Covid-19 и личните данни: Практически насоки за законосъобразна обработка
© Tyrone Siu Овладяване на разпространяването на така наречен " корона вирус " е съществена цел на държавните управления и обществеността в целия свят.
Междувременно, той оказа към този момент значимо директно влияние върху икономическия, обществения и в това число върху правния живот във всяка страна и то по метод, по който не сме били очевидци до в този момент.
Абонирайте се за Капитал Четете безкрайно и подкрепяте напъните ни да пишем по значимите тематики И до момента в който за справяне с пандемията се одобряват голям брой законови и подзаконови актове в разнообразни сфери на правото, една от към момента не категорично до урегулираните с спомагателен закон, само че значими тематики свързани със здравословното положение на лицата, остава тази за огромната обработка на персонални данни.
Именно по отношение на обработката на персонални данни в актуалната обстановка пораждат голям брой и отворени въпроси, които търсят своя отговор.
По-долу можете да се запознаете с отговорите на най-често задаваните въпроси свързани с обработка на персонални данни на чиновници, клиенти и трети лица за задачите на преодоляване на пандемията Covid-19.
Какво не разрешава и разрешава GDPR?
По отношение на общите категории персонални данни
Общата наредба на член 6 от GDPR разрешава обработка на персонални данни (общи категории като имена, адрес, телефонен номер, имейл адрес и др.) въз основата на дефинирани експлицитни учредения - i) нормативно основание; ii) за задачите на осъществяване на договор; iii) предоставено съгласие; iv) за отбрана на жизненоважни ползи и други
По отношение на специфичните категории - включително здравословно положение
Член 9 от GDPR не разрешава обработката на т.нар " специфични категории " персонални данни, включително и данни за здравословното положение на лицата, с някои изключения: i) при предоставено категорично съгласие; ii) за осъществяване на отговорности, произлизащи от трудовото право и други
Обръщаме внимание на тази специфичност защото даже измерването на температурата да вземем за пример на входа на предприятието или офиса съставлява обработка на " специфична категория " персонални данни - свързани със здравословното положение.
В условия на ПАНДЕМИЯ
В случая с Covid-19, когато организациите/дружествата следва да се преценяват с експлицитни инструкции на органи на обществената власт; Световната Здравна Организация и други е налице опция за обработка на специфични категории персонални данни (свързани със здравословно положение, биометрични данни и др.) на съображение член 9, параграф 2, писмен знак " И " от GDPR . В този случай обработката на посочените специфични категории персонални данни би била нужна от съображения, свързани със отбрана на публичния интерес в региона на публичното здраве, в това число отбраната против съществени трансгранични закани за здравето и други
В допълнение, в т. 46 от Преамбюла на GDPR е посочено, че обработването на персонални данни следва да се смята за законосъобразно , когато е належащо, с цел да се отбрани интерес от първостепенно значение за живота на физическите лица . Именно такава е актуалната обстановка в международен мащаб. Някои типове обработка могат да обслужват както значими области от публичен интерес, по този начин и жизненоважните ползи на субекта на данните, да вземем за пример " когато обработването е належащо за филантропични цели, в това число за наблюдаване на епидемии и тяхното разпространяване или при незабавни филантропични обстановки, по-специално при положение на естествени или породени от индивида бедствия ".
По отношение на работодателите българското законодателство и в частност Кодекса на труда, разпорежда обвързване да обезпечават здравословни и безвредни условия на труд за своите чиновници. Като част от тези ограничения те естествено следва да събират информация за здравословното положение на чиновниците свързани с съответното заболяване и съгласно инструкциите на Кризисния щаб. Всяка сходна обработка би могла да се прави в подтекста на актуалната обстановка и без категорично в допълнение единодушие на чиновниците на основанието посочено нагоре . Тоест, посоченото обвързване за работодателите, както и наредбата на член 9, параграф 2, писмен знак " И " от GDPR, тълкувани в сложно в тяхната връзка дават съображение за законосъобразна обработка на специфични категории персонални данни във време на пандемия.
Обработка единствено след застраховане на механически и организационни ограничения
Независимо от горепосочената опция не следва да се не помни, че GDPR вкарва голям брой отговорности и ограничавания с оглед обезпечаване на механически и организационни ограничения за отбрана на обработваните персонални данни без значение от основанието за обработка. Цитираните ограничения следва да бъдат подхванати в прелиминарен порядък, т.е. преди началото на обработката и прилагани прецизно.
В този смисъл и отговорностите за съблюдаване на конфиденциалност, криптиране на данните, анонимизация или псевдонимизация (там, където е възможно), ограничение на достъпа и доста други, остават в действие и сдруженията, организациите, обществените органи и всички други админи на персонални данни следва да се преценяват с тях.
