Промени размера
Аа Аа Аа Аа Аа

Създава ли ваксинацията срещу COVID-19 проблем с личните ни данни - становище на КЗЛД повдига въпроси

20 октомври 2021, 19:30 часа • 7741 прочитания

Все повече работодатели се изправят пред проблема дали е допустимо да събират лични данни за ваксинация на служителите си срещу COVID-19. От една страна, фирмите се опитват да ограничат разпространението на вируса в работната среда, за да не се стига до прекъсване на работата поради боледуване или карантиниране на служители, както и постепенно да върнат работещите дистанционно в офисите. От друга страна, с цел насърчаване на ваксинацията всички правителства предвиждат редица облекчения от строгите противоепидемични мерки, ако работещите в дадена фирма са ваксинирани.

Данните за ваксинационния статус на служителите са специална категория лични данни. Съгласно чл. 9, пар. 1 от Общия регламент за защита на данните (ОРЗД, GDPR) обработването на чувствителни данни е забранено. Регламентът обаче предвижда и случаи, в които при определени условия обработването е допустимо.

Българският надзорен орган – КЗЛД публикува становище относно обработването на лични данни за ваксинация на служителите срещу COVID-19 от работодателя. На европейско ниво няма единно становище по въпросите, свързани с обработване на данни за ваксинационния статус за COVID-19 на служителите.

Надзорните органи в някои европейски държави считат, че работодателите нямат право да събират такива данни (напр. Италия, Германия, Белгия и др.). Основният им аргумент е липсата на изрична законова разпоредба във вътрешното им законодателство. Също така, изтъква се, че ваксините не са 100% ефикасни срещу разпространението и заразяването с COVID-19, както и че спазването на противоепидемични мерки (дистанция, маски, дезинфекция и др.) на работното място е достатъчно. Все пак приемат, че в определени сектори (болници, социални домове и др.) може да се извършва законосъобразно обработване на данни за ваксинационен статус от работодателите.

В други европейски държави (Великобритания, Австрия, Испания и др.) надзорните органи възприемат по-гъвкав подход. Според тях обработването на лични данни за ваксинация на служителите срещу COVID-19 може да се подведе под изключението, предвидено в чл. 9, пар. 2, б. „б“ от ОРЗД. Задължението на работодателя да осигури безопасни условия на труд и да предотврати разпространението на зарази на работното място може да се квалифицира като „необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право“. Работодателите могат да се позоват на своя легитимен интерес, за да събират данни за ваксинация. Поради неравнопоставеността на отношенията между работодател и служител данните не могат да се обработват на основание „съгласие на субекта на данни“.

Приемайки принципната допустимост на обработването на тези данни обаче, надзорните органи изрично отбелязват, че то се подчинява на определени условия:

- работодателят трябва ясно да определи целта, за която ще събира лични данни за ваксинация на своите служители. Целта трябва да сочи на явна необходимост от подобно обработване. Напр., не е основателна причина събирането на такава информация за мониторингови цели. Целта трябва да не води и до дискриминация на неваксинираните служители;

- да няма друг начин, по който би се постигнал целеният от работодателя резултат. Ако прилагането на противоепидемични мерки (дистанция, маски, дезинфекция и др.) на работното място би имал същия ефект, събирането на данни за ваксинация ще е недопустимо. Целта трябва да може да бъде постигната само при едновременното прилагане на такива мерки и събирането на данни за ваксинационния статус;

- внимателно да се прецени какво количество информация ще се събира, за да се постигне целта. Напр. ще се изисква ли служителят да представя сертификат за ваксинация или само ще декларира това обстоятелство; ако се представя сертификат, ще се съхранява ли копие от него, ще се проверява ли неговата валидност и т.н. Препоръчва се, работодателите да се стремят да обработват възможно най-малко данни;

- да се направи балансиращ тест, а ако вероятността от засягане на правата на субекта на данни е голяма – и оценка на въздействието на тази дейност по обработване. Те трябва да се направят преди да започне събирането на данните;

- събраните данни трябва да се съхраняват за възможно най-кратък срок, да не се разкриват на трети лица, освен ако няма законово изискване и да се прилагат повишени изисквания за защита и достъп до тях.

- Работодателите трябва открито, подробно и разбираемо да разяснят на своите служители причините, поради които ще обработват тази информация, за колко време, какви мерки за защита ще приложат и на кого евентуално биха я разкрили.

Според становището на КЗЛД:

Към настоящия момент националното ни законодателство не регламентира разширеното използване на лични данни от Цифровия COVID сертификат на ЕС за цели, различни от улесняването на правото на свободно движение в Съюза по време на пандемията от COVID-19 и само в рамките на определения от Регламент (ЕС) 2021/953 срок.

Въпреки това и с оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, администраторите на лични данни могат да обработват агрегирани (обобщени) данни за ваксинационния статус на лицата, които да ги подпомогнат при извършване на оценката на риска при осигуряването на здравословни и безопасни условия на труд.

Единствената правна възможност за администраторите, извън посочената в параграф втори, да осигурят баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни, е да извършват проверка на Цифровия COVID сертификат на ЕС, без да съхраняват резултатите от нея.Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица.

От Actualno.com се свързахме с адвокат Кристиян Иванов, правен експерт от Адвокатско дружество „Димитров, Петров и Ко.“, който да улесни разбирането на въпросното становище. Той посочи следното: "Становището на КЗЛД цели да осигури баланс при изпълнението, както на заповедите на министъра на здравеопазването, така и на законодателството за защита на личните данни.

Предоставя се възможност работодателите да събират само агрегирана (обобщена) информация относно ваксинационния статус на служителите си, която да ги подпомага при осигуряването на здравословни и безопасни условия на труд (например информация, че даден процент от служителите са ваксинирани). Обобщените данни не трябва да позволяват свързването на информация за здравето с отделни лица. Като пример за законосъобразен подход при събиране на такава информация КЗЛД дава използването на анонимни и доброволни анкети.

Предоставена е и втора възможност – да се извършват проверки на цифровия COVID сертификат на ЕС, без да се съхраняват резултатите от тях. Тези действия могат да се извършат само при доброволно представяне на сертификата, а липсата на такова представяне не може да се използва за ограничаване на правата и свободите на физическите лица.

Становището на КЗЛД обаче е от 6-ти октомври, а промяната на регулацията в тази област е изключително динамична. В тази връзка, новата заповед на здравния министър от тази седмица дава повод да се счита, че правомощията на работодателите в тази област следва значително да се разширят.

По-специално, в определени случаи задължените по последната заповед субекти следва да могат да изискват предоставянето на определена информация относно ваксинационен/здравен статус от своите служители, клиенти, посетители и т.н., за да спазят изискванията на заповедта. На този етап не ясно как заповедта ще бъде интерпретирана в контекста на становището. Не е изключено скоро Комисията да излезе и с нови разяснения".

Тодор Беленски
Тодор Беленски Отговорен редактор
Новините днес