Обработване на лични данни при прилагане на противоепидемични мерки

На 13 март 2020 г. със заповед на министъра на здравеопазването на територията на страната бяха въведени противоепидемични мерки, свързани с разпространението на COVID-19. Правното основание за въвеждането им е чл. 63, ал. 1 от Закона за здравето, предвиждащ това правомощие на министъра при възникване на извънредна епидемична обстановка. Уредбата в чл. 63 от Закона за здравето задължава лечебните и здравните заведения да изпълняват въведените мерки, а държавните и общинските органи да създават необходимите условия за тяхното изпълнение.

При прилагане на някои от противоепидемичните мерки, свързани с обработване на лични данни, се поставиха въпроси за допустимостта им съгласно правилата за защита на личните данни. В изявление на Европейския комитет по защита на данните¹, прието на 19 март 2020 г., е посочено изрично, че „правилата за защита на данните (като Общия регламент относно защитата на данните – ОРЗД) не възпрепятстват мерките, предприети в борбата с пандемията от коронавирус. Борбата срещу заразните болести е първостепенна цел, споделяна от всички нации и следователно трябва да бъде подкрепена по най-добрия възможен начин. В интерес на човечеството е да ограничи разпространението на болестите и да използва съвременни техники в борбата с бичовете, засягащи големи части на света“. Наред с това Европейският комитет по защита на данните подчертава, че администраторът и обработващият лични данни трябва да гарантират защитата на личните данни.

Настоящата статия е насочена към личните данни, обработвани при прилагане на някои от противоепидемичните мерки. Без претенции за изчерпателност на аспектите на защитата, фокусът е към представяне на правните основания за тяхното обработване.

1. Обработване на лични данни от работодателите с цел недопускане на служители или външни лица с прояви на остри заразни заболявания

Прилагането на тази мярка е алтернатива на въвеждането на дистанционна форма на работа, в зависимост от спецификата и възможностите на съответната трудова дейност. Тя се откроява с две особености от гледна точка на защитата на личните данни: данните за здравословното състояние са специални категории лични данни и обработването им е поставено в специфичния контекст на трудовото или служебното правоотношение. Приложими за тази ситуация са както общите изисквания на Регламент (ЕС) 2016/679, така и разпоредбите на трудовото законодателство, с които Регламентът допуска да се предвиждат по-конкретни правила за обработване на личните данни на наетите лица по трудово или служебно правоотношение (чл. 88). По силата на чл. 127, ал. 1 от Кодекса на труда работодателят е длъжен да осигури на работника или служителя нормални условия за изпълнение на работата по трудовото правоотношение, а част от тях са здравословните и безопасни условия за труд (т. 3). По Закона за държавния служител органът по назначаването също дължи здравословни и безопасни условия на труд (чл. 38а). В този контекст предприемането на дейности по обработване на лични данни, необходими за изпълнение на тези задължения, се обхваща от условието по чл. 9, пар. 2, б. „б“ от Регламент (ЕС) 2016/679 – обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право. Прилагането му не изисква съгласие от физическите лица, но поставя други въпроси, свързани с принципите за свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност. В конкретния случай те следва да се преценят според целта на обработването на личните данни, която е дефинирана чрез същността на противоепидемичната мярка да не се допускат служители или външни лица с прояви на остри заразни заболявания. Предвид това при влизане в работните помещения е допустимо да се преценява наличието на известните симптоми на болестта, като висока температура, кашлица, които могат да се установят без инвазивно навлизане в личния живот, например чрез дистанционно измерване на температурата и въпроси относно другите признаци. Доколкото тези данни са необходими единствено за преценката относно допускане до помещенията, не е необходимо те да се записват и съхраняват, а може да бъде документирана създадената организация за тяхното изпълнение. Така няма да бъде надхвърлен периодът от време, необходим с оглед целите на обработването на личните данни, и няма да възникнат въпросите, свързани с целостта и поверителността на данните, каквито неминуемо ще има, ако данните бъдат документирани и съхранени. Следва да се отбележи обаче, че ако е допусната неточност при обработването на личните данни и работникът или служителят неправомерно е бил временно отстранен от работа, той има право на обезщетение, регламентирано в чл. 214 от Кодекса на труда.

По отношение на въпроса дали работодателят може да извършва медицински прегледи на служителите, Европейският комитет по защита на данните посочва, че тази възможност зависи изцяло от уредбата в националните законодателства в областта на трудовата заетост или здравето и безопасността. Предвид това отговорът следва да бъде съобразен с изискванията на Закона за здравословни и безопасни условия на труд. Наблюдението на здравното състояние на работещите е сред основните дейности на службите по трудова медицина съгласно чл. 25а, ал. 1, т. 4 от този закон. То се извършва по правилата, предвидени в Наредба № 3 от 25.01.2008 г. за условията и реда за осъществяване дейността на службите по трудова медицина, като медицинските прегледи се извършват от медицински специалисти, а не от работодателя. Ако е налице специална уредба, която задължава работодателя за извършване на медицински прегледи заради естеството на конкретната работа, тя ще изключи общите правила и съобразно нейните изисквания ще се уреди даденият случай.

