България ограничава поверителността по време на Ковид-19

България ограничава поверителността по време на Ковид-19

Митко Карушков и Марио Арабистанов от "Камбуров и съдружници" написаха този материал по покана на Bloomberg Law, USA. Преводът на български език и възпроизвеждането му се извършва с разрешението на Bloomberg Law.  Авторско право 2020 в полза на The Bureau of National Affairs, Inc. (800-372-1033) <http://bloombergindustry.com>

Кризата, свързана с Ковид-19, стана причина за въвеждане на безпрецедентни мерки по целия свят, като Република България не е изключение. В отговор на бързото разпространение на Ковид-19 в България, Народното събрание обяви извънредно положение през март 2020 г. и прие Закон за мерките и действията по време на иззвънредното положение, посредством които се увеличиха правомощията на правителството по отношение на правото на поверителност на физическите лица. Мерките ограничават определени основни права и лични свободи, включително правото на поверителност и защита на личните данни.

По време на извънредното положение на изходите на областните градове бяха изградени специални пропускателни пунктове.

Влизане или напускане на областен град е възможно само при представяне на специална декларация пред полицейските сили, охраняващи пропускателните пунктове. Декларацията следва да съдържа конкретни индивидуализиращи данни като имена, ЕГН, адрес, месторабота, местоживеене и други.

Документът може също да съдържа данни относно здравословното състояние на съответното лице или данни относно здравословното състояние на близък роднина като причина за напускане или влизане в областен град. На пропускателните пунктове към декларацията трябва да бъдат представени и документални доказателства. Такъв допълнителен документ може да включва лични данни на трети лица или финансова информация (в случай, че бъде предоставен трудов договор) и други подобни.

Голямото количество и потенциалната чувствителност на личните данни, които следва да бъдат разкрити за целите на пътуването, повдигнаха определени въпросителни относно законността и съобразяването с принципа на пропорционалност, предвиден в европейския Регламент за защита на личните данни ("Регламентът"). Също така бяха повдигнати въпроси относно целите, за които полицията може да използва или ще използва данните, поради риска, че такива данни могат да бъдат използвани за профилиране и за цели, различни от преминаването през пропускателните пунктове.

От юридическа гледна точка, чл. 23 на Регламента предвижда специфични ситуации, в които правата на хората по отношение на обработване на личните им данни могат да бъдат ограничени чрез законови актове. В настоящата ситуация това е обявяването по законов път на извънредно положение в България. Тези случаи включват мерки, свързани със защита на общественото здраве, превенция на криминални деяния и други. Споменатата разпоредба на Регламента е възпроизведена и в националния закон във връзка с прилагането на Регламента, а именно - в чл. 37a българския Закон за защита на личните данни.

В тази връзка информацията, представена на пропускателните пунктове, може да бъде третирана като данни, които се обработват с цел превенция на разпространението на Ковид-19 и защита на общественото здраве. Също така, съгласно разпоредбата на чл. 61 от българския Закон за здравето, лица, които са диагностицирани като носители на Ковид-19, следва да бъдат поставени под задължителна изолация, а нарушението на такава изолация се третира като престъпление съгласно разпоредбата на чл. 355 от българския Наказателен кодекс. На практика това означава, че когато лице, подлежащо на задължителна изолация, се опита да влезе в или да напусне областен град, властите могат да използват информацията, представена на пропускателните пунктове и да разследват евентуалното извършване на криминално деяние.

Обстоятелството, че личните данни могат да бъдат законосъобразно обработвани на пропускателните пунктове, не освобождава съответните власти от тяхното задължение да ограничат обработването на лични данни и да осигурят подходящи и достатъчни технически и организационни мерки съгласно Регламента. В случай, че съответните власти извършат нарушение на правилата на защита на личните данни, може да бъде наложена имуществена санкция съгласно Регламента. Следва да се отбележи, че българската Комисия за защита на лични данни вече има практика по налагане на имуществена санкция на държавни органи (включително такава от около 5 милиона лева, наложена на българската Национална агенция за приходите).

Горепосочената гледна точка се споделя от българската Комисия за защита на лични данни, която направи официално изявление относно законосъобразното обработване на данни на пропускателните пунктове.

