболеваемост и инвалидност, решаващи фактори, които оказват влияние върху това здравословно състояние, потребности от здравно обслужване, средства, отделени за здравно обслужване, предоставяне на здравни грижи и всеобщ достъп до тях, разходи и финансиране на здравното обслужване, както и причини за смъртност. Такова обработване на данни за здравето по съображения от обществен интерес не следва да води до обработването на лични данни за други цели от трети страни като работодатели или застрахователни дружества и банки.

За всяка друга цел обаче, националното законодателство трябва изрично да предоставя правно основание за обработване на данните от сертификатите2. В този смисъл ОРЗД е напълно приложим и по отношение на обработването на личните данни за всяка друга цел, различна от целта на Регламента за Цифровия COVID сертификат на ЕС. В този дух е и Съвместното становище 04/20213 на Европейския комитет по защита на данните (ЕКЗД) и Европейския надзорен орган по защита на данните (ЕНОЗД) относно предложението за Регламент на Европейския парламент и на Съвета спрямо рамката за издаване, проверка и приемане на оперативно съвместими удостоверения за ваксинация, направен тест и преболедуване с цел улесняване на свободното движение по време на пандемията от COVID-19 (Цифрово зелено удостоверение).

Дали и как сертификатите попадат в обхвата на ОРЗД ще зависи от начина, по който администраторите възнамеряват да ги използват. В тази връзка могат да се очертаят следните хипотези:

1) Администраторът възнамерява да записва систематично сертификатите или информацията, която те съдържат, като част от регистър с лични данни;

2) Администраторът възнамерява да въведе цифрова проверка на сертификатите, включваща сканиране на техния QR код (със или без записване на данните, които съдържат);

3) Администраторът възнамерява да въведе ръчна проверка на сертификатите, включваща проверяване на отпечатани хартиени копия или ръчна проверка на цифровия сертификат (само чрез визуализиране на сертификата, без да се сканира QR кода и/или без да се записва/документира информацията, съдържаща се в него).

Хипотези (1) и (2) представляват дейности по обработване на лични данни, които попадат в материалния обхват на ОРЗД (чл.  2, пар.  1 ОРЗД) и в този смисъл трябва да отговарят на предвидените в него условия за законосъобразност.

Хипотеза (3) не попада в обхвата на ОРЗД, но въпреки това, изискването за споделяне на чувствителна медицинска информация представлява намеса в основното право на личен живот, което е защитено с чл.  7 от Хартата на основните права на ЕС (Хартата). Чрез подобна намеса могат да бъдат засегнати и други права на човека, освен неговата неприкосновеност, като напр. правото на недискриминация, правото на труд, правото на образование, права на детето4 и т.н. Следователно такава мярка трябва да бъде обект на условията за законосъобразност, необходимост и пропорционалност, предвидени в чл. 52, пар. 1 от Хартата и администраторът трябва да извърши внимателна преценка дали подобна намеса може да бъде законово оправдана.

Безспорно е, че сертификатите съдържат чувствителна здравна информация, която представлява специална категория данни и нейното обработване трябва да отговаря на по-завишения праг за законосъобразност, заложен в чл. 9 от ОРЗД.

Като мярка, предназначена да защити здравето и безопасността на персонала (работници/служители) чл. 9, пар. 2, б. „б” от ОРЗД може да осигури подходящо основание за законосъобразно обработване на данните от цифровите сертификати. Приложими могат да бъдат и условията за законосъобразност по чл. 9, пар. 2, б. „ж” или чл. 9, пар. 2, б. „и” ОРЗД, ако националното законодателство налага по-широко използване на сертификатите.

Следва да се отбележи, че някои от практическите приложенията на сертификатите могат да се квалифицират като дейности по автоматизираното вземане на индивидуални решения и профилиране, които от своя страна се регламентират от чл. 22 на ОРЗД. Такъв например може да бъде случаят, когато се използва цифрова проверка на сертификатите (чрез сканиране на QR кода) за целите на автоматизиран достъп до помещения. Тази дейност би представлявала автоматизирано вземане на индивидуално решение, което поражда неблагоприятни последствия за субекта на данни, вкл. правни такива. Към момента нито правото на ЕС, нито националното ни право, разрешават (каквото е изискването на чл. 22, пар. 2, б. „б” от ОРЗД) проверка на сертификатите, основана единствено на автоматизирано обработване, за целите на даване или отказ на достъп до помещения въз основана на съображения за безопасност на здравето. На практика това означава, че използването на сертификатите за такива цели не може да се основава единствено на автоматизирано обработване, което не включва адекватно човешко участие в процеса на тяхната проверка.

Когато обработването на данни от сертификатите отговаря на изискванията за законосъобразност, необходимост и пропорционалност, трябва да бъдат приложени подходящи технически и организационни мерки за тяхната сигурност. Администраторът следва да прецени необходимостта от извършване на оценка на въздействието върху защитата на данните по чл. 35 от ОРЗД с цел установяване на рисковете и тяхното смекчаване на всички етапи от обработването. Когато сертификатите се използват като условие и средство за получаване на достъп до помещения, такава оценка ще е почти винаги необходима, тъй като касае мащабно обработване на специални категории лични данни.

