За да осигурят здравословни и безопасни условия на труд за своите служители и да изпълнят препоръките за работа в условия на пандемия и извънредно положение, на много работодатели се налага да разширят обхвата на данни, които събират от служителите си. По същество, събираната информация от работодателя по повод мерки срещу COVID-19 в преобладаващите случаи попада в категориите на „Лични данни“ или „Специални категории данни“ от Общия регламент за защита на личните данни (GDPR).

Въпреки че обявеното извънредно положение е правно основание за ограничения на законните права и свободи на лицата (при условие, че тези ограничения са пропорционални и лимитирани в периода на извънредното положение), в това число и съгласно чл.53 GDPR, Европейският съвет за защита на данните подчерта в свое изявление от 16.03.2020, че всички организации трябва да продължат да спазват своите задължения съгласно GDPR.

За да се преодолее принципната забрана за събиране и обработка по чл.9, ал.1 от GDPR, Дружеството трябва да има подходяща правна основа за обработка на личните данни и/или Специални категории данни, свързани с COVID 19:

1. Законен интерес: Дружеството може да приеме за необходимо да обработва лични данни, свързани с персонала си (и други физически лица) за целите на законните му интереси в управлението на непрекъснатостта на бизнеса и здравословното състояние на лица, с които има правоотношения (Чл. 33. ЗЗБУТ: Всеки работещ е длъжен да се грижи за здравето и безопасността си, както и за здравето и безопасността и на другите лица, пряко засегнати от неговата дейност, в съответствие с квалификацията му и дадените от работодателя инструкции.). Във всеки случай трябва да се направи конкретна преценка дали обществения и корпоративен интерес превишава интересите или основните права и свободи на лицата, чиито лични данни се обработват.

2. Правно задължение: Дружеството има правни задължения, свързани със здравето и безопасността на служителите си, и може да оправдае определени дейности по обработка на лични данни въз основа на тези правни задължения. Работодателят е задължен да гарантират здравето на всички свои служители (чл.127, ал.1, т.3 от КТ, чл.275 КТ и следващите, чл.4 от ЗБУТ).

Във връзка с правното задължение и законния интерес на Дружеството, следва да се вземат предвид насоките на Службата по трудова медицина, или други административни препоръки (РЗИ, Национален оперативен щаб, МЗ, СЗО): Ако Дружеството действа по съвет на своите медицински консултанти, може да оправдае обработката на Специални категории данни, отнасящ се до COVID-19, ако е необходимо за целите на превантивната или професионалната медицина; и / или когато обработването на лични данни е необходимо за работодателите по причини от обществен интерес в областта на общественото здраве или за защита на жизненоважни интереси (членове 6 и 9 от GDPR).

Следните видове мерки за ограничаване и борба с COVID-19 могат да се считат принципно за законни съгласно GDPR:

1. Събиране и обработка на лични данни (включително здравни данни) на служителите или посетители, за да се предотврати или ограничи разпространението на вируса сред служителите възможно най-добре. Това включва по-специално информация за случаите:

a. при служители, при които е установена инфекция или са били в контакт с доказано заразен човек.

b. при служители, които са посещавали класифицирани рискови зони (градове или държави, посочени като огнища на зараза).

2. Събиране и обработка на лични данни (включително здравни данни) от служителите или посетители, по-специално за да се определи дали имат симптоми или са били в контакт с доказано заразен човек.

3. Разкриване на информация за заразени лица или за които се подозира, че са заразени с цел бъдеща превенция, издирване и информиране на контактни лица в работния колектив, единствено в случай, че самоличността на заразения е предпазена в максимална степен.

Неизпълнението на законово предприетите мерки или умишленото деклариране на грешна информация от страна на работниците води до дисциплинарна отговорност, а в някои съставомерни хипотези – до наказателна отговорност.

Следва да се има предвид, че по принцип съгласието на персонала за събиране на допълнителни данни не се счита за свободно дадено и следователно е невалидно, поради което преди започването на процеса по събиране на лична информация, задължително следва да се извърши оценка на въздействието върху защитата на данните. (чл.35 от GDPR). Съгласно изричните указания, издадени от регулаторите за защита на данните, силно се препоръчва оценката на въздействието върху защитата на данните да се извършва, когато обработването включва биометрични данни , генетични данни и/или проследяване. Ако Дружеството започне да събира нови категории лични данни и/или Специални категории данни от служителите си, или използва такива данни за нови цели, ще е задължително да актуализира и Вътрешните си GDPR правила.

Всички мерки винаги трябва да са пропорционални. Данните трябва да се третират поверително и да се използват изключително по предназначение. След като съответната цел на обработка престане да съществува (обикновено най-късно, когато пандемията приключи), събраните данни трябва да бъдат изтрити незабавно.

Екипът на Адвокатска кантора Обретенови остава на разположението Ви!