Правото на администраторите да изискват от информация за здравословен COVID статус, в контекста на българското и европейското законодателство
Продължаващото развитие на COVID-19 пандемията и достъпността до ваксини срещу вируса повдигнаха нови въпроси относно уреждането на обществените отношения, които да постиганат баланс между опазването на общественото здраве и гарантирането на правата и свободите на гражданите.
Следвайки тенденциите на европейските държави за въвеждането на правила за допускането до обществени места и дори до работното място само на ваксинирани лица, темата придобива все повече гласност и в българския обществен дебат.
Като резултат от реализацията на ваксинационните планове, свързани с COVID-19 и провежданата ваксинация, всяко ваксинирано лице получава Цифров COVID-19 сертификат на ЕС. Tакъв сертификат се издава в три хипотези – при завършен ваксинационен цикъл, при доказано преболедуване от вируса и при наличие на отрицателен антигенен или PCR тест. От чисто практическа гледна точка, най-широко разпространен измежду тези хипотези е Сертификата, удостоверяващ завършения ваксинационен цикъл на лицата. В контекста на Общия регламент за защита на личните данни (GDPR), тази информация по естеството си представлява специална категория лични данни, тъй като съдържа в себе си данни за здравословното състояние и статус на лицето. Това създаде необходимостта на гражданите и бизнеса да бъде разяснено в кои случаи, и кои лица, е допустимо да изискват от гражданите подобна информация.
В резултат на засиления обществен интерес по темата и по повод редица писма от организации и граждани относно законосъобразното обработване на данни за ваксинационния статус, Комисията за защита на личните данни (КЗЛД) издаде на 06.10.2021 г. Становище относно обработването на данни за ваксинационния статус на лицата, което цели да даде яснота и инструкции за това при какви условия е законосъобразно да се изисква информация относно здравословния COVID-19 статус на субектите на лични данни.
Пояснено е, че Цифрови сертификати за ваксинация са приети с Регламента за Цифровия COVID сертификат на ЕС, който се прилага пряко във всички държави членки считано от 01.07.2021 г., като в него е заложено да се прилага до 30.06.2022 г. Посочената в Регламента цел за издаването на тези сертификати обаче е конкретна – да улесни и направи безопасно свободното движение на граждани в рамките на ЕС по време на пандемията от COVID-19.
С изключение на посочените по-горе цели, при които е допустимо обработването на данни от ваксинационните сертификати, Комисията пояснява, че не е налице нормативна уребда на национално ниво, която да регламентира по-широко използване на лични данни от Цифровия COVID-19 сертификат на ЕС.
Така, за всяка една друга цел на обработване, администраторите следва да обосноват дейността си с годно правно основание от Общия регламент за защита на личните данни. Това от своя страна повдига редица практически въпроси относно приложимостта на информацията от Цифровия COVID-19 сертификат на ЕС при широко обсъжданото въвеждане на ограничения във връзка с достъпа до обществени места и/или работни места от лица, които не притежават такъв сертификат. В тази връзка КЗЛД дава и няколко практически примера – случаи, в които администаторите вземат решение да събират и съхраняват информацията, получена от сертификатите или въведат цифрова проверка на QR кодовете, без значение дали информацията от сканирането се съхранява или не. Безспорно, подобни дейности представляват обработване на чувствителни лични данни и попадат в обхвата на GDPR.
Ето защо КЗЛД пояснява, че, като мярка, предназначена да защити здравето и безопасността на персонала – чл. 9, пар. 2, буква „б” от GDPR може да осигури подходящо правно основание за законосъобразно обработване на данните от цифровите Сертификати. Приложими могат да бъдат и условията за законосъобразност по чл. 9, пар. 2, буква „ж” или чл. 9, пар. 2, буква „и” GDPR, ако националното законодателство налага по-широко използване на Сертификатите.
С оглед гарантирането на основните права и свободи на гражданите обаче, Комисията пояснява, че позоваването на тези правни основания следва да бъде прието с определени условия. Освен предоставянето на задължителната предварителна информация на субектите на данни (служители, посетители и др.) относно целите и сроковете за събиране на лични данни, лицата, които ще имат достъп до тях, предприетите технически и организационни мерки за защита и т.н., администраторите следва да направят и конкретна оценка относно въздейстивето, което подобно обработване на данни ще има върху законните права и свободи на субектите.
КЗЛД дава няколко практически предложения, с които да се постигне подобен баланс.
По отношение на работодателите, е даден практически пример с обработването на обобщени анонимизирани данни. С оглед необходимостта от спазване на заповедите на министъра на здравеопазването, с които се въвеждат противоепидемични мерки, КЗЛД предлага на работодателите да обмислят обработването единствено на агрегирани (обобщени) данни за ваксинационния статус на лицата, които да ги подпомогнат при извършване на оценката на риска при осигуряването на здравословни и безопасни условия на труд.
Агрегираните данни, които не позволяват свързването на информация за здравето с отделни лица, могат да се считат за анонимни, т.е. не попадат в обхвата ограниченията за обработване, предвидени в GDPR. Примери за такива обобщени данни са: съхраняване на данни за процент на служителите, които са ваксинирани срещу COVID-19 в рамките на определен период от време или процент на служителите без ваксинация срещу COVID-19 или на тези с неизвестен ваксинационен статус. Службите по трудова медицина, разполагащи с ваксинационния статус на лицата, могат да бъдат натоварени с изготвянето на такива обобщени данни. За да се гарантира обаче, че обобщените данни са анонимни, те винаги трябва да се отнасят до групи от индивиди, които са достатъчно големи, за да се изключи възможността за идентифициране на конкретно лице. Друг вариант за снабдяването с такива обобщени данни от страна на администраторите е провеждането на анонимни анкети, напр. сред служителите на един администратор.
Комисията дава и друг пример, който е приложим за всички администратори на лични данни. В случаите, в които администраторите извършват проверка на Сертификатите единствено чрез визуализиране на самия документ, без да сканират или записват по друг начин данните от него, то тази дейност не попада в обхвата на GDPR. Въпреки това, изискването за споделяне на чувствителна медицинска информация представлява намеса в основното право на личен живот, което е защитено с чл. 7 от Хартата на основните права на ЕС. Поради тази причина следва да бъдат спазени изискванията за законосъобразност, необходимост и пропорционалност. За това, гражданите не следва да бъдат задължени да предоставят за проверка своите Сертификати, а това може да се извърши единствено доброволно. Накрая, Комисията пояснява, че отказът за предоставяне на такава информация не може да обоснове ограничаване правата и свободите на гражданите.
Предвид чувствителността на темата за ваксинационния статус на гражданите и обсъжданите последици за лицата, които все още не разполагат с Цифровия COVID сертификат на ЕС, Становището на КЗЛД се придържа към балансиран подход относно концепцията за обработването на чувствителни лични данни. Става ясно, че доколкото съществуват определени правни възможности за обработването на данни от Цифровия COVID сертификат на ЕС за по-широки цели, такова обработване следва да бъде максимално ограничено, с оглед запазване на правата и свободите на гражданите.
Доколкото темата засяга и по-широк кръг на обществени отношения от тези за защита на личните данни, Комисията предлага организирането на обществен дебат във възможно най-широк кръг, включващ други публични органи, граждани и организации. Според Комисията, подобен подход би спомогнал за приемането на необходимите правно обвързващи актове на национално равнище, които да дадат необходимите разрешения по начин, който да постигне необходимия консенсус между опазването на общественото здраве и съблюдаването на правата и свободите на гражданите.
Автори: Иван Володиев и Александър Аршинков