Способите за защита на данните на етапите на „проектиране” и по „подразбиране” също трябва да бъдат отчетени от администратора, гарантирайки, че се обработват само минимален обем от данни и се използват технологии, щадящи поверителността. В тази връзка следва да се предвидят процедури за проверка, чрез които да се избягва записването и запазването на лични данни в съответствие с принципа за свеждане на данните до минимум и в изпълнение на Регламента за Цифровия COVID сертификат на ЕС, който има за цел децентрализирано проверяване на сертификатите без обработване на допълнителни данни за това.

В съответствие с принципа за прозрачност, субектите на данни (служители, посетители и др.) трябва да бъдат предварително информирани за наложените от администратора мерки при проверка на сертификатите, като напр. как ще се извършва тя, какви данни ще се обработват, кой ще има достъп до тях и към кой могат да се отправят искания или възражения свързани с обработването на тези данни.

Защитата на личните данни е само един от аспектите при въвеждането и прилагането на мерки за ограничаване на разпространението на епидемията. Към настоящия момент в редица държави от ЕС (Германия5, Франция6, Италия7, Нидерландия, Австрия8, Гърция, Дания9, Кипър10 и др.) са извършени или са в процес на извършване законодателни промени, които да отговорят както на наложените безпрецедентни обществени отношения, така и на действащия правопорядък, гарантиращ основните права и свободи на гражданите. Швейцария, макар и да не е държава-членка на ЕС, прие в началото на месец септември т.г. законодателство, с което въвежда задължително ползване на сертификатите за целите на посещение на ресторанти и други обществени обекти. Тъй като темата надскача пределите на компетентност на един надзорен орган по защита на личните данни, считаме, че в стратегически план тя следва да бъде дискутирана във възможно най-широк кръг от други публични органи, граждани и организации. Подобен подход би спомогнал за приемането на необходимите правно обвързващи актове на национално равнище.

В Държавен вестник бр. 44 от 13.05.2020 г. беше обнародван Закон за изменение и допълнение на Закона за здравето, който урежда правните инструменти за ограничаване на разпространението на епидемията и преодоляване на последиците от нея, които се прилагат на територията на страната след отмяната на извънредното положение, т.е. след 13 май 2020 г. Регламентирани са както изцяло нови, различни по своя характер мерки, така и промени във вече въведените такива.

Законът дава право на Министерски съвет, по предложение на министъра на здравеопазването, да обявява извънредна епидемична обстановка на територията на страната при непосредствена опасност за живота и здравето на гражданите от разпространението на заразна болест, каквато е COVID-19. Уреждат се и условията, които следва да са изпълнени, за да бъде въведена такава обстановка. Във връзка с това, със свое Решение № 325 от 14.05.2020 г. Министерският съвет обяви извънредна епидемична обстановка на територията на страната, която продължава и към настоящия момент. Противоепидемичните мерки се въвеждат със заповед на министъра на здравеопазването или на друг компетентен орган (напр. директор на съответната РЗИ).

Наред с това, Законът за мерките и действията по време на извънредното положение, обявено с решение на народното събрание от 13 март 2020 г. и за преодоляване на последиците (загл. доп.ДВ, бр. 44 от 2020 г., в сила от 14.05.2020 г.) предвижда, че министърът на здравеопазването освен по Закона за здравето може да въвежда и други временни мерки и ограничения, определени в закон.

Преди въвеждането на интрузивни мерки като тестове (антигенен/PCR) или обработване на данни за ваксинационния статус на лицата, администраторите могат да обмислят използването на агрегирани (обобщени) данни за здравето. Агрегираните данни, които не позволяват свързването на информация за здравето с отделни лица, могат да се считат за анонимни11, т.е. не попадат в обхвата на ОРЗД.

Примерите за такива обобщени здравни данни включват:

  • Процент на служителите, които са ваксинирани срещу COVID-19 в рамките на определен период от време;
  • Процент на служителите без ваксинация срещу COVID-19 или на тези с неизвестен ваксинационен статус.

Службите по трудова медицина, разполагащи с ваксинационния статус на лицата, могат да бъдат натоварени с изготвянето на такива обобщени данни. За да се гарантира обаче, че обобщените данни са анонимни, те винаги трябва да се отнасят до групи от индивиди, които са достатъчно големи, за да се изключи възможността за идентифициране на конкретно лице.

Поначало службата по трудова медицина може да не разполага с тази информация (или тя да е неточна или неактуална). В тези случаи, за да получат агрегирани данни, администраторите могат да насърчават персонала си да информира службата по трудова медицина за техния ваксинационен статус, при условие че това е доброволно и се извършва само от медицинско лице.

Администраторите могат да обмислят също така използването на анкети, от които да получат представа за процента на ваксинирани и неваксинирани служители. Тези анкети следва да бъдат доброволни и анонимни. В случай че се използва електронен инструмент за провеждането им, трябва да се гарантира, че той осигурява анонимност на участващите лица (дори ако такъв инструмент не събира имена или имейл адреси, той може да събира IP адреси). Поставянето на отворени въпроси в тези анкети трябва да се избягва, тъй като чрез отговорите им може да се идентифицира конкретно лице.

