Адвокат Ирена Колева, адвокатско дружество „Делойт Лигъл“*
Ситуацията на пандемията от COVID-19 постави множество предизвикателства пред бизнеса, сред които и задължения за компаниите като работодатели във връзка с осигуряването на безопасност на работното място и въвеждането на пропускателен режим, който да гарантира контрол и недопускане на територията на предприятието на служители и външни лица с прояви на остри заразни заболявания.
Изпълнението на посочените задължения по необходимост е съпътствано от обработване на лични данни за здравословно състояние на ежедневна база. Това поражда редица въпроси по приложението на законодателството за защита на личните данни и по-специално на Общия регламент относно защитата на данните (GDPR), някои от които са разрешени противоречиво в практиката на отделните държави-членки на ЕС.
Допустимо ли е въвеждането на пропускателен режим, който да включва измерване на температура? Допустимо ли e задължителното попълване на въпросници от служители и посетители относно тяхното здравословно състояние, пътувания извън страната и др.? - тези и още въпроси стоят пред работодателите в частния сектор в последните няколко месеца.
Основания за обработване на лични данни
Важен въпрос, който работодателите, в качеството си на администратори на лични данни, следва да си изяснят, е дали разполагат с основание, за да обработват определен вид лични данни и в частност специални категории (т.н. „чувствителни“) данни, каквито са данните за здравословното състояние на служители и посетители.
Съгласно Заповед № РД-01-124 от 13.03.2020 г. на Министъра на здравеопазването (МЗ) работодателите са длъжни да не допускат „служители или външни лица с прояви на остри заразни заболявания“. Същото задължение остава и в Заповед № РД-01-262 от 14.05.2020 г. на МЗ. Освен това, в Заповед № РД 01-219 от 02.04.2020 г. на Министъра на труда и социалната политика (МТСП) е предвидено, че работодателят трябва да осигури: „Въвеждане на пропускателен режим, който да гарантира контрол и недопускане на територията на предприятието на работници и служители, както и на външни лица, с прояви на остри заразни заболявания“. Същевременно, те имат и общо задължение по силата на трудовото право да осигурят здравословни и безопасни условия на труд за своите служители.
Макар на работодателите да са вменени горните задължения, това не значи непременно, че всякакви дейности по обработване на данни за здравословно състояние са допустими. При въвеждането на противоепидемични мерки, за всяка отделна дейност те трябва да преценят дали е законосъобразна и кои са приложимите основания по чл. 9 от GDPR.
В някои случаи обработването на данни е необходимо за изпълнението на задълженията на работодателя по силата на трудовото право и може да се приложи чл. 9, пар. 2, б. б) от GDPR. Друго основание, което е възможно да намери приложение, е чл. 9, пар. 2, б. з) от GDPR, например когато обработването е необходимо за целите на превантивната или трудовата медицина и др.
Важно е да се има предвид, че поначало само здравните власти могат да се позовават на чл. 9, пар. 2, б. и) от GDPR, т.е. само при тях обработването е необходимо от съображения от обществен интерес в областта на общественото здраве. По мнение и на Комисията за защита на личните данни (КЗЛД)1, за работодателите това основание е неприложимо.
Определянето на основанието за обработване на лични данни е основна стъпка към осигуряването на съответствие с GDPR. Затова, преди да пристъпят към извършване на разгледаните по-долу дейности, работодателите трябва да направят внимателен анализ на този важен аспект за всяка една от тях.
Допустимо ли е измерването на температура
В условията на COVID-19 за работодателите е от съществено значение да знаят дали и как биха могли да въведат пропускателен режим за достъп до територията на предприятието, който да включва измерване на температурата на лицата (служители, посетители), без да са в нарушение на законодателството за защита на личните данни. Често задавани въпроси в тази връзка са дали е допустимо данните за измерената температура да се записват и колко време може да се съхраняват записите.
Тълкуванията на надзорните органи на държавите членки относно измерването на температура от работодателите са противоречиви - според много от тях не е допустимо, други го приемат. Надзорният орган на Великобритания обръща внимание, че трябва внимателно да се прецени необходимостта и пропорционалността на такива практики, както и да се помисли за оценката на въздействието.
В България прави впечатление, че още от началото на извънредното положение, както и при условията на извънредна епидемична обстановка, редица публични органи, включително КЗЛД, предприемат като противоепидемична мярка измерването на температура при влизане в сградата. Правилата на GDPR поначало се прилагат в еднаква степен по отношение на администраторите от частния и от публичния сектор. Следователно, възприемането на тази практика от страна на множество публични органи може да се приеме като аргумент, че и при частния сектор в България тя е допустима.
КЗЛД споделя мнението, че работодателят може да въведе измерване на температурата, което цели да установи дали към конкретен момент състоянието на лицето позволява то да бъде допуснато в работните помещения. Работодателят обаче не може да прави записи на конкретните стойности на температурата, които са измерени, тъй като липсва необходимост от това. Записването на стойности и воденето на регистър за тях би било прекомерно. Такива записи може да се извършват от медицински специалисти, които са обвързани от задължение за опазване на професионална тайна, но при наличие на ясни и законосъобразни цели.
В обобщение, измерването на температура от работодателите принципно е подходяща мярка по реализиране на пропускателен контрол, стига обаче данните, т.е. стойностите на температурата на лицата, да не бъдат записвани и обработвани по-нататък.
Считаме, че при необходимост информация за температурни стойности би могла да се записва и обработва в анонимизирана форма, непозволяваща разкриване на идентичността на субектите, например, ако организацията се нуждае от статистическа информация за брой недопуснати до помещенията лица – към такава анонимна информация GDPR не се прилага.