Съгласно българското право, работодателите трябва да осигурят безопасна работна среда за служителите, чието естество на работа не позволява работа от вкъщи. Това изискване към работодателите не е ново, а е част от общия принцип в чл. 273 от българския Кодекс на труда, съгласно който работодателите следва да предотвратят всякакви рискове за служителите или да намалят колкото е възможно такива рискове.

Отчитайки обстоятелството, че Ковид-19 е силно заразен, събирането на информация относно симптоми у служителите може да бъде оправдано предвид задължението на работодателя да осигури безопасна работна среда. При всяко положение обаче това право не е абсолютно, поради което следва да бъдат спазвани принципите на пропорционалност и минимизиране на данните, като задължение на работодателя е да направи необходимото за постигане на съответствие със закона. По отношение на съответните технически и организационни мерки следва да бъде съобразено, че данните за здравословното състояние представляват "специална категория данни", поради което трябва да бъдат въведени съответни мерки за сигурност на тази информация.

По отношение на работодателите, които извършват медицинско тестване, Европейският комитет за защита на данните обяви, че такива действия могат да бъдат считани за законни само когато работодателите са задължени по закон да извършват такова тестване. Отчитайки факта, че българското право не оправомощава работодателите да извършват такова тестване, може да се приеме, че обработването на такива данни би било прекомерно и неоправдано.

Друг чувствителен и открит въпрос е свързан с това дали работодателите имат право да разкрият името на служител, в случай че служителят има положителен тест за Ковид-19. Действително, уведомяването на служителите за вероятността някои от тях да са били в контакт с носител на Ковид-19 е много важно с оглед ограничаване на разпространението на вируса. Въпреки това, отчитайки правото на лична поверителност, следва да бъде направена преценка дали такова уведомяване да съдържа информация, която да бъде по-дискретна относно личната сфера на съответния служител.

Подобни подходи могат да включват обикновено уведомяване, че служител на компанията е диагностициран като носител на Ковид-19, или, в хипотезата за наличие на вирусоносител в отделни структури на работодателя, уведомлението да бъде направено само спрямо конкретните отдели или структури на работодателя. Решението да не бъде посочван поименно служителят може да бъде компенсирано от факта, че съответните власти имат правомощието да идентифицират лицата, с които съответното лице е било в контакт, за да може тези контактни лица да бъдат тествани за наличието на Ковид-19.

Обработване на данни относно местоположението на физически лица

Обработването на данни относно местоположението на физически лица чрез мобилни устройства е широко обсъждана мярка за контрол върху изпълнението на забраната физически лица да се събират на групи на публични места, както и за наблюдение на други мерки, свързани с карантина. Европейският комитет за защита на данните отбеляза, че, преди да бъде направен какъвто и да било опит за идентифициране на местоположението на физическо лице, е препоръчително съответните власти да използват данни относно концентрацията на мобилни устройства на определено обществено място, без необходимост от индивидуализиране на конкретни лица (метод известен още като "картография") при същевременно прилагане на анонимизиращи механизми.

Европейският комитет за защита на данните допълва, че идентифицирането на физически лица чрез техните мобилни устройства трябва да се осъществява като страните-членове на ЕС приложат адекватни защитни мерки при обработването на такива данни – например, да предоставят на физическите лица правото на съдебна защита.

В българския Закон за електронните съобщения бяха направени изменения, които позволяват на съответните власти да изискват достъп до определени аспекти от трафичните данни на клиентите на телекомуникационните оператори. Преди посочените изменения трафичните данни или част от тях бяха достъпни само за определени органи на власт и за ограничен брой от случаи, а именно:

• За целите на националната сигурност;

• За разследване на престъпления, за които е предвидено наказание "лишаване от свобода" за повече от пет години; или

• За целите на проследяване и издирване на лица, чиито живот е в опасност.