Възможно ли е шеф да изисква от своите чиновници, клиенти, гости да попълнят въпросник, съдържащ информация за настоящи пътувания в страни, наранени от вируса, както и здравна информация, включително: признаци на тресчица, болки в тялото, висока температура и други? Възможно ли е шеф да мери температурата на свои чиновници, клиенти, посещаващи офиса и други?
Дружествата/организациите имат правна опция да изискват от своите чиновници, клиенти, гости информация за тяхното здравословно положение, само че единствено доколкото тази информация съдържа данни за съществуване на признаци, предшестващи Covid-19 зараза, по този начин например данни за висока температура, кашлица, болки в тялото и признаци на тресчица.
Добра Европейска процедура е обработваната информация да бъде псевдонимизирана и съхранявана във файлове с кодирани/криптирани имена, които не могат да бъдат свързани с съответно физическо лице при реализиране на неоторизиран достъп извън.
Най-удачният и сигурен метод, който може да бъде подхванат от работодателите както във връзка с своите чиновници, по този начин и във връзка с гости, клиенти и други е горепосочената информация да бъде събирана посредством анонимни въпросници (т.е. да бъде анонимизирана), в това число да се прави премерване на температура без да е налице връзка на резултата с съответно физическо лице.
По този метод преценката дали едно физическо лице следва да бъде позволено на територията на дружеството/организацията се прави на момента, като не се обработват персонални данни за неговото положение, телесна температура и други по смисъла на GDPR. При тази догадка няма да е налице и нужда от запазване на събраната информация, в случай че дружеството/организацията не желае да я употребява за чисто статистически цели.
За какъв период следва да бъдат съхранени събраните персонални данни?
Законът за отбрана на персоналните данни и GDPR не съдържат съответни периоди за предпазване на специфични категории персонални данни, обработвани за задачите, посочени нагоре.
Предоставената информация следва да бъде съхранявана за къси интервали от време, например 30 дни или до отминаване на пандемията, съгласно поставените цели за обработка и потребление на информацията. Разбира се, при положение на експлицитни указания от страна на Кризисния щаб или при законова смяна това следва да бъде съобразено.
След приключване на избраните периоди на предпазване, данните би трябвало да бъдат унищожавани, като при нужда, в това число съществуване на правно съображение, информацията може да бъде обновявана и събирана още веднъж от физическите лица.
Какви ограничения за отбрана на данните следва да бъдат подхванати?
Дружествата/организациите следва да се придържат към главните правила за законосъобразна обработка на персонални данни, заложени в GDPR, по този начин например пропорция, минимизация на данните, бистрота и други
В тази връзка, би трябвало да: бъдат избрани пространствата, софтуерите и така нататък, където ще бъдат съхранявани персоналните данни; бъде несъмнено лице (или няколко, според от мащаба на обработката), отговорно за съблюдаване отговорностите за правомерност на обработването, в това число за обезпечаване на достъп до данните при нужда, навременно заличаване на данните след приключване на срокът на предпазване и други бъдат известени лицата, чиито персонални данни ще бъдат обработвани; когато е допустимо - информацията да бъде криптирана, псевдонимизирана, а даже и анонимизирана и други Важно е да се означи, че общите отговорности, свързани с докладване на пробиви в сигурността на данните (до 72 часа след узнаването), изпращане на отговори на запитвания от субектите на данни и други следва да бъдат спазвани, както досега.
Възможно ли е информация за доказани случаи на Covid-19 да бъде споделяна с трети лица?
Този въпрос следва да бъде проучен на " case by case " принцип от позиция на съответните трети лица, на които следва да бъде предоставена информацията.
Все отново, подобен вид информация следва да бъде предоставяна на органите на обществената власт и здравните управляващи , което би спомогнало оправянето с пандемията и нейното ограничение, в това число по отношение на застраховане на наложителната 14 дневна карантина на заболелите лица. Още повече в актуалната обстановка, в случай че служителят е посещавал работното си място в карантинния интервал за отбрана на публичния интерес и живота и здравето на останалите чиновници здравните управляващи могат да намерят за належащо да слагат под карантина както всички останали чиновници, по този начин и самите работни пространства.
Споделяне на информация за доказани случаи на Covid-19 с други чиновници следва да бъде избягвано, като би могло да е допустимо само в случай че е безусловно належащо, с цел да се реши дали и други чиновници не са били в контакт с съответното лице и надлежно, са инфектирани. Удачен вид съгласно събитията би бил също информацията да бъде комуникирана анонимно - без да се разпознава съответното физическо лице.
Този текст дава обща информация, обвързвана с обработката на персонални данни по време на пандемията Covid-19, като не е обстоен и съставлява пояснение на правните правила и практиката на регулаторните органи в Европейския съюз от Екип " Защита на персоналните данни " в Адвокатско сдружение " Пенков, Марков и сътрудници ".
Междувременно, той оказа към този момент значимо директно влияние върху икономическия, обществения и в това число върху правния живот във всяка страна и то по метод, по който не сме били очевидци до в този момент.
Абонирайте се за Капитал Четете безкрайно и подкрепяте напъните ни да пишем по значимите тематики И до момента в който за справяне с пандемията се одобряват голям брой законови и подзаконови актове в разнообразни сфери на правото, една от към момента не категорично до урегулираните с спомагателен закон, само че значими тематики свързани със здравословното положение на лицата, остава тази за огромната обработка на персонални данни.
Именно по отношение на обработката на персонални данни в актуалната обстановка пораждат голям брой и отворени въпроси, които търсят своя отговор.
По-долу можете да се запознаете с отговорите на най-често задаваните въпроси свързани с обработка на персонални данни на чиновници, клиенти и трети лица за задачите на преодоляване на пандемията Covid-19.
Какво не разрешава и разрешава GDPR?
По отношение на общите категории персонални данни
Общата наредба на член 6 от GDPR разрешава обработка на персонални данни (общи категории като имена, адрес, телефонен номер, имейл адрес и др.) въз основата на дефинирани експлицитни учредения - i) нормативно основание; ii) за задачите на осъществяване на договор; iii) предоставено съгласие; iv) за отбрана на жизненоважни ползи и други
По отношение на специфичните категории - включително здравословно положение
Член 9 от GDPR не разрешава обработката на т.нар " специфични категории " персонални данни, включително и данни за здравословното положение на лицата, с някои изключения: i) при предоставено категорично съгласие; ii) за осъществяване на отговорности, произлизащи от трудовото право и други
Обръщаме внимание на тази специфичност защото даже измерването на температурата да вземем за пример на входа на предприятието или офиса съставлява обработка на " специфична категория " персонални данни - свързани със здравословното положение.
В условия на ПАНДЕМИЯ
В случая с Covid-19, когато организациите/дружествата следва да се преценяват с експлицитни инструкции на органи на обществената власт; Световната Здравна Организация и други е налице опция за обработка на специфични категории персонални данни (свързани със здравословно положение, биометрични данни и др.) на съображение член 9, параграф 2, писмен знак " И " от GDPR . В този случай обработката на посочените специфични категории персонални данни би била нужна от съображения, свързани със отбрана на публичния интерес в региона на публичното здраве, в това число отбраната против съществени трансгранични закани за здравето и други
В допълнение, в т. 46 от Преамбюла на GDPR е посочено, че обработването на персонални данни следва да се смята за законосъобразно , когато е належащо, с цел да се отбрани интерес от първостепенно значение за живота на физическите лица . Именно такава е актуалната обстановка в международен мащаб. Някои типове обработка могат да обслужват както значими области от публичен интерес, по този начин и жизненоважните ползи на субекта на данните, да вземем за пример " когато обработването е належащо за филантропични цели, в това число за наблюдаване на епидемии и тяхното разпространяване или при незабавни филантропични обстановки, по-специално при положение на естествени или породени от индивида бедствия ".
По отношение на работодателите българското законодателство и в частност Кодекса на труда, разпорежда обвързване да обезпечават здравословни и безвредни условия на труд за своите чиновници. Като част от тези ограничения те естествено следва да събират информация за здравословното положение на чиновниците свързани с съответното заболяване и съгласно инструкциите на Кризисния щаб. Всяка сходна обработка би могла да се прави в подтекста на актуалната обстановка и без категорично в допълнение единодушие на чиновниците на основанието посочено нагоре . Тоест, посоченото обвързване за работодателите, както и наредбата на член 9, параграф 2, писмен знак " И " от GDPR, тълкувани в сложно в тяхната връзка дават съображение за законосъобразна обработка на специфични категории персонални данни във време на пандемия.
Обработка единствено след застраховане на механически и организационни ограничения
Независимо от горепосочената опция не следва да се не помни, че GDPR вкарва голям брой отговорности и ограничавания с оглед обезпечаване на механически и организационни ограничения за отбрана на обработваните персонални данни без значение от основанието за обработка. Цитираните ограничения следва да бъдат подхванати в прелиминарен порядък, т.е. преди началото на обработката и прилагани прецизно.
В този смисъл и отговорностите за съблюдаване на конфиденциалност, криптиране на данните, анонимизация или псевдонимизация (там, където е възможно), ограничение на достъпа и доста други, остават в действие и сдруженията, организациите, обществените органи и всички други админи на персонални данни следва да се преценяват с тях.
