Нашумелият случай около здравния статус на депутатите от "Възраждане" повдигна темата за защитата на личните данни. По този повод от Actualno.com се допитахме до становището на адвокат Милен Пенев.
Материята относно личните данни по здравословното състояние на гражданите е уредена в Регламент (ЕС) 2016/679 и Закона за защита на личните данни. Дефиницията за такъв тип данни е дадена в т. 35 от Преамбюла на регламента и чл. 4, т. 15 от Регламента, нашият закон прави препратка към Регламента, без да дава самостоятелно определение. Ваксинационният статус на гражданите определено е част от тези здравни данни. Това се потвърждава и от становището на Комисията за защита на личните данни (“КЗЛД”) с рег. № ПНМД-01-93/06.10.2021 г., дадено във връзка с обработването на данни при цифровия COVID сертификат, популярно познат като “зелен сертификат”.
В чл. 9 от Регламента и чл. 51 от българския закон здравните лични данни се определят като чувствителни и съответно такива с повишена закрила. Тези данни могат да се предоставят на трети лица само в някоя от изрично посочените нормативни хипотези. Например при дадено изрично съгласие от лицата, за упражняването на трудови и социални права и др.
В нашумелия в обществото случай от преди няколко дни, когато определена телевизия си позволи да извади публично данни от ваксинационния статус на депутати, включително дата на ваксинация и вид ваксина, съгласно общоизвестните факти по случая не е налице нито една от нормативните хипотези, която да позволи такива действия. В случая обаче въпросът е дали телевизията разпространява такива данни или самите депутати ги споделят като отговор на зададени въпроси! Особеният защитен характер на тези данни е виден и от посоченото по-горе становище на КЗЛД, в което се казва следното:
“Единствената правна възможност за администраторите, извън посочената в параграф втори, да осигурят баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни, е да извършват проверка на Цифровия COVID сертификат на ЕС, без да съхраняват резултатите от нея. Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица.”
Нарушаването на правилата за обработване на личните данни по здравословното състояние на гражданите е много сериозно нарушение. Засегнатите лица могат да си защитят правата чрез жалба до КЗЛД или до съда по реда на АПК, в рамките на съдебното производство може да се потърси и обезщетение. В чл. 85 от Закона за защита на личните данни.са предвидени и административни санкции за нарушаване на закона, като чл. 85, ал. 3 от закона препраща към чл. 83, параграф 5 от Регламента. Тези европейски санкции са изключително сурови:
“Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.”
Не на последно място злоупотребата с лични данни може да има и наказателноправни аспекти, например може да осъществява състава на длъжностно престъпление.
******************************************************************************
Милен Пенев е адвокат със сериозна практика в широк спектър от области на бизнес правото. Интересува се също от правните аспекти на COVID-19 пандемията и защитата на човешките права в този контекст. Заемал е различни позиции, включително началник на правния отдел на „Райфайзен Лизинг България“ и старши адвокат в една от водещите правни кантори в България и по света – CMS.