За допустимостта на някои операции по обработване на лични данни от работодателя в условията на пандемията от COVID-19

Най-актуалното, винаги - TITA.BG

Избрано из рубрика  Актуално - Извънредно положение от   бр. 128 на е-сп. "Данъци ТИТА" 

 

 

За допустимостта на някои операции по обработване на лични данни от работодателя в условията на пандемията от COVID-19

 

 

д-р Мартин Захариев, адвокат в Адвокатско дружество „Димитров, Петров и Ко.“ и експерт във Фондация „Право и интернет“

 

Актуално към 01.05. 2020 г.

 

В условията на извънредно положение, установено заради пандемията от COVID-19, работодателите са изправени пред много предизвикателства – от стремежа да запазят заетостта и да минимизират загубите до спазване на установените противоепидемични мерки и опазване на живота и здравето на служителите си. И макар въпросите за защита на личните данни да остават сякаш на по-заден план, същите имат своето важно практическо значение и в условията на пандемия.

 

Настоящият анализ изследва няколко операции по обработване, свързани с противодействие на разпространението на COVID-19 на работното място, и тяхната допустимост от гледна точка на Общия регламент за защита на личните данни (GDPR) и българското законодателство.

 

Още в началото следва да се има предвид, че данните за здравето, вкл. информацията дали някой служител има повишена телесна температура или страда от грип, COVID-19 или друго заболяване, представляват „чувствителни“ данни според GDPR.

 

Тяхното обработване по принцип е забранено (чл. 9 (1) от GDPR), освен ако не са налице изчерпателно уредените за това условия по чл. 9 (2) от GDPR и съответното национално законодателство, приложимо към дейността на администратора – за българските работодатели това е българското право.

 

Важно е да се отбележи, че към 21 април 2020 г. няма изрични указания от българската Комисия за защита на личните данни (КЗЛД) какви дейности по обработване от работодателите са допустими и кои – не в условията на пандемия. Поради това долните разсъждения са базирани на действащата нормативна уредба и практиката в други държави членки по приложението на GDPR.

 

 

1. Мерене на температурата на служители при влизане в предприятието

 

Меренето на температурата на влизане в различни сгради и предприятия стана много популярна практика покрай пандемията.

 

В ЕС са налице разнопосочни тълкувания в държавите членки дали и доколко това е допустимо да се прави от работодателя и на кое основание от GDPR. В едни държави това не е позволено (Белгия, Чехия, Дания, Финландия, Франция, Холандия и Швеция), в други е позволено само в изрични случаи (Германия, Унгария и Италия), докато в трети е позволено (Словакия и Испания) (вж. Bird&Bird COVID-19 Data Protection guidance).

 

За България липсва изрична правна уредба, допускаща работодателите да мерят температурата на служителите си. Налице е единствено Заповед № РД 01-219 от 02.04.2020 г. на Министъра на труда и социалната политика (МТСП), в т. I, 2. от която е предвидено работодателят да осигурят: „Въвеждане на пропускателен режим, който да гарантира контрол и недопускане на територията на предприятието на работници и служители, както и на външни лица, с прояви на остри заразни заболявания“.

 

Формално този текст не казва как да се реализира този пропускателен контрол, какви данни могат да се събират и пр.

 

Същият не следва да се приема за нормативен акт или най-малкото издаващият го орган не е спазил установената процедура за приемане на нормативни актове като предварително обществено обсъждане и др. под. (за спорната същност на актовете на министъра на здравеопазването (МЗ) вж. Вълчев, Д., За вируса, правото и други важни неща, като по аналогия тези разсъждения по мое мнение са приложими и към Заповед № РД 01-219 от 02.04.2020 г. на МТСП).

 

Като евентуален аргумент в полза на допустимостта на такава мярка би следвало да се разглежда фактът, че самата КЗЛД е въвела подобна противоепидемична мярка (вж. съобщението КЗЛД въвежда противоепидемични мерки срещу разпространението на COVID-19, където е указано, че „охраната ще замерва телесната температура на всеки служител на КЗЛД и всеки посетител на сградата на КЗЛД […] и ще допуска само лица, които нямат повишена телесна температура“).