На равнище ЕС изискванията на Регламента за Цифровия COVID сертификат на ЕС изключват изначално приложимостта на съгласието по отношение на обработването на данните, съдържащи се в сертификатите. Както беше посочено по-горе, обработването на данните за други цели може да се извършва единствено, ако правното основание за това е установено в националното законодателство, т.е. то трябва да има характера на законово задължение. Съгласието, като основание, предвидено в правото на ЕС (ОРЗД), не може да бъде приложимо за обработване на лични данни от Цифровия COVID сертификат на ЕС. В съображение (48) от Регламент (ЕС) 2021/953 е предвидено изрично, че държавите членки могат да въведат в националното си законодателство възможност за обработване на данните за други цели, при условие че е предвидено ясно разписано правно основание за това, което съответства на правото на ЕС за защита на данните и с принципите на ефективност, необходимост и пропорционалност, и трябва да включва разпоредби, в които ясно се посочват обхватът и степента на обработването, конкретната цел, категориите субекти, които могат да проверяват сертификата, както и съответните гаранции за предотвратяване на дискриминация и злоупотреби, като се отчитат рисковете за правата и свободите на субектите на данни. Регламент (ЕС) 2021/953 забранява изрично съхраняването на данни от сертификата, когато обработването е за немедицински цели.

Доколкото в отвореното писмо, предоставено на КЗЛД, се повдигат въпроси, свързани с ваксинационния статус на родителите на деца от детските градини, изложените по-горе аргументи запазват в пълна степен своята приложимост. Следва обаче да се има предвид, че недопускането в детска градина на деца на неваксинирани родители, може да доведе до нарушаване и на конкретни права и интереси и на децата. Водени от принципа за осигуряване на най-добрия интерес на детето (чл. 3, т. 3 от Закона за закрила на детето), то не би следвало да търпи неблагоприятни правни последици и ограничения на неговите права или привилегии вследствие на действия или бездействия на неговите родители (арг. от чл. 10, ал. 3 от Закона за закрила на детето).

За пълнота на информацията следва да се има предвид, че Министерство на здравеопазването е разработило и пуснало за употреба приложение за проверка на Цифровия COVID сертификат на ЕС – т.нар. „Covid Check BG”.

По тези съображения и на основание чл. 58, пар. 3, б. „б” от Регламент (ЕС) 2016/679 във вр. с чл. 10а, ал. 1 от Закона за защита на личните данни, Комисията за защита на личните данни изразява следното

СТАНОВИЩЕ:

Към настоящия момент националното ни законодателство не регламентира разширеното използване на лични данни от Цифровия COVID сертификат на ЕС за цели, различни от улесняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от Регламент (ЕС) 2021/953 срок.

Въпреки това и с оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, администраторите на лични данни могат да обработват агрегирани (обобщени) данни за ваксинационния статус на лицата, които да ги подпомогнат при извършване на оценката на риска при осигуряването на здравословни и безопасни условия на труд.

Единствената правна възможност за администраторите, извън посочената в параграф втори, да осигурят баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни, е да извършват проверка на Цифровия COVID сертификат на ЕС, без да съхраняват резултатите от нея. Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица.

ПРЕДСЕДАТЕЛ:                     ЧЛЕНОВЕ:

 

1 Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета от 14 юни 2021 година относно рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID-19 (Цифров COVID сертификат на ЕС) с цел улесняване на свободното движение по време на пандемията от COVID-19

2 Съображение 48 от Регламент (ЕС) 2021/953

3 https://edpb.europa.eu/system/files/2021-07/edpb_edps_joint_opinion_dgc_bg.pdf

4 В случаите, когато се отказват социално гарантираните му права, като например да посещава детска градина или ясла, когато родителите му не докажат статут на ваксинирани, преболедували или тествани за COVID-19

5 На 22 април 2021 г. е обнародван закон, с който се дават привилегии на ваксинираните лица.

6 На 26 юли 2021 г. френският парламент приема закон, който разширява ползването на сертификатите, впоследствие преминал и през конституционен контрол.

7 Нормативният акт, с който се разширява ползването на сертификатите е обнародван на 6 август 2021 г. в Официалния вестник на Италия: https://www.gazzettaufficiale.it/eli/id/2021/08/06/21G00125/sg

8 На 26 май 2021 г. австрийският парламент одобрява законопроект, въвеждащ така наречения „зелен пропуск”, който предоставя на притежателите му достъп до ресторанти, хотели и културни заведения, ако могат да докажат, че са ваксинирани, преболедували от COVID-19 или са дали отрицателен тест за вируса.

9 Дания е една от първите държави въвели законодателство в тази област още през месец април 2021 г.

10 В Кипър такова законодателство действа от 9 юли 2021 г.

11 Вж. Становище 05/2014 на Работната група по чл. 29 относно техническите способи за анонимизиране, прието на 10 април 2014 г.“

Пълният текст на становището е публикуван  ТУК.

 

Можете да споделите: