Обработване на данни, свързани със здравословното състояние на служителите, по време на пандемията от коронавирус (COVID-19)

Усложнената в световен план епидемична обстановка и предприетите на територията на Република България противоепидемични мерки срещу разпространението на коронавируса (COVID-19) поставят множество въпроси пред работодателите, като налагат проява на гъвкавост и бърза адаптация. В контекста на пандемията работодателите са поставени пред изпитанието да намерят баланс между гарантиране на превенцията срещу вируса и продължаване на работа на предприятието, при спазване на всички нормативни изисквания, касаещи дейността му.

  1. Обработване на лични данни, свързани със здравословното състояние на служителите

Обработването на лични данни, свързани със здравословното състояние на физическите лица, се счита за обработване на „специални категории лични данни“, което предпоставя по-висока степен на защита поради чувствителния им характер. Обработването на данни относно телесната температура на служителя, както и събирането на информация за наличие на симптоми като болки в гърлото, кашлица и др., представлява обработване на специални категории лични данни, към които работодателите следва да се отнасят с повишено внимание.

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните или GDPR) забранява обработването на данни, свързани със здравословното състояние на физическите лица, освен в няколко лимитативно изброени в чл. 9, § 2 хипотези. Изключенията, които биха могли да обосноват обработване на данни на служителите в контекста на пандемията, са следните:

  • обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора на данните по силата на трудовото право, дотолкова, доколкото това е разрешено от правото на ЕС или от българското право;
  • обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на ЕС или българското право, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните;

Съгласно становище относно обработването на лични данни в контекста на епидемията на COVID-19 на Европейския комитет по защита на данните от 19.03.2020 г., независимият орган акцентира върху обстоятелството, че работодателите имат право да обработват здравни лични данни на служителите си по време на епидемия, като се съобразяват с предвидените в националното им законодателство права в тяхна полза. Задължението на работодателя да осигури здравословни и безопасни условия на труд на своите служители може да бъде използвано като валидно правно основание за обработване на лични данни, но видът и обемът на включените в обработването данни следва да бъдат анализирани за всеки конкретен случай.

Законодателната рамка е обща и не предвижда конкретни мерки за подобен род форсмажорни обстоятелства, поради което всеки работодател следва да прецени пропорционалността на допълнителното обработване на данни, свързани със здравето на служителите му, с оглед ограничение на разпространението на коронавируса и гарантиране на здравословни условия на труд на екипа.

2. Задължения на работодателя за осигуряване на здравословни и безопасни условия на труд съгласно българското законодателство

Съгласно чл. 275 от Кодекса на труда работодателят е длъжен да осигури здравословни и безопасни условия на труд, така че опасностите за живота и здравето на работника или служителя да бъдат отстранени, ограничени или намалени. Освен това, работникът или служителят има право да откаже изпълнението или да преустанови работата, когато възникне сериозна и непосредствена опасност за живота или здравето му. В тези случаи продължаването на работата се допуска само след отстраняване на опасността, по нареждане на работодателя или на непосредствения ръководител.

При осъществяване на задължението си за осигуряване на здравословни и безопасни условия на труд, съгласно чл. 16 от Закона за здравословни и безопасни условия на труда (ЗЗБУТ) работодателят е длъжен  в съответствие с оценката на риска и при необходимост да планира и прилага превантивни мерки и методи на работа и производство, да създаде необходимата организация за осъществяване на наблюдението и контрола по изпълнението на планираните мерки, да не допуска до местата, където съществува сериозна или специфична опасност за здравето и живота, лица, които не са подходящо обучени, инструктирани и екипирани и др. В допълнение, съгласно чл. 21 от ЗЗБУТ, в случай или при вероятност от възникване на сериозна и непосредствена опасност за здравето и живота, работодателят информира във възможно най-кратък срок застрашените работещи за действията, които се предприемат във връзка със защитата им, осигурява преустановяването на работата и евакуацията им на безопасно място и не допуска възобновяване на работата, докато не се отстрани опасността.

Предвид цялостната нормативна уредба, регулираща осигуряване на здравословни и безопасни условия на труд, работодателят може да обоснове обработването на специални категории лични данни с необходимостта от изпълнение на нормативноустановени задължения, към които се прибавят и съображения от обществен интерес в областта на общественото здраве (като защитата срещу сериозни трансгранични заплахи – в лицето на епидемията от коронавирус).

Преди да предприеме действия по обработване на лични данни, свързани със здравословното състояние на своите служители, работодателят следва да анализира и, при необходимост, да осъществи оценка на въздействието върху защитата на данните (в съответствие с чл. 35 от Регламента). В случай че е възможно, работодателят следва да положи усилия да минимизира обема от информация, който събира от субектите, като за целта отправи общи препоръки и допълнително ограничи своите действия, като например:

  • В случай че служителите проявяват симптоми на коронавируса или имат съмнения за такива, да се свържат незабавно със здравните власти и при необходимост да напуснат помещенията на работодателя;
  • Да бъдат насърчавани да уведомяват работодателя и колегите си за състоянието си доброволно;
  • В случай че работодателят е узнал, че служител е заразен с коронавирус, да не разкрива самоличността му на останалите служители, освен в специфични ситуации, в които подобно разкриване може да бъде обосновано от извънредни обстоятелства;
  • В случай че работодател е въвел като мярка измерването на телесната температура на служителите на входа на предприятието, по възможност тази информация да не се съхранява на какъвто и да е носител и обработването да се ограничи до момента на измерването;

В свои становища, публикувани вследствие на множество запитвания от работодатели, надзорните органи посочват, че въвеждането на задължително попълване на въпросници от страна на служителите би могло да бъде възприето като пропорционално и обосновано в някои специфични хипотези (например по отношение на дружества, чиито служители пътуват постоянно или са в рискова група, както и когато подобни нареждания са дадени от здравните органи). Общата препоръка е да не се въвеждат подобни мерки.

  • Мерки за гарантиране на защита на обработваните данни, както и задължения в тежест на работодателя – в качеството му на администратор на данните

Независимо от наличието на правно основание за предприетите действия по обработване, работодателите са длъжни да изпълняват всички свои задължения, предвидени в Регламент (ЕС) 2016/679 и Закона за защита на личните данни, сред които:

  • Да предоставят на служителите си (в качеството им на субекти на данни) информация относно всяко обработване на данни, за което до момента не са били информирани, съдържащо информация относно правно основание и цел на обработването, срок на съхранение на данните, права в полза на субекта и др., подробно изложени в чл. 13 от Регламента;
  • Да гарантират високо ниво на защита на данните, като предприемат пропорционални технически и организационни мерки;
  • Да определят отговорник, който да следи за спазването на всички задължения на администратора по отношение на законосъобразното обработване на лични данни, както и да съдейства на субектите на данни, в случай че желаят да упражняват свое право или имат нужда от допълнителна информация;
  • Да въведат технологии за криптиране или анонимизиране на информацията, в случай че такава се съхранява на хартиен или електронен носител;
  • Да документират всички процеси и решения, свързани с обработването на лични данни;

В случай че имате нужда от допълнително разяснения или отговор по конкретен казус, екипът на Консултантска къща „Велинов и партньори“ е на разположение да Ви съдейства.

автор: адв. Златка Коцалова,

член на екипа на Консултантска къща „Велинов и партньори“

Verified by MonsterInsights