 

Ето защо, работодателите, решили да предприемат подобна мярка, имат следните опции:

 

  • Да мерят сами, т.е. чрез свой служител температурата. Основание за това могат да бъдат общите задължения на работодателя да осигури здравословни и безопасни условия на труд (вж. в този смисъл и становището на Европейския комитет по защита на данните (ЕКЗД) Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020). От гледна точка на GDPR, това може да се разглежда като обработване, необходимо за целите на изпълнението на задълженията на администратора по силата на трудовото право и правото в областта на социалната сигурност, доколкото това е разрешено от българското право (чл. 9 (2) б. б) от GDPR);
  • Да възложат на медицински работник или на ангажираната от работодателя служба по трудова медицина да мери температурата на служителите. Това изглежда по-консервативният и по-сигурен подход, т.к. данните за здравето ще се обработват от или под ръководството на лице със задължение за опазване на професионална тайна или друго аналогично задължение. Възможно основание за обработването в този случай би могло да бъде необходимост за целите на трудовата медицина и за оценка на трудоспособността на служителя въз основа на правото на ЕС/ правото на държава членка или съгласно договор с медицинско лице право (чл. 9 (2) б. з) от GDPR).

 

Разумна мярка за гарантиране на правата на служителите е ако ще се мери температура, да не се правят и съхраняват записи от резултатите, а единствено резултатът да служи за вземане на решение „ДА/НЕ“ относно това дали лицето да бъде допуснато на работа.

 

 

2. Изискване на допълнителна информация от служителя, ако същият е отстранен поради „грипоподобни симптоми“

 

Ако служител нe е допуснат до работа или е впоследствие отстранен поради установени „грипоподобни симптоми“, работодателят не следва проактивно да проучва случая и да търси по своя инициатива допълнителна информация от какво точно заболяване страда служителят.

 

Разследването на случаите на заразни болести и тяхното регистриране става единствено от компетентни здравни органи (вж. Наредба № 21 от 18.07.2005 г. за реда за регистрация, съобщаване и отчет на заразните болести).

 

Нормалният ред за снабдяване с такава информация за работодателя е той да получи от служителя болничен лист, в който е указано за какво заболяване е издаден.

 

Правно основание за обработването на тази информация би било нормативното задължение на работодателя да спазва приложимите изисквания на трудовото и осигурителното право във връзка с риска „временна неработоспособност“ на служителя, а от гледна точка на GDPR това основание се квалифицира като обработване, необходимо за целите на изпълнението на задълженията на администратора респ. упражняването на специалните права на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност, доколкото това е разрешено от българското право (чл. 9 (2) б. б) от GDPR).

 

 

3. Съобщаване на служителите за установен случай на COVID-19

 

На следващо място, възниква въпросът дали работодателят може да уведоми служителите си, ако получи информация, че даден служител е болен от COVID-19 (напр. чрез болничния лист).

 

Логиката зад това би била колегите на болния, които са били в непосредствен контакт с него, да предприемат действия за защита на здравето си и здравето на останалите от трудовия колектив – да се изолират вкъщи, да се явят на преглед, ако развият оплаквания и т.н.

 

Има ли правно основание за такова обработване според GDPR и българското законодателство?

 

Ето кратък анализ на най-спряганите в практиката възможни условия:

 

  • обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие (чл. 9(2)б. з) от GDPR)

Макар на пръв поглед това основание да изглежда „атрактивно“ за работодателите, внимателният прочит на GDPR показва, че то е неприложимо в масовия случай.

 

Причина за това е, че за да го приложи законосъобразно, работодателят следва най-напред да се е опитал да получи съгласието на болния служител и само ако същият е физически неспособен да го даде (юридическа неспособност тук не се изследва, т.к. се предполага, че служителите са дееспособни), работодателят може да прибегне към това условие за обработване. Такава ситуация евентуално би била мислима, ако служителят внезапно е хоспитализиран и неговото състояние бързо и сериозно се е влошило (напр. намира се в реанимация, интубиран е и др. под.), така че съгласие не може да бъде получено.

 

С оглед принципа за отчетност тази невъзможност следва да може да бъде доказана от работодателя, което прави това основание много трудно за практическа реализация.

 

Отделно, ако получаването на съгласие е принципно възможно (напр. служителят е под карантина на домашно лечение) и работодателят при поискване получи отказ от служителя, то разкриване на данни за здравето няма да може да се случи на това основание.

 

  • обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето […], въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

Макар широко спрягано от редица правни консултанти, прилагането на горното основание за обработване на лични данни от работодателя крие някои рискове.

 

Безспорно предприемането на действия срещу ограничаване на COVID-19 би могло да се разглежда като защита срещу сериозна трансгранична заплаха за здравето, каквато е пандемията (арг. от съображение 46 от GDPR).

 

В същото време обаче посоченото основание съдържа специфики, които правят възможността работодателите свободно да се позовават на него най-малкото дискусионна.

 

За да са реализира това основание, необходимо е:

 

  1. обработването да е предвидено в правото на ЕС/ правото на държава членка
  2. в законодателството да са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна, а в допълнение
  3. според съображение 54 от GDPR „такова обработване на данни за здравето по съображения от обществен интерес не следва да води до обработването на лични данни за други цели от трети страни като работодатели или застрахователни дружества и банки“.

 

Съвкупният прочит на т. 1, 2 и 3 сочи, че това основание не е предвидено за използване от работодатели в хода на обичайната им дейност, а по-скоро е предназначено за компетентните здравни органи (Министерство на здравеопазването, Регионална здравна инспекция (РЗИ), Национален център по заразни и паразитни болести, Национален център по обществено здраве и анализи и др.).

 

Действително заповедите на МЗ и МТСП уреждат предприемането на определени действия от работодателите, вкл. въвеждането на противоепидемични мерки и осигуряване на здравословни и безопасни условия на труд. Както бе посочено по-горе обаче същите не следва да се приемат за нормативни актове, т.е. изискване (т. 1) не е изпълнено. Наред с това, тези актове не съдържат конкретни мерки за гарантиране на правата и свободите на субектите от гледна точка на защитата на личните данни, т.е. (т. 2) също не изпълнено. Не на последно място, задължението за опазване на професионална тайна не изглежда съвместимо с ролята на работодателя, а именно навежда към тълкуването, че това основание е приложимо само за компетентните служители в системата на здравеопазването.

 

Логично възниква въпросът какво тогава може да направи работодателят?

 

Трудно е да се идентифицира еднозначен правилен ход и преценката ще зависи от спецификата на конкретния случай. Все пак, удачни варианти изглеждат следните:

 

  • Работодателят да помоли заболелия служител доброволно да съобщи на колегите, с които е контактувал, за обстоятелството, че е болен от COVID-19.

Подобен подход ще е в унисон и с правното основание, при което личните данни явно са направени обществено достояние от субекта на данните (чл. 9 (2) б. д) от GDPR). По този начин работодателят ще бъде защитен от евентуални претенции, т.к. служителят доброволно ще се е отказал от защитата, дадена му от GDPR.

 

Недостатък на този подход е, че се разчита на личната отговорност на служителя към колегите му и работодателят няма инструмент да принуди служителя да разкрие тази информация;

 

  • Работодателят да разкрие анонимни данни, а именно, че има случай на заболял с COVID-19 служител.

Проблемът с т.нар. „анонимни“ данни е, че за да бъдат същите действително такива, не би следвало да е възможна повторната ре-идентификация на субекта с разумни средства.

 

Ето защо, в малки и средни предприятия този ход не изглежда особено удачен, т.к. поради малкия колектив лесно може да се окаже, че служителят може да бъде идентифициран и работодателят да се окаже без правно основание за споделяне на тези данни.

 

От друга страна, в големи предприятия – напр. заводи, шивашки цехове и др. под. със стотици работници този риск изглежда ограничен в по-разумна степен, т.е. такова споделяне действително е мислимо да се третира като споделяне на „анонимни“ данни, поради което GDPR и Законът за защита на личните данни няма да се прилагат към него и проблемът с липсата за основание за разкриване ще е преодолян.

 

  • Работодателят да уведоми компетентните органи като РЗИ, че има установен случай на COVID (без да разкрива данни за конкретния служител) и да търси указания от тях.

 

Представеният анализ няма характера на правен съвет или консултация и не следва да бъде възприеман като достатъчен за разрешаването на конкретни правни проблеми, казуси и др. Мненията, изразени тук, са единствено на автора и не отразяват непременно тези на Адвокатско дружество „Димитров. Петров и Ко.“, Фондация „Право и Интернет“, техните филиали или служители. Материалът е съобразен с действащото българско законодателство и законодателство на ЕС към 21.04.2020 г.

 

За абонатите на е-списание "Данъци ТИТА" виж още:

 

Право на данъчен кредит и неговите корекции при отписване на невъведен в експлоатация дълготраен актив, за който правото е упражнено 

Ивайло Кондарев, данъчен консултант


КТ. Намаляване на месечното трудово възнаграждение при намалено работно време       

Михаил Илиев, д-р по право, експерт в МТСП

 

ЗДДС. ЗСч. Прекратен договор за финансов лизинг при лизингодателя поради неплатени вноски                      

Даниела Даракчиева, Бойка Брезоева

 

ЗДДФЛ. Прилагане на чл. 27 от ЗДДФЛ, от физическо лице, облагано като търговец без да е ЕТ

Евгения Попова, данъчен екперт         

 

ТЗ. Изключване на съдружник в ООД  

Александра Атанасова, адвокат

Назад