2. Организиране на контролно-пропускателни пунктове (КПП) на входно-изходните пътища на областните центрове и извършване на проверка на целта на пътуването на гражданите

По законосъобразността на обработване на лични данни чрез събирането от органите на Министерството на вътрешните работи на декларации от преминаващите през КПП беше направена публикация на интернет страницата на Комисията за защита на личните данни. Според изявлението на Комисията наложената от МВР мярка е необходима и пропорционална с оглед гарантиране на общественото здраве и предотвратяване на престъпления, каквото е деянието по чл. 355 от Наказателния кодекс², включително предпазването от и предотвратяването на заплахи за обществената сигурност, каквато несъмнено е заплахата от разпространението на вируса.

Като администратор на личните данни, МВР има задължението да гарантира сигурността на обработването на личните данни, съдържащи се в декларациите, чрез прилагането на подходящи технически и организационни мерки. На интернет страницата на МВР е публикувана заповед на министъра на вътрешните работи, с която се създава организация за обработване на личните данни по повод на извършваните проверки и предоставянето на декларации на КПП. В тази заповед изрично е указано, че личните данни от декларациите се обработват единствено за целите на Закона за мерките и действията по време на извънредното положение, обявено с решение на Народното събрание от 13 март 2020 г. Обработването на декларациите чрез тяхното ежедневно събиране, транспортиране, подреждане, съхраняване и достъп се извършва при опазване на тяхната физическа цялост и спазване на изискванията на персонална и документална сигурност, като се вземат всички мерки за сигурността на личните данни срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. В заповедта са предвидени и критериите, по които се определят сроковете за съхранение на декларациите. Принципно това е срокът на противоепидемичните мерки, а за декларациите, които са доказателство във връзка с образувани административни или наказателни производства, съхраняването ще се извършва до приключването на съответните производства.

При обработването на личните данни, съдържащи се в декларациите, се изисква стриктно спазване на Общия регламент относно защитата на данните, Закона за защита на личните данни и Закона за Министерството на вътрешните работи. Изброяването на тези нормативни актове е разбираемо, тъй като правилата, по които се осъществява защитата на физическите лица при обработване на личните им данни, може да варират. Например при наказателно преследване обработването на личните данни няма да е в приложното поле на Регламент (ЕС) 2016/679 (чл. 2, пар. 2, б. „г“). Обработването ще се регулира съобразно глава осма от Закона за защита на личните данни, с която в българското законодателство е въведена Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета.

3. Обработване на лични данни във връзка със забраната за посещение на хранителни магазини и аптеки във времето от 8.30 до 10.30 часа на лица до 60-годишна възраст

При прилагането на тази мярка може да се стигне до обработване на лични данни само в много ограничени хипотези и то единствено под формата на разкриване на датата на раждане. Ако въобще се стига до такова обработване на личните данни, правното основание ще бъде задължението за изпълнение на въведени с акт на министъра на здравеопазването противоепидемични мерки, за неизпълнението на което е предвидена отговорност съгласно чл. 209а от Закона за здравето. На практика това е основанието по чл. 6, пар. 1, б. „в“ от Регламент (ЕС) 2016/679 – обработването е необходимо за спазване на законово задължение, което се прилага спрямо администратора. Следва да се има предвид обаче, че наличието на това основание не изключва прилагането на другите принципи, свързани с обработването на лични данни. В този контекст и редицата въпроси относно възможността да се иска дадено лице да потвърди възрастта си при посещение в хранителен магазин или аптека могат да имат най-различни измерения.

Как следва да бъдат допускани лицата в посочените търговски обекти в часовия интервал от 8.30 до 10.30 часа? Едва ли е нужно представяне на лична карта или друг документ за самоличност при всяко посещение, нито е допустимо нейното копиране, сканиране или съхраняване по друг начин на данните в нея. Този извод следва от обстоятелството, че за прилагане на ограничението е от значение само възрастта, т.е. не всички данни в личната карта, а само информацията относно датата на раждане. Възрастовата граница под или над 60 години може да се определи и от визуалния контакт с лицето, а ако има евентуално съмнения, следва да се прилага най-малко инвазивния способ за нейното установяване – представяне на личен документ за справка, без записване на каквито и да било данни от него.

Важно е да се отбележи, че прилагането на мярката не изисква нито установяване на точна възраст, нито нейното документиране по определен начин. Това изключва възможността за копиране на документа за самоличност, като аргумент за този извод е и разпоредбата на чл. 25г от Закона за защита на личните данни. Копиране на документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване се допуска само ако това е предвидено със закон. Доколкото Законът за мерките и действията по време на извънредното положение, обявено с решение на Народното събрание от 13 март 2020 г., не създава такова основание, снемането на копие, записването на данните, сканирането им или друг начин, по който те могат да бъдат съхранявани с оглед прилагането на мярката, са непропорционални на преследваните с нея цели.

