Какво се случва със защитата на личните данни в условията на пандемия?

В тази сложна и динамична ситуация темата за защита на личните данни не е приоритетна за много от Вас. Това е напълно разбираемо.

Ако все пак четете този материал (за което Ви благодарим), за да се разнообразите от другите не особено позитивни новини и статии напоследък или защото темата Ви е близка по принцип, надяваме се да Ви бъдем полезни.

Предвид тази обстановка и извънредните мерки обявени в България, но и в почти всички европейски държави, по-долу сме подбрали 3 направления/моменти, на които, според нас, си заслужава да обърнете внимание в този момент.

В случай че сте Длъжностно лице по защита на данните, препоръчваме да обърнете най-голямо внимание на точка 3 по-долу.

 

1) Обемът на обработваните чувствителни данни е разбираемо увеличен.

В условията на обявената пандемична обстановка се обработва голямо количество данни с чувствителен характер (данни за здравословно състояние). В тази връзка, някои от надзорните органи в сферата на защитата на личните данни дадоха инструкции и предоставиха отговори по често задавани въпроси по темата.

Така, например, Френският надзорен орган (CNIL) пусна изявление за обработването на лични данни в светлината на COVID-19, в което посочва, че работодателите трябва да се въздържат от събиране (по систематичен и обобщен начин или чрез индивидуални запитвания и искания) на информация, свързана с търсенето на възможни симптоми при служители или техни близки (например, при подлагане на служителите на редовни проверки на температурата или като събират данни за тяхното и на техни близки здравословно състояние чрез попълване на въпросници от страна на служителите). Повече информация можете да прочете тук: https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles.

От своя страна, Aнглийският надзорен орган (ICO) посочва, че е допустимо работодателят да поиска информация от служителя за това дали е посетил определена държава или дали има симптоми на COVID-19. В същото време обаче работодателят не трябва да събира данни в повече от необходимото и трябва да може да гарантира, че всяка събрана информация се третира със съответните предпазни мерки. Повече информация можете да прочете тук: https://ico.org.uk/for-organisations/data-protection-and-coronavirus/.

 

2) Разбиране от страна на надзорните органи, ясни съобщения или освобождаване от определени отговорности от страна на надзорните/компетентните институции

В тази връзка, английският надзорен орган отчете, че, предвид реорганизацията на администраторите на лични данни във връзка с пандемичната обстановка, упражняването на правата по Регламент (ЕС) 2016/679 (GDPR) може да е предизвикателство за субектите на данни. ICO разясни, че няма да санкционира организации, за които знае, че трябва да дават приоритет на други области или да адаптират обичайния си подход през този извънреден период, както и че ще предупреди хората чрез собствените си комуникационни канали, че могат да се случат разбираеми забавяния при отправянето на искания за упражняване на техните права по GDPR по време на пандемията. Повече информация можете да намерите отново тук: https://ico.org.uk/for-organisations/data-protection-and-coronavirus/.

В САЩ възприеха, че при заболяване като COVID-19 от съществено значение е уведомяването за заразен пациент на органите на общественото здравеопазване (здравните служби), като в такива случаи данните за здравословно състояние могат да бъдат споделени без получаване на съгласие от пациента. Повече информация можете да прочете тук: https://www.hipaajournal.com/hipaa-compliance-and-covid-19-coronavirus/.

На своята интернет страница, Българският надзорен орган (КЗЛД) разгледа въпроса за законосъобразността на обработването на лични данни от МВР чрез събиране на декларации от преминаващите през КПП граждани в областните градове на страната. В тази връзка Комисията отбеляза, че законодателството за защита на личните данни допуска възможността за ограничаване на обхвата на правата и свободите на гражданите при условията на чл. 23 от Регламент (ЕС) 2016/679, като, в конкретния случай, наложената от МВР мярка е необходима и пропорционална. Повече информация можете да прочете тук: https://www.cpdp.bg/?p=news_view&aid=1609

 

3) Работа от разстояние – работа от вкъщи, сигурност на данните

За част от компаниите работата от вкъщи е била практика и преди пандемията. За други, обаче, това е новост и нещо, което изисква реорганизация на работния процес. На практика, това може да се счита за една от най-важните области, на които администраторите на лични данни трябва да обърнат внимание. Работата от разстояние изисква подготовка от страна на компанията и тъй като е свързана с възможни рискове за сигурността на обработваната информация, следва да бъдат предприети и подходящи мерки за защита.

Този въпрос е също толкова важен и за обработващите лични данни, тъй като те са се задължили към администраторите да прилагат определени мерки за сигурност при обработване на техните лични данни.

В това отношение, ENISA (Агенцията на ЕС за киберсигурност) е публикувала препоръки, които можете да намерите тук: https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home.