Възможно ли е шеф да изисква от своите чиновници, клиенти, гости да попълнят въпросник, съдържащ информация за настоящи пътувания в страни, наранени от вируса, както и здравна информация, включително: признаци на тресчица, болки в тялото, висока температура и други? Възможно ли е шеф да мери температурата на свои чиновници, клиенти, посещаващи офиса и други?
Дружествата/организациите имат правна опция да изискват от своите чиновници, клиенти, гости информация за тяхното здравословно положение, само че единствено доколкото тази информация съдържа данни за съществуване на признаци, предшестващи Covid-19 зараза, по този начин например данни за висока температура, кашлица, болки в тялото и признаци на тресчица.
Добра Европейска процедура е обработваната информация да бъде псевдонимизирана и съхранявана във файлове с кодирани/криптирани имена, които не могат да бъдат свързани с съответно физическо лице при реализиране на неоторизиран достъп извън.
Най-удачният и сигурен метод, който може да бъде подхванат от работодателите както във връзка с своите чиновници, по този начин и във връзка с гости, клиенти и други е горепосочената информация да бъде събирана посредством анонимни въпросници (т.е. да бъде анонимизирана), в това число да се прави премерване на температура без да е налице връзка на резултата с съответно физическо лице.
По този метод преценката дали едно физическо лице следва да бъде позволено на територията на дружеството/организацията се прави на момента, като не се обработват персонални данни за неговото положение, телесна температура и други по смисъла на GDPR. При тази догадка няма да е налице и нужда от запазване на събраната информация, в случай че дружеството/организацията не желае да я употребява за чисто статистически цели.
За какъв период следва да бъдат съхранени събраните персонални данни?
Законът за отбрана на персоналните данни и GDPR не съдържат съответни периоди за предпазване на специфични категории персонални данни, обработвани за задачите, посочени нагоре.
Предоставената информация следва да бъде съхранявана за къси интервали от време, например 30 дни или до отминаване на пандемията, съгласно поставените цели за обработка и потребление на информацията. Разбира се, при положение на експлицитни указания от страна на Кризисния щаб или при законова смяна това следва да бъде съобразено.
След приключване на избраните периоди на предпазване, данните би трябвало да бъдат унищожавани, като при нужда, в това число съществуване на правно съображение, информацията може да бъде обновявана и събирана още веднъж от физическите лица.
Какви ограничения за отбрана на данните следва да бъдат подхванати?
Дружествата/организациите следва да се придържат към главните правила за законосъобразна обработка на персонални данни, заложени в GDPR, по този начин например пропорция, минимизация на данните, бистрота и други
В тази връзка, би трябвало да: бъдат избрани пространствата, софтуерите и така нататък, където ще бъдат съхранявани персоналните данни; бъде несъмнено лице (или няколко, според от мащаба на обработката), отговорно за съблюдаване отговорностите за правомерност на обработването, в това число за обезпечаване на достъп до данните при нужда, навременно заличаване на данните след приключване на срокът на предпазване и други бъдат известени лицата, чиито персонални данни ще бъдат обработвани; когато е допустимо - информацията да бъде криптирана, псевдонимизирана, а даже и анонимизирана и други Важно е да се означи, че общите отговорности, свързани с докладване на пробиви в сигурността на данните (до 72 часа след узнаването), изпращане на отговори на запитвания от субектите на данни и други следва да бъдат спазвани, както досега.
Възможно ли е информация за доказани случаи на Covid-19 да бъде споделяна с трети лица?
Този въпрос следва да бъде проучен на " case by case " принцип от позиция на съответните трети лица, на които следва да бъде предоставена информацията.
Все отново, подобен вид информация следва да бъде предоставяна на органите на обществената власт и здравните управляващи , което би спомогнало оправянето с пандемията и нейното ограничение, в това число по отношение на застраховане на наложителната 14 дневна карантина на заболелите лица. Още повече в актуалната обстановка, в случай че служителят е посещавал работното си място в карантинния интервал за отбрана на публичния интерес и живота и здравето на останалите чиновници здравните управляващи могат да намерят за належащо да слагат под карантина както всички останали чиновници, по този начин и самите работни пространства.
Споделяне на информация за доказани случаи на Covid-19 с други чиновници следва да бъде избягвано, като би могло да е допустимо само в случай че е безусловно належащо, с цел да се реши дали и други чиновници не са били в контакт с съответното лице и надлежно, са инфектирани. Удачен вид съгласно събитията би бил също информацията да бъде комуникирана анонимно - без да се разпознава съответното физическо лице.
Този текст дава обща информация, обвързвана с обработката на персонални данни по време на пандемията Covid-19, като не е обстоен и съставлява пояснение на правните правила и практиката на регулаторните органи в Европейския съюз от Екип " Защита на персоналните данни " в Адвокатско сдружение " Пенков, Марков и сътрудници ".
Източник: capital.bg
КОМЕНТАРИ