4. Въвеждане в експлоатация на Национална информационна система за борба с COVID-19

Като част от противоепидемичните мерки със заповед на министъра на здравеопазването се въвежда в експлоатация Национална информационна система за борба с COVID-19. С нея се осигурява централизирано управление и съхранение на информация за всички диагностицирани и карантинирани лица и се предоставя функционално обезпечение на всички компетентни институции, свързани с борбата с вируса.

Националната информационна система се състои от следните модули:

а) Информационен уеб портал за граждани с актуална информация за епидемичната обстановка в страната.

б) Мобилно приложение за граждани, в което гражданите могат да отразяват здравния си статус. Приложението поддържа нотификация към общопрактикуващ лекар и актуална информация за здравословното състояние на лицата.

в) Регистър на лица, поставени под карантина или домашна изолация и лечение и потвърдени случаи на COVID-19 за централизирано управление и съхранение на информация.

г) Софтуер за прогнозни анализи за развитие на заболеваемостта от COVID-19 и епидемичната обстановка в страната, свързана със заболяването.

д) Географски карти за визуализации на броя на карантинираните, заболелите, починалите и оздравелите лица.

В заповедта на министъра на здравеопазването са определени категориите получатели на информацията в отделните модули на системата, начинът на достъпване и въвеждане на информацията, поддържането й в актуално състояние, като ежедневно се въвеждат всички нови и се редактират съществуващите (при настъпили промени) данни за диагностицираните и карантинираните лица.

Не всички модули от системата са предназначени за обработване на лични данни, което диференцира и изискванията за достъп до тях. Модулът по буква „а“ е с обществен достъп, тъй като е портал за граждани с актуална информация за епидемичната обстановка в страната. Мобилното приложение за граждани по буква „б“ също може да бъде достъпно от всички. Доколкото е предвидено, че в него гражданите могат да отразяват здравния си статус, следва, че предоставянето на личните им данни е въпрос на тяхно съгласие. Общият регламент относно защитата на данните допуска обработването на лични данни въз основа на съгласие на субекта на данни (чл. 6, пар. 1, б. „а“, а по отношение на специалните категории лични данни, сред които са и данните за здравословното състояние – чл. 9, пар. 2, б. „а“). Следва да се отчитат условията, на които трябва да отговаря съгласието на субекта на данни, а именно то да е свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработвани. При обработване на специални категории лични данни, какъвто е случаят с данните за здравословното състояние, съгласието трябва да отговаря и на специфичното изискване да е изрично. Този елемент завишава изискванията по отношение на недвусмислеността на съгласието и категоричната необходимост за наличие на изявление или ясно потвърждаващо действие, каквото в случая може да се приеме изтеглянето, инсталирането и въвеждането на данни в приложението.

Достъп до информацията в модула по буква „в“ могат да имат регионалните здравни инспекции, органите на Министерството на вътрешните работи, общопрактикуващите лекари, лечебните заведения за болнична помощ, лабораториите, извършващи лабораторно изследване и потвърждение на COVID-19, общините и Националният осигурителен институт. До информацията в модулите по буква „г“ и „д“ достъп се предоставя на Министерството на здравеопазването и на Националния оперативен щаб за борба с COVID-19. Общо изискване за достъп и до трите модула е да се осъществява посредством квалифициран електронен подпис след предварителна регистрация, което идентифицира получателите на информацията. Приложимото основание за достъпа до личните данни в тези модули може да се изведе от необходимостта за изпълнение на задача от обществен интерес или при упражняване на официални правомощия (чл. 6, пар. 1, б. „д“ от Общия регламент относно защитата на данните) и по съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето, въз основа на правото на Европейския съюз или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна (чл. 9,
пар. 2, б. „и“ от Общия регламент относно защитата на данните).

Изискванията за защита на личните данни не следва да се разглеждат като пречка за тяхното обработване, когато данните са необходими по съображения от обществен интерес и за защита на жизненоважни интереси на субекта на данни или на друго физическо лице. Регламент (ЕС) 2016/679 и другите правни актове, регулиращи обработването на лични данни, предвиждат съответните условия за законосъобразност на обработването. Тяхното приложение обаче изисква гаранции за правата и свободите на субектите на данни. Изразени чрез принципите на обработването на лични данни, това са ограничението на целите, свеждането на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност и отчетност. Само при съвкупното им прилагане може да се гарантира равновесието между правото за защита на личните данни и другите основни права, съгласно принципа на пропорционалност. Както посочва и Европейският комитет по защита на данните, спешността е правно условие, което може да легитимира ограниченията на свободите, при условие че те са пропорционални и сведени до рамките на извънредния период.

Д-р Невин ФЕТИ, юрист
____
1 Европейският комитет по защита на данните е орган на Европейския съюз, създаден с чл. 68 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните), който осигурява съгласуваното прилагане на Регламента.
2 В чл. 355, ал. 1 от Наказателния кодекс е предвидена наказателна отговорност за нарушаване на наредба, правила или мерки, издадени против разпространяването или появяването на заразна болест по
хората.