Съгласно законодателството във връзка с извънредното положение и последните изменения на Закона за електронните съобщения, националната полиция, министерство на вътрешните работи, както и регионалните дирекции на това министерство са оправомощени да поискат достъп за идентифициране на клетъчни устройства на лица, които вероятно са нарушили задължение за карантина. За да се случи това е необходимо да има достатъчно данни, че съответното физическо лица е отказало да се съобрази със задължителна карантина или че не спазва ограничението по каквато и да била друга причина.

Ръководителят на съответния орган на власт, оправомощен да получи достъп до информация относно местоположение на физически лица, следва да отправи искане до съответния телекомуникационен оператор, което съдържа:

• Правното основание на искането

 • Типът данни, до които се изисква достъп

 • Периодът, за който се изисква информация

 • Конкретните лица, които ще получат информацията

Телекомуникационните оператори са длъжни да осигурят лице, което е на разположение денонощно, и което е упълномощено да отговаря на исканията за достъп до трафични данни. Информация относно такова лице за контакт трябва да бъде предоставена на полицията, за да се осигури оперативна бързина при исканията.

Законът във връзка с извънредното положение и Законът за електронните съобщения предвиждат съдебен контрол, като по този начин се цели информацията изискана от властите да бъде изисквана в съответствие със закона и да няма злоупотреби с такава информация. Едновременно с подаване на искането в съответния телекомуникационен оператор, ръководителят на съответните власти следва да уведоми председателя на съответния районен съд или надлежно оправомощен съдебен състав/съдия, като изложи съответните аргументи, поради които се изисква достъп до данните.

Съдът не е обвързан по никакъв начин от мотивите на съответния орган на власт, който е изискал предоставянето на информация. Съдът е оправомощен по своя преценка да реши дали искането е законосъобразно. В случай, че съответен съд приеме, че няма достатъчно аргументи за изискване или за предоставяне на достъп до трафични данни, информацията следва да бъде изтрита незабавно от органа на власт, а телекомуникационният оператор трябва да бъде надлежно уведомен.

Всякакво последващо използване на трафични данни, които може да представляват лични данни по смисъл на Регламента, би било незаконно и може да доведе до налагане на глоба. Дори преди горепосочените законови изменения достъпът до трафични данни беше обект на съдебен контрол. Бяха налични следните две възможности — предварителен съдебен контрол, както и съдебен контрол, упражнен след предоставянето на достъп до трафични данни. Причината за съдебен контрол върху достъп до трафични данни след подаването на искането до телекомуникационнния оператор е презумпцията за спешност на ситуацията, която изисква незабавно действие от страна на властите с цел защита на общественото здраве.

Отделно от съдебния контрол върху исканията за достъп до трафични данни, българският Закон за електронните съобщения предвижда друга, индиректна контролна мярка, която може да бъде осъществена  от българската Комисия за защита на личните данни ("КЗЛД"). Става дума за задължението на всички телекомуникационни оператори периодично да предоставят на КЗЛД статистическа информация относно получените искания за достъп до данни, подадени от органите на власт. Статистическият преглед, периодично получаван от КЗЛД, би могъл да представи достатъчно информация дали да бъдат извършени проверки относно защита на данните по сектори (т.e., в публичния сектор).

Заключение

В отговор на широкоразпространената криза на общественото здраве, правителството на България ограничи правото на поверителност и правото на защита на личните данни. Въпреки това, когато става дума за обработване на лични данни, основните принципи на Регламента остават в сила и следва да бъдат спазвани от органите на власт, в противен случай може да последва налагането на имуществена санкция или глоба.

Балансът между стремежа за ограничаване на разпространението на Ковид-19 и правото на поверителност може да бъде намерен в прилагането на адекватни защитни механизми от страна на съответните власти (включително технически и организационни мерки) по отношение на защитата на данни, както и в активен контрол, осъществяван от българските органи за защита на данни.

Прокуратурата преквалифицира обвинението на Кристиан Николов, помел Милен Цветков, на умишлено убийство

Предишна новина

Хванаха контрабандни цигари за 366 000 лв. на Капитан Андреево

Следваща новина

Коментари

1 Коментара

  1. 1
    В отговор на широкоразпространената криза на общественото здраве | нерегистриран
    1
    0

    Къде точно я съзряхте таз "криза, че не разбрах???

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.